For nylig kunne vi hos KnowBe4 konstatere, at minimum 12 procent af alle e-mail-baserede IT-sikkerhedstrusler fandt hele vejen frem til modtagernes indbakker uden at blive bremset af spamfiltre eller andre sikkerhedssystemer. Men nye tal fra cybersikkerhedsleverandøren Armorblox’ 2023 “Email Security Threat Report” viser, at tallet er meget højere, alt afhængigt af hvilken IT-sikkerhedsløsning den enkelte virksomhed, organisation eller myndighed benytter. 

Blandt alle phishing-angreb, som blev rettet mod virksomheder og organisationer i 2022, benyttede 78 procent sig af sofistikerede teknikker til at snige sig uden om traditionelle email-sikkerhedssystemer, og var i 56 procent af tilfældene i stand til at nå frem til modtagernes indbakker.

Ifølge rapporten kan angrebene gennem phishing-mails fordeles i fem kategorier:

● 51 procent af e-mail-angrebene havde fokus på at fiske brugernavne og passwords hos modtagerne.

● 41 procent indeholdt trusler, som tog udgangspunkt i social engineering.

● 3 procent var angreb, som i afsenderfelt og indhold efterlignede VIP-personer.

● 3 procent havde form af afpresning.

● 2 procent forsøgte at svindle med lønudbetaling.

Ser man nærmere på de to mest udbredte metoder, begynder man at kunne forstå årsagen til, at e-mail-angreb som disse slipper gennem sikkerhedsfiltrene.

Phishing-mails fokuseret på at stjæle brugernavne og passwords benytter en ny og sofistikeret metode til at undgå sikkerhedsfiltre. Kort fortalt går det ud på - ved hjælp af CSS-kode - at narre sikkerhedsfiltrene med at websidens baggrundsbillede med firmalogo eller lignende på login-siden fremtræder i negativ, og derfor på ingen måde er en efterligning, mens det hos brugeren optræder helt normalt og autentisk. 

Når det gælder social engineering har de enkelte e-mails i sig selv sjældent noget ondsindet indhold, hvilket gør dem vanskelige at filtrere fra.

Risikoen for, at disse to typer phishing-angreb får succes, er høj, hvilket gør nødvendigt at lade såvel ledelse som medarbejdere deltage i løbende oplæring og træning i viden og bevidsthed om IT-sikkerhed, så de ved hvad de skal være opmærksomme på, hvilke svindel-teknikker, der benyttes, og hvordan man - selv på lang afstand - får øje på en ondsindet e-mail.