3 viktiga slutsatser
- Nätfiske är ett större hot än skolor inser: Endast 27% av skoldistrikten ser nätfiske som en hög risk, men det är ett vanligt sätt som hackare riktar in sig på grundskolor och gymnasieskolor, vilket utsätter elever, personal och data för fara.
- Medvetenhet och verifiering är nyckeln: Lär personalen att upptäcka nätfiskemejl och verifiera misstänkta förfrågningar via telefon eller sms, inte e-post, för att undvika att falla för sofistikerade attacker.
- Använd gratisverktyg och resistent MFA: Plattformar som Microsoft 365 och Google Workspace har inbyggda funktioner för att upptäcka nätfiske, och nätfiskeresistenta MFA som PassKeys kan blockera hackare även om de stjäl inloggningsuppgifter.
Nätfiske är ett stort hot mot grundskolor och gymnasieskolor, särskilt eftersom många inte har budgeten eller personalen för att ta itu med det direkt. I avsnitt 6 av Lightning Chat satte sig John Genter, Chief Information Security Officer på Lightspeed Systems, och Brad White, Principal Applications Security Architect, ner för att prata om detta. Med över 30 års samarbete inom cybersäkerhet och djupa band till utbildningsväsendet (John var skolstyrelseledamot i 22 år, och Brad kommer från en lärarfamilj) förklarade de varför nätfiske är en större sak än de flesta skolor tror och delade med sig av praktiska och billiga sätt att bekämpa det.
Skolor är större måltavlor än du tror
John inledde med ett överraskande faktum från en CoSN-rapport: ”Endast 27% av skoldistrikten identifierade nätfiske som en hög risk.” Det är en stor miss, särskilt med tanke på vad Cybersecurity and Infrastructure Security Agency (CISA) säger: ”illvilliga cyberaktörer riktar in sig på grundskole- och gymnasieutbildningar över hela landet med potentiellt katastrofala konsekvenser för elever, deras familjer, lärare och administratörer.” Brad höll med och sa: ”K-12 är ett relativt mjukt mål av flera anledningar.” Varför? Här är sammanfattningen:
- Snäva budgetar: Skolor har ofta inte råd med förstklassiga cybersäkerhetsverktyg.
- Små IT-team: Färre människor innebär att det är svårare att hålla sig uppdaterad om hoten.
- Felaktig tankegång: Många tror att skolor inte är värda att rikta in sig på, men hackare vet att de är ett lätt måltavla.
John delade med sig av ett exempel från verkligheten: ”Bara under de senaste veckorna har vi sett fem komprometterade konton hos kunder som försöker nätfiska Lightspeed-anställda.” Brad förklarade hur dessa attacker fungerar: ”Hotaktörer använder sofistikerade adversary-in-the-middle-attacker ... och stjäl både användarens användarnamn och lösenord samt deras sessionstoken, även om de använder MFA.” Dessa attacker kan drabba vem som helst – IT-personal, lärare, you name it – och de kan smyga förbi standard multifaktorautentisering (MFA) om den inte är byggd för att stoppa nätfiske.
Enkla, kostnadsfria sätt att skydda sig mot nätfiskeförsök
John och Brad var tydliga: man behöver inte en stor budget för att börja bekämpa nätfiske. Medvetenhet är det första steget. Brad uttryckte det enkelt: ”Det billigaste är helt enkelt ökad medvetenhet. Se till att dina användare vet att de är måltavlor för nätfiskeattacker och bör vara extra försiktiga med oväntade e-postmeddelanden.” John hade en fängslande fras för detta, en replik av Ronald Reagan: ”lita på men verifiera”, eller ännu bättre, ”svara inte, verifiera”. Deras tips inkluderar:
- Dubbelkolla konstiga mejl: Om du i ett e-postmeddelande blir ombedd att göra något konstigt, som att klicka på en länk, svara inte på det. Ring eller skicka ett sms till avsändaren istället. Brad varnade: ”Vi har sett fall där hotaktörerna har kontroll över avsändarens e-postinkorg.”
- Få alla med på tåget: Från rektorer till vårdnadshavare, se till att all personal vet att de kan bli måltavlor och hur nätfiske ser ut.
Tekniska knep för att låsa ner saker
På tekniksidan drev de på för nätfiskeresistent MFA. Brad sa att vanliga MFA-metoder, som sms-koder eller appaviseringar, "kan stjälas av adversary-in-the-middle-attacker". Välj istället "FIDO-baserade tokens, som UVKeys eller PassKeys ... som Windows Hello". John tillade: "Även grundläggande MFA är bättre än ingenting", men den nätfiskeresistenta typen är revolutionerande. De pekade också på gratisverktyg i plattformar som Microsoft 365 eller Google Workspace:
- Håll koll på loggarna: Kontrollera om det finns konstiga e-postregler, som att meddelanden markeras som lästa och flyttas till dolda mappar, eller inloggningar från udda platser.
- Var skarp för lömska attacker: Brad noterade: ”De observerar en användares beteende när de får åtkomst ... och får en maskin i närheten”, vilket gör det svårt att upptäcka obehöriga inloggningar.
Begränsa nätfiskeskador med minsta möjliga behörighet
En annan viktig idé var att begränsa åtkomsten för att minska skador om någon blir hackad. Brad sa: ”Ge dem inte bara automatiskt tillgång till allt. Ge dem tillgång till det de behöver.” John jämförde det med en ubåt: ”Om du har ett intrång i en del ... sänker det inte hela ubåten.” Så här gör du:
- Ge precis tillräckligt med åtkomst: I Office 365 eller Google Workspace, låt bara personalen använda de verktyg de behöver, som e-post eller Word, inte SharePoint eller Teams.
- Justera allt eftersom: Om någons jobb ändras, uppdatera deras åtkomst för att hålla saker säkra utan att sakta ner dem.
Kort, frekvent utbildning är bättre än långa föreläsningar
Glöm timslånga träningspass en gång om året. John och Brad sa att korta, regelbundna påminnelser fungerar bättre. John delade med sig av hur Lightspeed gör ett "veckotips" i sitt nyhetsbrev, och Brad gillade idén med "kortare, mer regelbunden kommunikation" för att hålla alla alerta. De föreslog:
- Veckovisa uppdateringar: Skicka snabba mejl med verkliga exempel, som ”det här är vad som händer där ute nu… här är några länkar till andra K-12-organisationer som har blivit komprometterade.”
- Gör rapporteringen enkel: Uppmuntra personalen att snabbt flagga konstiga e-postmeddelanden, utan att döma.
Sammanfattning: Var uppmärksam på nätfiske
Brads sista ord var rakt på sak: ”Se till att era användare är medvetna om att de är måltavlor för nätfiske. De är verkligen måltavlor för nätfiske, garanterat, 100%.” Han förespråkade att man skulle använda lösenord, som fungerar på de flesta enheter, för konton som inte är studentkonton. John föreslog att man skulle kolla in CoSN-rapporten och CISA:s webbplats för mer råd.
Nätfiske är inte bara ett problem för stora företag – det drabbar skolor hårt. Genom att sprida medvetenhet, använda nätfiskeresistent MFA och utnyttja gratisverktyg kan skolor minska sina risker avsevärt. Som John och Brad visade i Lightning Chat avsnitt 6 kan några smarta och kostnadseffektiva åtgärder skydda elever, personal och data. Se hela avsnittet och håll er vaksamma!
