Hvorfor er det viktig at e-post ikke ser ut som svindel?
UiO-brukere mottar til sammen mange titalls tusen svindelfors?k p? e-post i ?ret. Legitim e-post som har fellestrekk med vanlig svindelpost vil bidra til at mottakere f?r som vane ? stole p? slik e-post og ? klikke p? lenker. Hvis vi som jobber p? UiO alltid f?lger god praksis n?r vi utformer e-post, vil det bli lettere for v?re mottakere ? skille mellom legitim e-post og svindel.
Samtidig vil mange mottakere ogs? kjenne igjen svindeltegnene i en d?rlig utformet e-postvarsling og handle deretter. UiO-CERT har mange eksempler p? legitime e-postvarslinger fra skytjenester, som har s? mange tegn p? svindel at e-postvarslingen generelt ignoreres eller rapporteres som svindel. Hvis du vil at mottakere skal f?lge opp p? din e-post, er det alts? viktig ? utforme den riktig.
E-post er en utrygg kanal hvor alt kan forfalskes, og UiO l?rer opp alle brukere til ? v?re skeptisk til e-post. Derfor m? du som avsender bruke flere metoder for ? bygge troverdighet og p?litelighet. Retningslinjene under er viktigere ? f?lge jo flere mottakere e-postvarslingen har, og jo st?rre variasjon det er i IT-kunnskapene til mottakerne. E-postvarsling for store systemer som brukes av hele UiO skal f?lge reglene tett, men for sm? tjenester med en h?ndfull IT-kyndige brukere blir det mindre viktig.
Det f?rste du b?r gj?re er ? vurdere om e-post er riktig kanal for varsling. Se retningslinjer for e-post til studenter og ansatte.
Hvis e-post er n?dvendig, sjekk at innhold, avsenderadresse og bruk av lenker f?lger retningslinjene under.
E-postens innhold
Gj?r det tydelig for mottaker hvorfor de har f?tt e-posten
Vi ?nsker ikke at mottakere skal bli vant til at viktig informasjon kommer via uoppfordrede, overraskende e-postvarslinger. En e-postvarsling m? derfor forklare hvorfor akkurat du som mottaker f?r den konkrete e-posten.
Hvis mottakere skal f?lge opp p? en e-postvarsling m? de ogs? ha f?tt tilstrekkelig oppl?ring i forkant til at de kan kjenne igjen den konkrete e-postvarslingen. Dette gjelder spesielt for mottakere som bare f?r varslinger eller skal bruke en tjeneste ved sjeldne anledninger.
Unng? generelt spr?k
"Du har en ny melding", "Et dokument har blitt delt med deg" og "Passordet ditt er i ferd med ? utl?pe" er veldig vanlige budskap i phishing. Disse budskapene etterligner generelle e-postvarslinger som enkelte legitime tjenester har sendt ut i lang tid og dessverre fremdeles sender. Derfor er det viktig ? gj?re budskapet s? spisset og relevant for mottaker som mulig. Bruk kjente UiO-begreper som setter innholdet i kontekst for mottaker.
En UiO-logo er ikke i seg selv et bevis p? troverdighet
Selv om mye e-postsvindel ser rotete og amat?rmessig ut, f?r vi ogs? mye m?lrettet phishing med profesjonelt utseende og UiO-logo. Bruk gjerne tid p? ? bygge opp en pen e-post med HTML, men ikke bruk dette som eneste virkemiddel.
Avsender
Avsender av e-postvarslinger skal som hovedregel v?re en e-postadresse med domene under uio.no, som ikke-svar@mintjeneste.uio.no. Du eller systemeier m? unders?ke om tjenesten st?tter dette. Dette krever litt arbeid ? sette opp, men er viktig fordi det er vanskelig for mottaker ? vurdere hvorvidt en avsender er legitim n?r e-postadressen har et eksternt, ukjent domene.
Lenker i e-post
Unng? lenker
Hovedregelen er ? unng? alle lenker i e-postvarslinger. Forklar heller hvordan mottaker skal navigere seg til tjenesten eller nettsiden via kjente kanaler og domener. Pr?v ogs? ? unng? ? utvikle eller kj?pe tjenester som er helt avhengige av e-postvarslinger med lenke for ? fungere.
Hvis du m? bruke lenker
Det kan likevel v?re situasjoner hvor man m? sende en lenke, for eksempel lenker til personlige skjemaer som ikke er tilgjengelig fra en forside eller hjemmeside. I disse tilfellene har vi noen krav.
Det er vanlig ? legge m?lrettet phishing bak lenker med "uio" som subdomene, som "https://uio.kredittkortsvindel.com". Derfor er det ofte en d?rlig ide at adressen til din tjeneste er "https://uio.legitim-tjeneste.com".
F?rstevalg
Lenk til en landingsside du har laget p? uio.no som deretter tar bruker videre til tjenesten. Vi anbefaler generelt ? skrive ut hele lenken i e-posten heller enn ? bygge den inn i ankertekst eller en knapp.
Andrevalg
Hvis du skal sende e-postvarslinger med direktelenke til tjenesten eller nettstedet, skal du eller systemeier unders?ke om det er mulig ? legge tjenesten eller nettsiden p? et kjent domene, for eksempel mintjeneste.uio.no. Dette krever litt arbeid, men er viktig fordi det er vanskelig for mottaker ? vurdere hvorvidt en lenke er legitim n?r den peker til en ekstern tjeneste med et ukjent domene.
Vi anbefaler generelt ? skrive ut hele lenken i e-posten heller enn ? bygge den inn i ankertekst eller en knapp.
Sistevalg
E-postvarslinger med direkte lenke til et domene utenfor UiO skal i utgangspunktet aldri brukes. R?df?r deg med IT-avdelingen f?r du beslutter dette.