Spear-phishing er målrettede cyberangreb, der rammer alle, uanset om det er store multinationale selskaber, små lokale virksomheder eller (frivillige) foreninger. F.eks. oplevede en af Datatilsynets ansatte, at den badmintonklub, han er medlem af, blev udsat for forsøg på spear-phishing.
Selvom det ofte er de større virksomheder, der er i de cyberkriminelles sigtekorn, går små virksomheder og foreninger ikke fri, fordi de ofte kan være ”lettere” mål. Eksempelvis har mange foreninger og små virksomheder tætte relationer til kunder, medlemmer og leverandører, hvilket gør dem til attraktive mål for hackerne, der udnytter tilliden til at angribe både den dataansvarlige, partnere, kunder og medlemmer. Derudover har de små virksomheder og foreninger – naturligvis – ikke samme fokus på og ressourcer til etablering af sikkerhedsforanstaltninger, som de store virksomheder har.
Spear-phishing-angrebene er ofte ekstremt målrettede og meget overbevisende. De cyberkriminelle bruger detaljerede oplysninger om virksomheden eller foreningen til at skabe falske beskeder – f.eks. SMS eller e-mail – der ser ud til at komme fra en, som modtageren stoler på. Det kan være en faktura fra en leverandør, en besked fra foreningen, eller en intern anmodning fra en kollega eller et andet medlem af foreningen. Målet er eksempelvis at få modtageren til at klikke på et ondsindet link, downloade en inficeret fil eller afsløre følsomme oplysninger.
Dette skaber ikke kun en trussel mod virksomheden eller foreningen selv, men også mod virksomhedens eller foreningens kunder, medlemmer og samarbejdspartnere. For eksempel kan stjålne login-oplysninger bruges til at sende falske anmodninger om betalinger til kunder, medlemmer eller samarbejdspartnere, hvilket kan føre til en kædereaktion af databrud.
Derfor er det vigtigt, at både foreninger og små virksomheder også tager skridt til at beskytte sig mod denne form for angreb. Ved at oplyse medarbejdere og medlemmer og implementere sikkerhedsforanstaltninger – såsom to-faktor-autentifikation og opdatering af software – kan virksomheder og foreninger reducere risikoen for at blive ofre for Spear-phishing.
Læs mere om behandling af sikkerhed og behandling af personoplysninger i Datatilsynets GDPR-universer for små virksomheder og små foreninger.