Kunne du forestille dig et liv uden e-mail?
Vi bruger dem til alt – til at kommunikere med klienter og kunder, til at foretage hotelreservationer eller sende en klage til en butik, fordi det produkt, vi har købt, er beskadiget. Men har du nogensinde tænkt over, hvor sikre dine e-mails er?
Og se, hvor mange mennesker fra forskellige aldersgrupper er afhængige af e-mails til kommunikation:
- 94% af generation Z
- 98% af millennials
- 98% af Gen X
- 95% af Boomers
- og endda 90% fra den stille generation!
Læg dertil, at e-mailmarketing blev valgt som den mest effektive kanal af marketingfolk, der blev spurgt i Hubspots State of Marketing Report 2022, og du kan se, hvorfor e-mailmarketing trives, på trods af at så mange mennesker har forudsagt e-mailens død i årevis.
Hvorfor er e-mailsikkerhed vigtig?
Desværre er e-mails også en af de mest værdifulde metoder for kriminelle til at angribe en virksomhed eller stjæle almindelige brugeres personlige data. CISCO’s rapport om tendenser inden for cybersikkerhedstrusler i 2021 fandt, at omkring 90% af databrud sker på grund af phishing via e-mail.
Og det er ikke slutningen på de bekymrende nyheder:
- 3,4 milliarder phishing-mails bliver sendt hver dag
- I 2022, var der en stigning på 569% i ondsindede phishing-e-mails og en stigning på 478% i rapporter om trusler fra phishing af legitimationsoplysninger.
- BEC-angreb (Business Email Compromise) steg med 81% i 2022
- Uden ordentlig sikkerhedstræning, En ud af tre medarbejdere falder for phishing-svindel
-
Kun 15% af IT administrators enforce the use of two-factor authentication.
Cyberkriminelle udnytter også det faktum, at folk i dag får så mange e-mails, at de næppe har tid til at læse hver eneste mail, de får, omhyggeligt og tjekke for spam-beskeder. Det gælder især for medarbejdere, som i gennemsnit får 100-120 e-mails dagligt. Hvem har tid til at tjekke hver eneste e-mail for sikkerhedskrav, uanset om det er forretnings- eller personlige e-mails?
Så med en smule social engineering kan kriminelle hurtigt få dem til at klikke på et phishing-link eller downloade en ondsindet vedhæftet fil. Dette er i tillæg til hackere, der går efter forretningstelefoner, som medarbejderne bruger, som f.eks. VOIP-systemer .
Heldigvis er der et par nemme ting, du kan gøre for at beskytte dine e-mailindbakker – og på den måde også dine personlige eller forretningsmæssige data. Så lad os se på 8 bedste praksisser for e-mailsikkerhed, der kan gøre de cyberkriminelles “job” meget sværere.
Opret stærke adgangskoder
At bruge stærke adgangskoder er en af de bedste måder at beskytte dine e-mailkonti og private oplysninger på mod hackere. Her er nogle måder, hvorpå du kan holde dine sikkerhedsstandarder høje, når det gælder adgangskoder:
- Ikke at bruge åbenlyse personlige oplysninger eller almindelige ord
- At være en blanding af bogstaver, tal og symboler
- Have mindst 10 tegn (eksperter anbefaler 14-16)
Men når man ser på, hvor mange onlinekonti (både private og arbejdsrelaterede) vi alle bruger, kan det være ret vanskeligt at oprette og derefter huske omkring 20 komplekse adgangskoder.
Det er her værktøjer til adgangskodeadministratorer kan være utroligt hjælpsomme. Disse værktøjer kan generere unikke passwords, som er ekstremt svære at brute-force, til hver applikation og derefter gemme dem i deres database – brugerne behøver så kun at huske ét “master password” for at låse databasen op.
En anden populær mulighed nu er passphrases – adgangskoder lavet af en streng af ord i stedet for tilfældige tegn. Da de typisk er længere end almindelige adgangskoder, er de sværere at brute-force. Og med passphrases er det også lettere at skabe mindeværdige, men sikre adgangskoder til kontiene.
For at se, hvor sikre dine egne adgangskoder er, kan du bruge Security.org’s Værktøjet How Secure Is My Password. Sådan ser det ud for en af vores konti:
Genbrug ikke adgangskoder på tværs af konti
Genbrug af adgangskoder er et andet udbredt sikkerhedsproblem. For eksempel viste First Contact-undersøgelsen, at 51% af befolkningen bruger det samme password til arbejde og private konti.
Hvad der er endnu værre er, at 70% af de brugere, der havde deres adgangskoder brudt stadig brugte dem!
Grunden til, at det er sådan en dårlig idé, er enkel. Cyberkriminelle ved godt, hvor mange der genbruger deres passwords, så de tjekker altid, hvor mange konti de kan låse op med ét password. Hvis du for eksempel bruger ét password til 5 personlige konti, vil alle 5 konti blive kompromitteret, hvis passwordet bliver lækket.
Det er især farligt at bruge den samme adgangskode til private og arbejdsrelaterede konti, da hackere på den måde hurtigt kan få adgang til din arbejdsrelaterede indbakke – og de data, der ligger i den. Virksomhedens e-mailsikkerhed er meget anderledes end de e-mails, du bruger til personlige behov, og ondsindet indhold til arbejdsrelaterede e-mails er langt værre end et nigeriansk svindelnummer til din personlige e-mail.
Brug multifaktor-autentificering
Og nu vi er ved emnet om at sikre konti – at tilføje en ekstra verifikationsforanstaltning kan også synligt øge sikkerheden på din konto. Med 2FA og MFA vil hackere, selv hvis de stjæler login og password, ikke kunne få adgang til e-mailindbakken, før de har bekræftet deres identitet gennem yderligere sikkerhedstjek – og det kan være nok til, at de giver op.
Efter at have implementeret 2FA og krævet, at deres brugere bruger det ved hvert login, Google sagde, at de oplevede et fald i antallet af kontobrud med 50%.
Hvordan kan du tilføje den til din konto, for eksempel Gmail? Det er faktisk ret enkelt. For at sikre din personlige konto med 2FA, skal du gøre følgende:
- Åbn din Google-konto.
- Vælg Sikkerhed i navigationspanelet.
- Under “Log ind på Google” skal du vælge totrinsbekræftelse og derefter komme i gang.
- Følg trinene på skærmen.
Til erhvervskonti i mellemtiden, Du kan finde 2FA-muligheden i din administratorkonsol under Menu → Sikkerhed→ Godkendelse→ 2-trins verifikation. Derfra kan du også indstille, om MFA skal være obligatorisk for alle brugere eller kun bestemte grupper, og hvilke metoder de kan vælge til verifikationen.
E-mailsystemer som Gmail markerer mistænkelig aktivitet og beder dig om at foretage tofaktorautentificering, før du får lov til at se e-mailindhold. Hvis det er dig, der forsøger at logge ind, kan du gøre det i løbet af få sekunder. Det kan forhindre mange e-mailtrusler.
Træn medarbejderne i bedste praksis for e-mailsikkerhed
Selv de mest komplicerede adgangskoder og flere ekstra sikkerhedstjek vil dog ikke være til megen hjælp, hvis medarbejderne ikke ved eller forstår, hvorfor det er så vigtigt at sikre deres konti. Verizon Data Breach Report (DBIR) for 2023 fandt, at brugernes skødesløshed var årsagen til 98% af databruddene – og cyberkriminelle ved præcis, hvordan de skal bruge det til deres fordel.
Regelmæssig træning i cybersikkerhed som en del af deres løbende præstationsstyring er en glimrende måde at lære medarbejderne om konsekvenserne af et databrud, og hvad de kan gøre for at forhindre det. Du kan bruge dem til at tale med dem om virksomhedens e-mail-sikkerhedspolitik, e-mail-sikkerhedstrusler, de kan støde på, og anbefalede best practices til at sikre deres konti.
Du kan f.eks. lære dem om værdien af e-mailkryptering, om ikke at åbne mistænkelige e-mails eller om ikke at tilgå e-mail via et offentligt wi-fi-netværk. De skal heller ikke åbne uopfordrede e-mails, forsøge at bruge antivirussoftware og i det hele taget holde øje med ukendte afsendere.
Træning i cybersikkerhed er også en god måde at træne dine medarbejdere i, hvordan de skal reagere, når de opdager, at der allerede er sket et brud – og hvem de skal alarmere om bruddet. Det betyder, at bruddet kan inddæmmes hurtigere – og dermed kan skaden, som det forårsager, også reduceres.
Vær på vagt over for vedhæftede filer i e-mails og mistænkelige links
94% af malware leveres via e-mail – enten gennem vedhæftede filer, der ser ægte ud, eller links til tilsyneladende velrenommerede hjemmesider. Og selvom Gmails algoritmer og antimalware-software kan spotte og blokere de fleste mistænkelige vedhæftede filer eller hjemmesider, kan nogle af de mere sofistikerede angreb stadig slippe forbi radaren.
Derfor bør almindelige brugere og medarbejdere være forsigtige, når de modtager e-mails med vedhæftede filer eller opfordringer til at klikke på et medfølgende link. Her er et par tegn på, at den vedhæftede fil eller linket måske kommer fra hackere:
- Filendelsen matcher ikke filtypen (f.eks. ender den med en dobbeltendelse, som doc.exe, eller den har kun en eksekverbar udvidelse. Du skal især være mistænksom, hvis du får vedhæftede filer, der slutter med exe-, jar- eller rar/zip-endelser).
- Afsenderens adresse er lidt anderledes end den, du kan finde på deres hjemmeside/på din e-mail-liste – det er et sikkert tegn på spam-mails.
- E-mailen, der tilsyneladende kommer fra en pålidelig kilde (f.eks. din bank), har stave-, grammatik-, formaterings- eller interpunktionsfejl.
- Beskeden opfordrer dig til at åbne den vedhæftede fil eller klikke på linket så hurtigt som muligt, fordi du ellers kan blive udsat for nogle konsekvenser (den berygtede “Dit kreditkort vil snart blive spærret” er det bedste eksempel her).
For at være på den sikre side er det bedst altid at ringe til afsenderen for at spørge dem om e-mails, hvis du er i tvivl, og scanne alle vedhæftede filer, du modtager, for virus eller malware. Eller du kan bare kopiere afsendernavnet, linket eller en del af beskeden og lægge det ind i søgemaskinen – andre brugere har måske allerede markeret det som farligt.
Opdater regelmæssigt dit antivirus- eller antimalwareprogram
Moderne antimalware-løsninger kan beskytte dine enheder mod mange trusler – virus, trojanske heste, malware, ransomware og mistænkelige hjemmesider. Det vil sige, så længe de opdateres regelmæssigt. Cyberkriminelle opfinder nye metoder til at angribe enheder og stjæle data stort set hver dag – og hver dag, 560.000 nye stykker malware opdages.
Hvis de antivirusprogrammer, du bruger, ikke opdateres regelmæssigt, kan de overse den nye trussel – og dermed bringe din e-mailkonto og hele enheden i fare.
De fleste af de populære cybersikkerhedsplatforme som f.eks. Crowdstrike eller alternativer har dog mulighed for at installere disse opdateringer automatisk – så hvis du vil sikre dig, at din platform altid er opdateret, er det værd at sætte kryds ved denne mulighed.
Brug e-mail-godkendelsesprotokoller
Implementering af autentificeringsprotokoller for dine arbejdsdomæner kan også gøre dine konti meget mere sikre og identificere ondsindede hensigter gennem forskellige former for identifikation.
E-mail-godkendelsesprotokoller blev designet til at forhindre phishing-angreb, e-mail-spoofing og BEC-angreb ved at verificere, om e-mailen kommer fra en legitim afsender. Med enklere ord kontrollerer disse protokoller, om de nyeste marketingkampagne-e-mails er sendt af dig, eller om nogen udgiver sig for at være dit brand.
I øjeblikket har vi tre autentificeringsprotokoller:
- SPF (Sender Policy Framework) – (afsenderpolitik) Undersøger afsenderens IP-adresse for at sikre, at hver e-mail kommer fra en pålidelig IP-adresse.
- DKIM (Domain Keys Identified Mail) – Domænenøgler identificeret post) bruger public/private key-kryptering til at signere e-mailbeskeder og bevise, at beskederne ikke er blevet ændret.
- DMARC (Domain-based Message Authentication Reporting and Conformance) – domænebaseret meddelelsesgodkendelse, rapportering og overensstemmelse) sikrer, at e-mailen opfylder SPF og DKIM, før den leveres.
Ved at bruge disse protokoller kan du forsikre dine kunder og abonnenter om, at dine domæner ikke bliver ofre for e-mail-spoofing, og at de e-mails, de modtager, helt sikkert kommer fra dig. Vi nævnte et par andre fordele ved disse protokoller i vores anden artikel om Autentificeringsmetoder så den bør du måske også læse.
Når du sender kampagner ud, skal du sørge for, at dine lister er rene.
Vores sidste tip – regelmæssigt Rens dine e-mail-lister.
Okay, du har hørt, at scrubbing af e-mail-lister kan øge din leveringsdygtighed, forbedre dit domænes omdømme og give dig bedre ROI, men hvad har det med sikkerhed at gøre? En hel del, faktisk! Ved at undersøge adresserne på din e-mail-liste kan du spotte inaktive og forældede e-mail-adresser, men også mistænkelige adresser, der kan tilhøre spammere – eller internetudbydere, med det formål at finde og straffe spammerne.
Hvis du bliver afsløret i at sende e-mails til disse domæner, er der en god chance for, at dit domænes omdømme vil lide et knæk – og i værste fald kan du endda blive blacklistet.
Men hvordan kan du spotte alle de giftige e-mails på din liste uden at bruge dage (eller mere) på at verificere dem manuelt? Kontrol af udsmidernes e-mail værktøj kan give dig en hånd her.
Du skal bare tilføje din e-mail-liste (op til 250.000 adresser) til appen, så viser Bouncer, hvilke e-mails der tilhører rigtige brugere, hvor sandsynligt det er, at e-mailene bouncer, men også dig:
- e-mailadresser, der er blevet hacket
- ugyldige adresser eller domæner
- Spam-fælder osv.
Bouncer giver også en score for e-mailens giftighed (fra 1 til 5), så du ved, hvilke adresser du skal fjerne med det samme.
Det lyder nyttigt, ikke? Så gør det, Hvad med at bruge Bouncer til din næste e-mailkampagne? Med en ren e-mail-liste vil det være lettere end nogensinde at gøre din næste kampagne til en succes og samtidig beskytte dit e-mail-domæne.
Tid til at styrke dine e-mailkonti
For at holde din private og forretningsmæssige e-mailkonto (og dataene i den) væk fra cyberkriminelle, skal du tage alle de sikkerhedsforanstaltninger, du kan, og sige farvel til at bekymre dig om ondsindede aktiviteter, potentielle trusler og mistænkelige beskeder.
Stærke og regelmæssigt ændrede adgangskoder, tilføjelse af multifaktorgodkendelse, regelmæssig opdatering af antivirusværktøjer og opmærksomhed på phishing- eller infektionsforsøg er alt sammen vigtigt, når det gælder om at sikre dine konti.
Og med styrket kontosikkerhed vil du nemt kunne afværge ethvert phishing-angreb eller forsøg på indbrud.
OFTE STILLEDE SPØRGSMÅL: Bedste praksis for e-mailsikkerhed
Hvordan kan jeg sikre min professionelle e-mailkonto?
Den bedste måde at gøre din konto mere sikker på er at bruge stærke og unikke adgangskoder til hver konto, du bruger – du kan bruge adgangskodeadministratorer til dette. En god idé er også at aktivere to-faktor (eller mere) autentificering for et ekstra lag af sikkerhed. Hvis du bruger Exchange Online e-mail, kan du overveje at implementere en pålidelig Data backup-løsning til Microsoft 365 for at beskytte mod potentielt datatab eller korruption.
Hvordan kan jeg identificere og undgå phishing-angreb?
Selvom de ved første øjekast kan ligne ægte e-mails, er der faktisk et par træk ved phishing-beskeder, som gør dem lette at genkende. Det mest karakteristiske er, at de indtrængende beder om personlige eller økonomiske oplysninger og truer med, at det kan få alvorlige konsekvenser, hvis du ikke efterkommer dem.
Når du modtager en sådan e-mail (der f.eks. hævder at være fra din bank), bør du først tjekke, om afsenderens e-mail er korrekt – kriminelle bruger typisk e-mails, der ligner velrenommerede domæner, men som har en eller flere forskelle (f.eks. forskellige domænenavne).
Hvis e-mailen har stave- eller grammatikfejl, eller hvis logoet ser forkert ud, bør det også vække din mistanke.
Hvad er multifaktorgodkendelse, og hvorfor skal jeg bruge det til e-mail?
Multifaktor-godkendelse (MFA) tilføjer et ekstra lag af sikkerhed til din e-mailkonto ved at kræve to eller flere forskellige typer godkendelsesfaktorer under login. For eksempel en adgangskode og en engangsbekræftelseskode, bekræftelse fra en pålidelig enhed eller en fingeraftryksscanning.
Brug af MFA reducerer risikoen for, at nogen får adgang til din e-mail-indbakke, selv hvis din adgangskode bliver kompromitteret.
Er der nogen specifikke e-mail-sikkerhedspraksisser for virksomheder?
En cybersikkerhedspolitik for virksomhedens e-mailkonti og regelmæssig træning af medarbejdernes sikkerhedsbevidsthed er en god måde at sikre, at alle medarbejdere ved, hvordan de kan beskytte deres konti og enheder mod cybertrusler.
I politikken kan du skitsere, hvordan de kan oprette stærke adgangskoder, hvornår og hvordan de kan bruge private enheder til arbejde, eller hvad retningslinjerne er for at åbne modtagne vedhæftede filer.