Hade du klickat på länken?

”Fåglarna kvittrar utanför fönstret och kaffekokaren puttrar lovande i bakgrunden. Du hoppar i dina välanvända mjukisbyxor, men väljer ett lite mer presentabelt klädesplagg som överdel. Klockan närmar sig 08.00 och du är redo för en ny arbetsdag på hemmakontoret!

När kaffet äntligen är på rätt plats (i en kopp nära dig), slår du dig ner framför datorn som numera är din permanenta dejt vid matbordet. Per automatik far muspekaren mot mejl-ikonen på skärmen och du lutar dig bakåt i stolen. Förstrött scrollar du igenom de oöppnade mejlen som anlänt. Plötsligt hajar du till. Ett mejl med rubriken ”Dina uppgifter behöver uppdateras” från ekonomiavdelningen hos din arbetsgivare tar upp skärmen. Du rynkar pannan och läser vidare. Mejlet beskriver att du måste uppdatera dina kontouppgifter för att din lön ska kunna betalas ut nästa månad, på grund av en uppdatering av lönesystemet som gått snett. Fundersam synar du avsändaren. Det är ju lite konstigt att du inte har informerats av din chef kring detta. Samtidigt ser det ut som andra mejl från ekonomiavdelningen. Du låter musen glida över den blå länken som avslutar mejlet. Det är via den uppgifterna ska uppdateras. Du ryser till, vilken mardröm att gå miste om nästa lön!”  

Här sitter jag på mitt hemmakontor och klurar på hur man egentligen står emot en phishingattack.

Så, hade du klickat på länken? Om du hade gjort det, finns det en risk att du precis nappat på betet i en cyberattack. Phishing, eller nätfiske, är i dag ett vanligt tillvägagångssätt för cyberkriminella att lura till sig personuppgifter eller installera skadlig programvara på din dator. Genom att utge sig för att vara ett legitimt företag eller en välkänd person inom ett företag, är de cyberkriminella experter på att utnyttja våra mänskliga svagheter och få oss att uppge personlig data på fejkade landningssidor eller att öppna dokument som innehåller skadlig kod.

Varför svamlar du på om såhär obehagliga saker på en karriärblogg, kanske du tänker? Förutom att jag tycker att allt som har med cybersäkerhet att göra är sjukt intressant, så jobbar jag faktiskt just nu med ett projekt som handlar om just phishing. Jag har fått chansen att arbeta med phishing i ett internt projekt genom EY:s onboardingprogram, SPOT ON (mer om det alldeles strax!). Projektet grundar sig i att vi vill vidareutveckla de tjänster som vi i dag erbjuder våra kunder, för att kunna ge dem ännu mer stöd för att stå emot cyberattacker som exempelvis en phishingattack. Men, hur gör man då det?

Jo, ett viktigt begrepp när man pratar om cybersäkerhet är säkerhetskultur. Det här begreppet skulle man ganska förenklat kunna bryta ner i några frågor: Hur medvetna är anställda på ett företag om hotet från exempelvis phishing? Vet alla vad som karakteriserar ett phishingmejl? Vart vänder man sig om man identifierar ett potentiellt phishingmejl? En viktig del i vårt projekt är att hjälpa våra kunder att bli mer säkerhetsmedvetna och därmed förbättra företagets säkerhetskultur. Detta kan man såklart göra på flera sätt, men vi fokuserar på att mäta hur säkerhetsmedvetna anställda på ett företag är, genom att använda oss av phishing-simulationer. På det sättet ska vi kunna få en indikation på hur säkerhetsmedvetna anställda på ett företag är, och vilka potentiella åtgärder som behövs för att förbättra säkerhetskulturen på företaget.

Så, tillbaka till SPOT ON. Det är alltså ett nordiskt karriärutvecklingsprogram som vi nyanställda konsulter på EY deltar i. Syftet med programmet är att skapa en trygg omgivning för nyanställda att skaffa sig de verktyg som man kan tänkas behöva som konsult på EY. Under två år deltar man i kurser inom exempelvis Excel, presentationstekniker, projektledning och mycket mer.

Förutom kurserna består SPOT ON även av de interna projekten (eller toppuppdrag som vi kallar dem), precis som det jag just nu är involverad i. Denna typ av interna projekt är beställda av mer seniora kollegor som behöver hjälp med något relaterat till deras jobb. Det som jag tycker är extra kul med detta upplägg av projekt, är att du själv utmanas att ta mer ansvar. Du förväntas vara den drivande faktorn i projektet på ett annat sätt än vad man kanske gör som nyanställd i ett externt projekt som involverar en kund. Och eftersom dessa uppdrag kan handla om väldigt många olika ämnen, erbjuds man chansen att få jobba med något som man verkligen brinner för – en riktig win-win-situation! 🙂

Ibland måste man ta sig ur cybersäkerhetsbubblan, här i form av en lunchrast som kombinerade mountainbiking och snowracing.

Avslutningsvis, vem vore väl jag om jag inte bjöd på några tips om hur man undviker att nappa på betet av ett phishingmejl? Det finns såklart ett helt hav av tips och tricks för att inte fastna på kroken. Och om du inte redan tröttnat på fiskreferenserna i detta inlägg, här kommer ett (l)axplock av dessa tips:
1. Sakta ned! Ofta tenderar vi människor att vara lite för snabba, och öppnar dokument eller klickar på länkar utan att hinna reagera på om ett mejl ser suspekt ut.
2. Syna avsändaren – Ta för vana att släng ett öga på avsändarens e-mail samt domännamn. Även om rubriken och innehållet i mejlet verkar okej, kan det vara skickat från en adress som inte stavas som den borde. 
3. Hovra över länkar – Innan du klickar på en länk, hovra över den med musen för att se vilken länk som är den riktiga destinationen. Om denna länk inte har något med avsändaren att göra, kan det vara phishing.

Det var allt för mig denna gång. Något du funderar på? Tveka inte att slänga iväg ett meddelande på LinkedIn.

Till vi hörs igen – simma lugnt!