8 beste fremgangsmåter for e-postsikkerhet du bør følge

Kan du forestille deg et liv uten e-post?

Vi bruker dem til alt mulig – til å kommunisere med kunder og klienter, til å bestille hotellopphold eller sende en klage til en butikk fordi varen vi har kjøpt, er skadet. Men har du noen gang tenkt over hvor sikre e-postene dine egentlig er?

​

Kilde

Og se på hvor mange mennesker fra ulike aldersgrupper er avhengig av e-post for kommunikasjon:

• 94% fra generasjon Z
• 98% av millenniumsgenerasjonen
• 98% av Gen X
• 95% av Boomers
• og til og med 90% fra den stille generasjonen!

Legg til det at e-postmarkedsføring ble valgt som den mest effektive kanalen av markedsførere i Hubspots State of Marketing Report 2022, og du kan se hvorfor e-postmarkedsføring blomstrer, til tross for at så mange har spådd e-postens død i årevis.

Hvorfor er e-postsikkerhet viktig?

Dessverre er e-post også en av de mest verdifulle metodene kriminelle kan bruke for å angripe en bedrift eller stjele personopplysninger fra vanlige brukere. CISCOs rapport om trender innen cybersikkerhetstrusler i 2021 fant at omtrent 90% av alle datainnbrudd skyldes phishing via e-post.

Og det er ikke slutten på de bekymringsfulle nyhetene:

• 3,4 milliarder phishing-e-poster sendes hver dag
• I 2022, var det en økning på 569% i antall ondsinnede phishing-e-poster og en økning på 478% i antall publiserte trusselsrapporter om phishing-relatert legitimasjon.
• BEC-angrep (Business Email Compromise) økte med 81% i 2022
• Uten skikkelig sikkerhetsopplæring, én av tre ansatte blir utsatt for phishing-svindel

• Bare 15% av IT administrators enforce the use of two-factor authentication.

Nettkriminelle utnytter også det faktum at folk i dag får så mange e-poster at de knapt har tid til å lese hver eneste e-post de får, og se etter søppelpost. Det gjelder spesielt for ansatte, som i gjennomsnitt får 100-120 e-poster daglig. Hvem har tid til å sjekke hver eneste e-post for sikkerhetskrav, enten det dreier seg om forretnings- eller private e-poster?

Med litt sosial manipulering kan kriminelle raskt få dem til å klikke på en phishing-lenke eller laste ned et ondsinnet vedlegg. Dette kommer i tillegg til at hackere retter seg mot bedriftstelefoner som ansatte bruker, for eksempel VOIP-systemer .

Heldigvis finnes det noen enkle ting du kan gjøre for å beskytte e-postinnboksen din – og dermed også dine personlige data eller bedriftsdata. La oss se nærmere på åtte gode råd om e-postsikkerhet som kan gjøre «jobben» mye vanskeligere for nettkriminelle.

Opprett sterke passord

Bruk av sterke passord er en av de beste måtene å beskytte e-postkontoer og privat informasjon på mot hackere. Her er noen tips til hvordan du kan holde en høy sikkerhetsstandard når det gjelder passord:

• Ikke bruk av åpenbar personlig informasjon eller vanlige ord
• Å være en blanding av bokstaver, tall og symboler
• Minst 10 tegn (eksperter anbefaler 14-16)

Kilde

Når man ser på hvor mange nettkontoer (både private og jobbrelaterte) vi alle bruker, kan det likevel være vanskelig å opprette og huske rundt 20 komplekse passord.

Her er hvor verktøy for passordadministrasjon kan være utrolig nyttige. Disse verktøyene kan generere unike passord for hver applikasjon, som er ekstremt vanskelige å bryte ut, og deretter lagre dem i databasen – brukerne trenger da bare å huske ett «hovedpassord» for å låse opp databasen.

Et annet populært alternativ nå er passordfraser – passord som består av en rekke ord i stedet for tilfeldige tegn. Siden de vanligvis er lengre enn vanlige passord, er de vanskeligere å knekke. Med passordfraser er det også enklere å lage minneverdige, men sikre passord for kontoene.

For å se hvor sikre dine egne passord er, kan du bruke Security.org’s Verktøyet How Secure Is My Password. Slik ser det ut for en av kontoene våre:

Ikke bruk passord på tvers av kontoer

Gjenbruk av passord er et annet utbredt sikkerhetsproblem. First Contact-studien fant for eksempel at 51% av alle bruker samme passord for jobb- og privatkontoer.

Kilde

Det som er enda verre er at 70% av brukerne som hadde sine passord misbrukt fortsatt brukte dem!

Grunnen til at dette er en dårlig idé, er enkel. Cyberkriminelle vet godt hvor mange som gjenbruker passordene sine, så de sjekker alltid hvor mange kontoer de kan låse opp med ett passord. Hvis du for eksempel bruker ett passord for fem personlige kontoer, vil alle fem kontoene bli kompromittert hvis passordet lekker ut.

Det er spesielt farlig å bruke samme passord for jobb- og privatkontoer, ettersom hackere på denne måten raskt kan få tilgang til jobb-e-postboksen din – og dataene i den. Sikkerheten i e-poster til bedrifter er svært forskjellig fra e-poster du bruker privat, og ondsinnet innhold i jobbrelaterte e-poster er mye verre enn nigeriansk svindel i din private e-post.

Bruk multifaktorautentisering

Og mens vi er inne på temaet sikring av kontoer – å legge til et ekstra verifiseringstiltak kan også øke sikkerheten til kontoen din betraktelig. Med 2FA og MFA vil hackere, selv om de stjeler innlogging og passord, ikke få tilgang til innboksen før de har bekreftet identiteten sin gjennom ytterligere sikkerhetskontroller – og det kan være nok til at de gir opp.

Etter å ha implementert 2FA og krevd at brukerne bruker det ved hver pålogging, Google sa at de så en nedgang i antall kontoinnbrudd med 50%.

Hvordan kan du legge det til i kontoen din, for eksempel Gmail en? Det er faktisk ganske enkelt. For å sikre din personlige konto med 2FA, må du gjøre følgende:

1. Åpne Google-kontoen din.
2. I navigasjonspanelet velger du Sikkerhet.
3. Under «Logg på Google» velger du totrinnsbekreftelse og deretter Kom i gang.
4. Følg trinnene på skjermen.

For bedriftskontoer i mellomtiden, du finner 2FA-alternativet i administrasjonskonsollen, under Meny → Sikkerhet→ Autentisering→ 2-trinns verifisering. Der kan du også angi om MFA skal være obligatorisk for alle brukere eller bare for bestemte grupper, og hvilke metoder de kan velge for verifisering.

E-postsystemer som Gmail vil flagge mistenkelig aktivitet og be deg om å foreta tofaktorautentisering før du får se innholdet i e-posten. Hvis du er den faktiske personen som prøver å logge inn, kan du gjøre det i løpet av sekunder. Dette kan forhindre mange e-posttrusler.

Gi ansatte opplæring i beste praksis for e-postsikkerhet

Selv de mest kompliserte passord og flere ekstra sikkerhetskontroller vil imidlertid ikke være til stor hjelp hvis de ansatte ikke vet eller forstår hvorfor det er så viktig å sikre kontoene sine. Verizons rapport om datainnbrudd (DBIR) for 2023 fant at brukernes uforsiktighet var årsaken til 98% av datainnbruddene – og nettkriminelle vet nøyaktig hvordan de skal utnytte dette til sin fordel.

Regelmessig opplæring i cybersikkerhet som en del av deres kontinuerlig resultatstyring er en utmerket måte å lære de ansatte om konsekvensene av et datainnbrudd og hva de kan gjøre for å forhindre dem. Du kan bruke disse til å snakke med dem om bedriftens retningslinjer for e-postsikkerhet, trusler mot e-postsikkerheten de kan støte på, og anbefalt beste praksis for å sikre kontoene deres.

Du kan for eksempel lære dem om verdien av e-postkryptering, om å ikke åpne mistenkelige e-poster eller om å ikke få tilgang til e-post via et offentlig wi-fi-nettverk. De kan også lære å ikke åpne uønsket e-post, å prøve å bruke antivirusprogramvare og generelt passe seg for ukjente avsendere.

Cybersikkerhetsopplæring er også en god metode for å lære opp de ansatte i hvordan de skal reagere når de oppdager at et sikkerhetsbrudd allerede har skjedd – og hvem de skal varsle om sikkerhetsbruddet. På den måten kan sikkerhetsbruddet avverges raskere – og dermed kan også skadene som forårsakes av det, reduseres.

Vær på vakt mot e-postvedlegg og mistenkelige lenker

94% av skadevaren leveres via e-post – enten gjennom vedlegg som ser ekte ut eller lenker til tilsynelatende anerkjente nettsteder. Og selv om Gmail-algoritmer og antimalware-programvare kan oppdage og blokkere de fleste mistenkelige vedlegg eller nettsteder, kan noen av de mer sofistikerte angrepene fortsatt komme forbi radarene.

Derfor bør vanlige brukere og ansatte være forsiktige når de mottar e-poster med vedlegg eller oppfordringer om å klikke på en medfølgende lenke. Her er noen tegn på at vedlegget eller lenken kan komme fra hackere:

• Filtypen samsvarer ikke med filtypen (for eksempel slutter den med en dobbel filtype, som doc.exe, eller den har bare en kjørbar filtype. Du bør være spesielt mistenksom hvis du får vedlegg som slutter på exe-, jar- eller rar/zip-utvidelser).
• Avsenderadressen er litt annerledes enn den du finner på nettstedet deres/på e-postlisten din – dette er et sikkert tegn på spam.
• E-posten som tilsynelatende kommer fra en pålitelig kilde (for eksempel banken din), har stave-, grammatikk-, formaterings- eller interpunksjonsfeil.
• Meldingen oppfordrer deg til å åpne vedlegget eller klikke på lenken så snart som mulig, ellers kan det få konsekvenser (det beryktede «Kredittkortet ditt vil snart bli sperret» er det beste eksempelet her)

For å være på den sikre siden er det best å alltid ringe avsenderen for å spørre dem om e-postene hvis du er i tvil, og skanne alle vedlegg du mottar for virus eller skadelig programvare. Du kan også bare kopiere avsendernavnet, lenken eller en del av meldingen og legge den inn i søkemotoren – andre brukere har kanskje allerede merket den som farlig.

Oppdater antivirus- eller antimalwareprogrammet ditt regelmessig

Moderne antimalware-løsninger kan beskytte enhetene dine mot en rekke trusler – virus, trojanere, skadelig programvare, løsepengevirus og mistenkelige nettsteder. Så lenge de oppdateres jevnlig. Cyberkriminelle finner opp nye metoder for å angripe enheter og stjele data så å si hver eneste dag – og hver eneste dag, 560 000 nye biter av skadelig programvare oppdages.

Hvis antivirusprogrammene du bruker, ikke oppdateres jevnlig, kan de overse den nye trusselen – noe som kan sette e-postkontoen din og hele enheten i fare.

De fleste av de populære plattformene for cybersikkerhet som for eksempel Crowdstrike eller alternativer har imidlertid muligheten til å installere disse oppdateringene automatisk – så hvis du vil sikre at plattformen din alltid er oppdatert, er det verdt å krysse av for dette alternativet.

Bruk autentiseringsprotokoller for e-post

Ved å implementere autentiseringsprotokoller for arbeidsdomenene dine kan du også gjøre kontoene dine mye sikrere og identifisere ondsinnede hensikter gjennom ulike former for identifikasjon.

Protokoller for e-postautentisering ble utviklet for å forhindre phishing-angrep, e-postspoofing og BEC-angrep ved å verifisere om e-posten kommer fra en legitim avsender. Med andre ord kontrollerer disse protokollene om de nyeste e-postene i markedsføringskampanjen er sendt av deg, eller om noen utgir seg for å være merkevaren din.

For øyeblikket har vi tre autentiseringsprotokoller:

• SPF (Sender Policy Framework) Undersøker avsenderens IP-adresse for å sikre at hver e-post kommer fra en pålitelig IP-adresse.
• DKIM (Domain Keys Identified Mail) – Domeneidentifisert e-post bruker kryptering med offentlig/privat nøkkel for å signere e-postmeldinger og bevise at meldingene ikke er endret.
• DMARC (Domain-based Message Authentication Reporting and Conformance) – Domene-basert meldingsautentisering og samsvar sikrer at e-posten oppfyller kravene til SPF og DKIM før den leveres.

Ved å bruke disse protokollene kan du forsikre kundene og abonnentene dine om at domenene dine ikke blir offer for e-postspoofing, slik at e-postene de mottar, definitivt kommer fra deg. Vi nevnte noen andre fordeler med disse protokollene i vår andre artikkel om autentiseringsmetoder så det kan være lurt å lese den også.

Når du sender ut kampanjer, må du sørge for at listene dine er rene

Vårt siste tips – regelmessig rens e-postlistene dine.

Du har hørt at rensing av e-postlister kan øke leveringsgraden, forbedre omdømmet til domenet ditt og gi deg bedre avkastning, men hva har det med sikkerhet å gjøre? Mye, faktisk! Ved å undersøke adressene på e-postlisten din kan du oppdage inaktive og utdaterte e-postadresser, men også mistenkelige adresser som kan tilhøre spammere – eller Internett-leverandører, med sikte på å finne og straffe spammerne.

Hvis det oppdages at du sender e-post til slike domener, er det stor sjanse for at omdømmet til domenet ditt blir svekket – og i verste fall kan du til og med bli svartelistet.

Men hvordan kan du oppdage alle de giftige e-postene på listen din uten å bruke dager (eller mer) på å verifisere dem manuelt? Utkasterens e-postbekreftelse verktøyet kan hjelpe deg her.

Bare legg til e-postlisten din (opptil 250 000 adresser) i appen, og Bouncer vil vise hvilke e-poster som tilhører ekte brukere, hvor sannsynlig det er at e-postene vil bli avvist, men også vise deg:

• E-postadresser som er brutt eller hacket
• ugyldige adresser eller domener
• spamfeller osv.

Bouncer gir også en poengsum for e-postens giftighet (fra 1 til 5), slik at du vet hvilke adresser du bør fjerne med en gang.

Det høres nyttig ut, ikke sant? Det høres nyttig ut, ikke sant? hva med å bruke Bouncer for din neste e-postkampanje? Med en knirkefri e-postliste blir det enklere enn noensinne å gjøre din neste kampanje til en suksess, samtidig som du beskytter e-postdomenet ditt.

På tide å styrke e-postkontoene dine

For å holde din private og forretningsmessige e-postkonto (og dataene i den) unna cyberkriminelle, må du ta alle de sikkerhetstiltakene du kan, og si farvel til å bekymre deg for ondsinnede aktiviteter, potensielle trusler og mistenkelige meldinger.

Sterke passord som endres jevnlig, flerfaktorautentisering, jevnlig oppdatering av antivirusverktøyene og å være på vakt mot phishing- og infeksjonsforsøk er alt sammen viktig når det gjelder å sikre kontoene dine.

Og med forsterket kontosikkerhet vil du enkelt kunne avverge ethvert phishing-angrep eller forsøk på innbrudd.

VANLIGE SPØRSMÅL: Beste praksis for e-postsikkerhet

Hvordan kan jeg sikre den profesjonelle e-postkontoen min?

Den beste måten å gjøre kontoen din sikrere på, er å bruke sterke og unike passord for hver konto du bruker – du kan bruke passordadministratorer til dette. En smart idé er også å aktivere tofaktorautentisering (eller flere) for et ekstra lag med sikkerhet. Hvis du bruker Exchange Online-e-post, bør du vurdere å implementere en pålitelig løsning for sikkerhetskopiering av data for Microsoft 365 for å beskytte mot potensielt tap eller ødeleggelse av data.

Hvordan kan jeg identifisere og unngå phishing-angrep?

Selv om de ved første øyekast kan se ut som ekte e-poster, er det faktisk noen trekk ved phishing-meldinger som gjør dem lette å gjenkjenne. Det mest karakteristiske er at de ber om personlig eller økonomisk informasjon, og truer med at det kan få alvorlige konsekvenser hvis du ikke gjør som de sier.

Når du mottar en slik e-post (som for eksempel utgir seg for å være fra banken din), bør du først sjekke om avsenderens e-post er korrekt – kriminelle bruker vanligvis e-poster som ligner på anerkjente domener, men som har én eller flere forskjeller (for eksempel ulike domenenavn).

Hvis e-posten har stave- eller grammatikkfeil eller logoen ser feil ut, bør du også bli mistenksom.

Hva er multifaktorautentisering, og hvorfor bør jeg bruke det for e-post?

Flerfaktorautentisering (MFA) gir e-postkontoen din et ekstra sikkerhetslag ved å kreve to eller flere ulike typer autentiseringsfaktorer under pålogging. For eksempel et passord og en engangskode, bekreftelse fra en betrodd enhet eller fingeravtrykksskanning.

Ved å bruke MFA reduseres risikoen for at noen får tilgang til e-postinnboksen din betydelig, selv om passordet ditt blir kompromittert.

Finnes det noen spesifikke sikkerhetsrutiner for e-post for bedrifter?

Å utarbeide retningslinjer for cybersikkerhet for bedriftens e-postkontoer og gjennomføre regelmessig opplæring i sikkerhetsbevissthet for de ansatte er en god måte å sikre at alle ansatte vet hvordan de kan beskytte kontoene og enhetene sine mot cybertrusler.

I retningslinjene kan du beskrive hvordan de kan opprette sterke passord, når og hvordan de kan bruke private enheter i jobbsammenheng, eller hvilke retningslinjer som gjelder for åpning av mottatte vedlegg.