Nätfiskeattacker fortsätter att plåga små företag

Nätfiske via mejl är fortsatt vanligast

Problemet med nätfiskemejl är lika gammalt som själva mejlsystemet. Angripare skickar kopiösa mängder nätfiskemejl i hopp om att medarbetare ska luras att lämna ifrån sig information eller infektera sina datorer. SSF:s rapport ”Små företags syn på cybersäkerhet ” undersöker det förstnämnda. Frågan ställdes till vd:ar och ägare av svenska företag med 1-49 anställda. 75 procent svarade att företaget, under det senaste året, hade tagit emot nätfiskemejl med syfte att få tillgång till personliga uppgifter.

Den höga siffran är värd att ta på allvar i och med risken för lösenordsläckor. I april avslöjade Sydsvenskan att Malmö stad hade utfört ett nätfisketest där en tredjedel av medarbetarna lurats att klicka på länkar. 2022 utförde Malmö universitet ett liknande nätfisketest. Sydsvenskan rapporterade då att var tionde medarbetare (179 av 1 800) inte bara klickade på länkarna utan också läckte sina inloggningsuppgifter.

För svenska småföretag är situationen extra allvarlig eftersom SSF:s undersökning visar att knappt hälften av företagen använder tvåfaktorsautentisering (läs mer i artikeln Små företag slarvar med tvåfaktorsautentisering ). Det är därför viktigt att utbilda medarbetarna i hur de avslöjar nätfiskemejl (se exempelvis vår guide Se upp för nätfiskemejl ). Det är också lämpligt att konfigurera mejlservern så att den lägger in automatiska varningar i mejl från avsändare som mottagarna sällan har kontakt med.

Nätfiske-sms är vanligt förekommande

Även om mejl fortsätter att vara det vanligaste nätfiskesättet är nätfiske-sms också vanligt förekommande. Undersökningen visar att 55 procent av företagen vet om att de fick nätfiske-sms under det senaste året.

Sms-baserade nätfiskeattacker är värda att ta på allvar eftersom sms-systemet saknar avsändarkontroll. I mejlsammanhang kan medarbetarna granska avsändaradressen. Någon sådan möjlighet finns inte för sms. De svenska operatörerna blockerar uppenbara nätfiske-sms, men bevisligen slinker det fortfarande igenom många bedrägliga meddelanden.

I och med sms-systemets brister är det viktigt att medarbetarna aldrig litar på avsändaren av ett sms. Medarbetarna får därför aldrig heller lita på informationen däri. Företaget bör utbilda medarbetarna så att de enbart ser sms-meddelanden som notiser. När de får ett sms bör de själva uppsöka den påstådda avsändarens webbplats för att läsa mer där.

Bluffsamtal förekommer än idag

Utöver nätfiskemejl och -sms utsätts svenska företag än idag för bedrägliga telefonsamtal. Bedragare ringer och påstår sig vara någon annan i syfte att få tillgång till personliga uppgifter. I undersökningen uppges en fjärdedel av företagen (27 procent) ha fått sådana samtal under det senaste året.

Telefonsystemet dras med samma problem som sms-systemet: det går inte att lita på uppringarnumret. Telefonsamtal kan ”spoofas”, vilket innebär att bedragare kan ringa från någon annans nummer.

Förhoppningsvis kommer spoofing-problemet att minska under året. Sedan mars 2025 måste de svenska operatörerna ha teknik för att blockera samtal från svenska telefonnummer som spoofas från utlandet. Åtgärderna förhindrar dock inte all form av spoofing. I mitten av mars demonstrerade SSF, live i TV4 Nyhetsmorgon, att svenska mobilnummer fortfarande var lätta att spoofa. Läs mer om detta i artikeln om vårt spoofing-test .

Samarbetsplattformar löser många problem

Säkra samarbetsplattformar, till exempel Teams, Slack eller Element, löser många av nätfiskeproblemen. På dessa plattformar kan medarbetarna lita på att de pratar med rätt person. Detta gäller både meddelanden och samtal. Avsändaren av meddelanden och uppringaren av samtal är alltid verifierade på dessa samarbetsplattformar.

Företag gör därför klokt i att använda säkra samarbetsplattformar i stället för mejl, sms och telefoni när möjligheten finns. Då förbättras dessutom informationssäkerheten. Information som delas via säkra samarbetsplattformar är alltid krypterad så att den inte kan läsas eller avlyssnas av någon utomstående.

Ladda ned rapporten

Mer information om små företags syn på cybersäkerhet finns i SSF:s kostnadsfria rapport . Denna artikel är den fjärde delen i en serie om fem artiklar som analyserar resultatet och rekommenderar lämpliga åtgärder.

• Små företag slarvar med tvåfaktorsautentisering (del 1)
• Små företag är oroliga för att dokument försvinner (del 2)
• Även små företag drabbas av utpressningstrojaner och dataintrång (del 3)
• Nätfiskeattacker fortsätter att plåga små företag (del 4)
• Ökade krav på cybersäkerhet från kunder och leverantörer (del 5, kommande)