8 bästa praxis för e-postsäkerhet som du bör följa

​

Källa

Och titta på hur många människor från olika åldersgrupper förlitar sig på e-post för kommunikation:

• 94% för generation Z
• 98% av millenniegenerationen
• 98% av Gen X
• 95% av personer med hög medelålder
• och till och med 90% från den tysta generationen!

Lägg därtill att e-postmarknadsföring valdes som den mest effektiva kanalen av marknadsförare i Hubspots State of Marketing Report 2022, och du kan se varför e-postmarknadsföring blomstrar, trots att så många människor har förutspått e-postens död i åratal.

Varför är e-postsäkerhet viktigt?

Tyvärr är e-post också en av de mest värdefulla metoderna för kriminella att angripa ett företag eller stjäla vanliga användares personuppgifter. CISCO:s rapport om trender för cybersäkerhetshot 2021 fann att cirka 90% av dataintrången sker på grund av phishing via e-post.

Och det är inte slutet på de oroande nyheterna:

• 3,4 miljarder phishingmejl skickas varje dag
• År 2022, antalet skadliga nätfiskemeddelanden ökade med 569% och antalet rapporter om hot relaterade till nätfiske av inloggningsuppgifter ökade med 478%.
• BEC-attacker (Business email compromise) ökade med 81% under 2022
• Utan ordentlig säkerhetsutbildning, en av tre anställda kommer att falla för nätfiskebedrägerier

• Endast 15% av IT administratörer genomdriva användningen av tvåfaktorsautentisering.

Cyberbrottslingar utnyttjar också det faktum att människor idag får så många e-postmeddelanden att de knappast har tillräckligt med tid för att noggrant läsa varje e-postmeddelande de får och kontrollera om de innehåller skräppost. Det gäller särskilt för anställda, som i genomsnitt får 100-120 e-postmeddelanden dagligen. Vem har tid att kontrollera varje e-post för säkerhetskrav, vare sig det gäller affärs- eller privata e-postmeddelanden?

Så med lite social ingenjörskonst kan brottslingar snabbt få dem att klicka på en phishing-länk eller ladda ner en skadlig bilaga. Detta är utöver hackare som riktar in sig på företagstelefoner som anställda använder som VOIP-system.

Som tur är finns det några enkla saker du kan göra för att skydda din inkorg - och på så sätt även dina personuppgifter eller företagsdata. Så låt oss titta på 8 bästa praxis för e-postsäkerhet som kan göra cyberbrottslingarnas "jobb" mycket svårare.

Skapa starka lösenord

Att använda starka lösenord är ett av de bästa sätten att skydda dina e-postkonton och din privata information från hackare. Här är några sätt att hålla en hög säkerhetsstandard när det gäller lösenord:

• Inte använda någon uppenbar personlig information eller vanliga ord
• Att vara en blandning av bokstäver, siffror och symboler
• Minst 10 tecken (experter rekommenderar 14-16) 

Källa 

Men med tanke på hur många onlinekonton (både privata och arbetsrelaterade) vi alla använder, kan det vara ganska knepigt att skapa och sedan komma ihåg 20 eller så komplexa lösenord.

Här är var verktyg för lösenordshantering kan vara till stor hjälp. Dessa verktyg kan generera unika lösenord som är extremt svåra att forcera för varje applikation och sedan lagra dem i sin databas - användarna behöver sedan bara komma ihåg ett "huvudlösenord" för att låsa upp databasen.

Ett annat populärt alternativ nu är lösenfraser - lösenord som består av en sträng med ord snarare än slumpmässiga tecken. Eftersom de vanligtvis är längre än vanliga lösenord är de svårare att forcera. Med lösenfraser är det dessutom lättare att skapa minnesvärda men säkra lösenord för kontona.

För att se hur säkra dina egna lösenord är kan du använda Security.org's Verktyget How Secure Is My Password. Så här ser det ut för ett av våra konton:

Återanvänd inte lösenord för olika konton

Återanvändning av lösenord är ett annat utbrett säkerhetsproblem. First Contact-studien visade till exempel att 51% av befolkningen använder samma lösenord för jobbkonton och privata konton. 

Källa

Vad som är ännu värre är att 70% av de användare som hade sina Lösenord har läckt ut fortfarande använde dem!

Anledningen till att detta är en så dålig idé är enkel. Cyberbrottslingar vet mycket väl hur många som återanvänder sina lösenord, så de kontrollerar alltid hur många konton de kan låsa upp med ett lösenord. Om du till exempel använder ett lösenord för 5 personliga konton, kommer alla 5 konton att äventyras om lösenordet läcker ut.

Att använda samma lösenord för företagskonton och privata konton är särskilt farligt eftersom hackare på så sätt snabbt kan få tillgång till din jobbmejl - och de uppgifter som finns i den. Företags e-postsäkerhet skiljer sig avsevärt från den e-post du använder för personliga behov och skadligt innehåll i arbetsrelaterade e-postmeddelanden är mycket värre än en nigeriansk bluff i din personliga e-post.

Använd autentisering med flera faktorer

Och när vi ändå är inne på ämnet säkra konton - att lägga till en extra verifieringsåtgärd kan också märkbart öka säkerheten för ditt konto. Med 2FA och MFA kommer hackare, även om de stjäl inloggningsuppgifter och lösenord, inte åt inkorgen förrän de har bekräftat sin identitet genom ytterligare säkerhetskontroller - och det kan vara tillräckligt för att de ska ge upp.

Efter att ha implementerat 2FA och krävt att deras användare använder det vid varje inloggning, Google sa att de såg en minskning av kontobrott med 50%.

Hur kan du lägga till det i ditt konto, till exempel Gmail? Det är faktiskt ganska enkelt. För att säkra ditt personliga konto med 2FA behöver du göra följande:

1. Öppna ditt Google-konto.
2. Välj Säkerhet i navigeringspanelen.
3. Under "Logga in på Google" väljer du 2-stegsverifiering och sedan Kom igång.
4. Följ stegen på skärmen.

För företagskonton under tiden, Du hittar 2FA-alternativet i din adminkonsol, under Meny → Säkerhet→ Autentisering→ 2-stegsverifiering. Därifrån kan du också ställa in om MFA ska vara obligatoriskt för alla användare eller bara specifika grupper och vilka metoder de kan välja för verifieringen.

E-postsystem som Gmail kommer att flagga misstänkt aktivitet och be dig att göra tvåfaktorsautentisering innan du får se något e-postinnehåll. Om du är den faktiska personen som försöker logga in kan du göra det på några sekunder. Detta kan förhindra många e-posthot.

Utbilda anställda i bästa praxis för e-postsäkerhet

Även de mest komplicerade lösenord och flera ytterligare säkerhetskontroller kommer inte att vara till någon större hjälp om de anställda inte vet eller förstår varför det är så viktigt att säkra sina konton. Verizon rapport om dataintrång (DBIR) för 2023 fann att användarnas slarv var orsaken till 98% av dataintrången - och cyberbrottslingar vet exakt hur de ska använda detta till sin fördel.

Regelbunden utbildning i cybersäkerhet är ett utmärkt sätt att lära medarbetarna konsekvenserna av ett dataintrång och vad de kan göra för att förhindra det. Du kan använda dessa för att prata med dem om företagets policy för e-postsäkerhet, hot mot e-postsäkerheten som de kan stöta på och rekommenderade bästa metoder för att säkra sina konton.

Du kan till exempel lära dem om värdet av e-postkryptering, att inte öppna misstänkta e-postmeddelanden eller att inte komma åt e-post via ett allmänt wi-fi-nätverk. Dessutom att inte öppna oönskad e-post, att försöka använda antivirusprogram och i allmänhet se upp för okända avsändare.

Utbildning i cybersäkerhet är också ett bra sätt att lära dina anställda hur de ska reagera när de upptäcker att ett intrång redan har skett - och vem de ska larma om intrånget. På så sätt kan intrånget stoppas snabbare - och skadorna som det orsakar kan också minskas.

Var försiktig med e-postbilagor och misstänkta länkar

94% av skadlig kod levereras via e-post - antingen genom bilagor som ser äkta ut eller länkar till till synes välrenommerade webbplatser. Och även om Gmails algoritmer och antimalwareprogram kan upptäcka och blockera de flesta misstänkta bilagor eller webbplatser, kan vissa av de mer sofistikerade attackerna fortfarande passera radarn.

Därför bör vanliga användare och anställda vara försiktiga när de får e-postmeddelanden med bilagor eller uppmaningar att klicka på en medföljande länk. Här är några tecken på att bilagan eller länken kan komma från hackare:

• Filändelsen matchar inte filtypen (t.ex. slutar filen med en dubbeländelse, som doc.exe, eller så har den endast en körbar filändelse. Du bör vara särskilt misstänksam om du får bilagor som slutar med exe-, jar- eller rar/zip-tillägg).
• Avsändaradressen är något annorlunda än den du hittar på deras webbplats/din e-postlista - detta är ett säkert tecken på skräppost.
• E-postmeddelandet som ser ut att komma från en betrodd källa (t.ex. din bank) innehåller stavfel, grammatikfel, formateringsfel eller interpunktionsfel.
• Meddelandet uppmanar dig att öppna bilagan eller klicka på länken så snart som möjligt eftersom du annars kan drabbas av vissa konsekvenser (det ökända "Ditt kreditkort kommer snart att blockeras" är det bästa exemplet här)

För att vara på den säkra sidan är det bäst att alltid ringa avsändaren och fråga om e-postmeddelandet om du har några tvivel och skanna alla bilagor du får efter virus eller skadlig kod. Eller så kan du bara kopiera avsändarnamnet, länken eller en del av meddelandet och lägga in det i sökmotorn - andra användare kanske redan har markerat det som farligt.

Uppdatera regelbundet ditt antivirus- eller antimalwareprogram

Moderna antimalware-lösningar kan skydda dina enheter mot många olika hot - virus, trojaner, skadlig kod, ransomware och även misstänkta webbplatser. Förutsättningen är att de uppdateras regelbundet. Cyberbrottslingar uppfinner nya metoder för att angripa enheter och stjäla data i stort sett varje dag - och varje dag, 560 000 nya delar av skadlig kod upptäcks.

Om de antivirusprogram du använder inte uppdateras regelbundet kan de missa det nya hotet - vilket innebär att ditt e-postkonto och hela enheten utsätts för risk.

De flesta populära cybersäkerhetsplattformar har dock möjlighet att installera dessa uppdateringar automatiskt - så om du vill se till att din plattform alltid är uppdaterad är det värt att kryssa i det här alternativet.

Använda autentiseringsprotokoll för e-post

Genom att implementera autentiseringsprotokoll för dina arbetsdomäner kan du också göra dina konton mycket säkrare och identifiera illvilliga avsikter genom olika former av identifiering.

Autentiseringsprotokoll för e-post har utformats för att förhindra nätfiskeattacker, e-postförfalskning och BEC-attacker genom att verifiera om e-postmeddelandet kommer från en legitim avsändare. Med enklare ord kontrollerar dessa protokoll om de senaste e-postmeddelandena från marknadsföringskampanjer skickas av dig eller om någon utger sig för att vara ditt varumärke.

För närvarande har vi tre autentiseringsprotokoll:

• SPF (ramverk för avsändarpolicy) Granskar avsändarens IP-adress för att säkerställa att varje e-postmeddelande kommer från en betrodd IP-adress.
• DKIM (Domain Keys Identified Mail) - (Domännycklar som identifierar e-post) använder kryptering med offentlig/privat nyckel för att signera e-postmeddelanden och bevisa att meddelandena inte har ändrats.
• DMARC (Domain-based Message Authentication Reporting and Conformance) - Domänbaserad autentisering av meddelanden, rapportering och efterlevnad säkerställer att e-postmeddelandet uppfyller kraven för SPF och DKIM innan det levereras.

Genom att använda dessa protokoll kan du försäkra dina kunder och prenumeranter om att dina domäner inte kommer att falla offer för e-postförfalskning och att de e-postmeddelanden de får definitivt kommer från dig. Vi nämnde några andra fördelar med dessa protokoll i vår andra artikel om autentiseringsmetoder, så du kanske vill läsa det också.

När du skickar ut kampanjer, se till att dina listor är rena

Vårt sista tips - regelbundet rensa dina e-postlistor.

Okej, du har hört att rensning av e-postlistor kan öka din leveransgrad, förbättra ditt domänrykte och ge dig bättre ROI, men vad har det att göra med säkerhet? En hel del, faktiskt! Genom att granska adresserna i din e-postlista kan du upptäcka inaktiva och föråldrade e-postadresser, men också misstänkta adresser som kan tillhöra spammare - eller internetleverantörer, som syftar till att hitta och straffa spammare.

Om det visar sig att du skickar e-post till dessa domäner är risken stor att ditt domänrykte får sig en törn - och i värsta fall kan du till och med bli svartlistad.

Hur kan du upptäcka alla dessa giftiga e-postmeddelanden i din lista utan att behöva ägna flera dagar (eller mer) åt att verifiera dem manuellt? E-postbekräftelse för utkastare verktyg kan hjälpa dig här.

Lägg bara till din e-postlista (upp till 250 000 adresser) i appen, så visar Bouncer vilka e-postmeddelanden som tillhör riktiga användare, hur sannolikt det är att e-postmeddelandena kommer att studsa och visar dig också:

• e-postadresser som utsatts för intrång eller hackats
• ogiltiga adresser eller domäner
• skräppostfälloretc.

Bouncer bedömer också hur giftiga e-postmeddelandena är (från 1 till 5) så att du vet vilka adresser du bör ta bort direkt.

Det låter användbart, eller hur? Då så, hur man använder Bouncer för din nästa e-postkampanj? Med en helt ren e-postlista blir det enklare än någonsin att göra din nästa kampanj till en succé och samtidigt skydda din e-postdomän.

Dags att förstärka dina e-postkonton

För att hålla ditt privata e-postkonto och ditt företags e-postkonto (och uppgifterna i det) borta från cyberbrottslingar måste du vidta alla säkerhetsåtgärder du kan och säga adjö till att oroa dig för skadliga aktiviteter, potentiella hot och misstänkta meddelanden.

Starka lösenord som byts regelbundet, flerfaktorsautentisering, regelbundna uppdateringar av antivirusverktygen och vaksamhet mot nätfiske eller infektionsförsök är alla viktiga faktorer när det gäller att skydda dina konton.

Och med förstärkt kontosäkerhet kan du enkelt avvärja alla nätfiskeattacker eller intrångsförsök.

VANLIGA FRÅGOR: Bästa praxis för e-postsäkerhet

Hur kan jag skydda mitt professionella e-postkonto?

Det bästa sättet att göra ditt konto säkrare är att använda starka och unika lösenord för varje konto du använder - du kan använda lösenordshanterare för detta. En smart idé är också att aktivera tvåfaktorsautentisering (eller fler) för ett extra lager av säkerhet. Om du använder Exchange Online för e-post bör du överväga att implementera en tillförlitlig lösning för säkerhetskopiering av data för Microsoft 365 för att skydda mot eventuell förlust eller förvanskning av data.

Hur kan jag identifiera och undvika nätfiskeattacker?

Även om de vid första anblicken kan se ut precis som äkta e-postmeddelanden finns det faktiskt några egenskaper hos nätfiskemeddelanden som gör dem lätta att känna igen. Det mest karakteristiska är att de ber om personlig eller finansiell information och hotar med att du kan drabbas av allvarliga konsekvenser om du inte följer uppmaningen.

Om du får ett sådant e-postmeddelande (som påstås komma från t.ex. din bank) bör du först kontrollera om avsändarens e-postadress är korrekt - brottslingar använder vanligtvis e-postmeddelanden som liknar välrenommerade domäner men som har en eller flera skillnader (t.ex. olika domännamn).

Om e-postmeddelandet innehåller stavfel eller grammatikfel eller om logotypen ser fel ut bör det också väcka dina misstankar.

Vad är flerfaktorsautentisering och varför ska jag använda det för e-post?

Autentisering med flera faktorer (MFA) ger ditt e-postkonto ett extra lager av säkerhet genom att kräva två eller flera olika typer av autentiseringsfaktorer vid inloggning. Till exempel ett lösenord och en engångsverifieringskod, bekräftelse från en betrodd enhet eller en fingeravtrycksläsning.

Med MFA minskar risken avsevärt för att någon ska få tillgång till din inkorg, även om ditt lösenord komprometteras.

Finns det några särskilda rutiner för e-postsäkerhet för företag?

Att skapa en cybersäkerhetspolicy för företagets e-postkonton och regelbundet utbilda medarbetarna i säkerhetsfrågor är ett bra sätt att se till att alla anställda vet hur de kan skydda sina konton och enheter från cyberhot.

I policyn kan du beskriva hur de kan skapa starka lösenord, när och hur de kan använda privata enheter i arbetet eller vilka riktlinjer som gäller för att öppna mottagna bilagor.