Hvis du fik endnu en e-mail i dag, der hævder, at du har vundet i lotteriet eller arvet penge fra en for længst mistet slægtning. Måske virker det for godt til at være sandt. Du er smart til at være mistænksom – det er sandsynligvis et phishing-svindel. Phishing er, når cyberkriminelle forsøger at narre dig til at opgive personlige oplysninger eller downloade malware ved at sende svigagtige beskeder, der ser ud til at komme fra et velrenommeret firma eller websted.
Du har sikkert hørt om phishing før, men kender du alle de luskede måder, svindlere forsøger at få deres ofre på? I denne artikel vil vi udforske de forskellige phishing-teknikker, som svindlere bruger, og give eksempler fra den virkelige verden, så du bedre kan få øje på og undgå disse ondsindede beskeder.
Hvad er phishing?
Phishing er et cyberangreb, hvor svindlere bruger e-mail eller ondsindede websteder til at stjæle dine personlige oplysninger såsom adgangskoder, kontonumre eller kreditkortnumre. Svindlerne forklæder sig som en legitim virksomhed eller hjemmeside for at narre dig til at levere følsomme data.
Når svindlere har dine oplysninger, kan de få adgang til dine konti, foretage køb i dit navn eller begå identitetstyveri. Phishing-svindel er blevet mere og mere sofistikeret, så det er vigtigt at være på vagt.
Almindelige tegn på en phishing-e-mail eller -meddelelse omfatter:
- Opfordrer dig til at handle hurtigt eller give oplysninger med det samme
- Dårlig grammatik eller stavefejl
- Et utroligt tilbud, en aftale eller en belønning
- En afsenderadresse, der ikke matcher firmanavnet
Legitime virksomheder vil aldrig bede om følsomme data via e-mail. Hvis noget lyder dårligt, er det bedst at slette beskeden.
Nogle velkendte phishing-teknikker inkluderer:
- Spyd phishing: Målrettet angreb rettet mod en bestemt person eller virksomhed. Svindlere bruger personlige oplysninger til at vinde tillid.
- Hvalfangst: Spyd-phishing rettet mod ledere på højt niveau eller “store fisk”. Svindlere udgiver sig for at være en kollega eller klient for at stjæle virksomhedsdata eller penge.
- Smishing: Phishing via SMS i stedet for e-mail. Meddelelser ser ud til at være fra banker, transportører eller leveringsfirmaer for at få kontonumre eller engangsadgangskoder.
- Vishing: Phishing over telefonen. Svindlere efterligner teknisk support, bankrepræsentanter eller offentlige myndigheder for at narre folk til at give kontoadgang eller overføre penge.
Almindelige phishing-teknikker og angrebsvektorer
Phishere bruger smarte teknikker til at narre dig til at give dem dine personlige oplysninger. Vær på vagt for disse almindelige phishing-angrebsvektorer:
1. E-mails
Den mest almindelige phishing-taktik er svigagtige e-mails, der foregiver at være fra et legitimt firma. Disse e-mails hævder ofte, at der er et problem med din konto eller betalingsoplysninger, så du bliver bedt om at klikke på et link eller downloade en vedhæftet fil. Klik aldrig på links eller download vedhæftede filer fra uopfordrede e-mails.
2. Tekstbeskeder
Phishing-sms, eller “smishing”, hævder, at der er et problem med en levering eller din bankkonto for at få dig til at klikke på et link eller ringe til et nummer. Som e-mails, klik aldrig på links eller opkaldsnumre fra uopfordrede tekster.
3. Telefonopkald
“Vishing” bruger telefonopkald fra svindlere, der udgiver sig for at være repræsentanter fra din bank, kreditkortudsteder eller teknologiudbydere. De kan hævde, at der er svigagtig aktivitet på din konto, eller at din konto er blevet kompromitteret for at narre dig til at give dem dine oplysninger eller kontoadgang. Giv aldrig følsomme data eller kontoadgang over telefonen til uopfordrede opkald.
4. Ondsindede websteder
Phishing-websteder er svigagtige websteder, der er lavet for at efterligne legitime websteder for at stjæle dine loginoplysninger eller kontooplysninger. Dobbelttjek URL’en for at sikre, at det er det rigtige websted, og at det bruger en sikker HTTPS-forbindelse, før du indtaster følsomme data.
5. Offentlige Wi-Fi-netværk
Offentlige netværk er det bedste sted for “man-in-the-middle”-angreb, hvor phishere snoger på netværkstrafikken for at stjæle dine data. Udfør aldrig bankvirksomhed, shopping eller andre aktiviteter, der kræver personlige oplysninger på offentligt Wi-Fi.
Eksempler på phishing fra den virkelige verden
Phishing-svindel findes i alle former og størrelser, men her er et par almindelige eksempler fra den virkelige verden, du skal være opmærksom på:
1. E-mail fra en “nigeriansk prins”
Dette er en klassisk fidus, hvor du modtager en e-mail, der hævder, at en nigeriansk prins eller anden embedsmand har brug for hjælp til at få adgang til sin formue, og vil dele den med dig, hvis du giver penge eller kontoadgang. Slet disse e-mails med det samme.
2. “Du har vundet en præmie!”
Du får en spændende besked om, at du har vundet en konkurrence eller et lotteri, du aldrig har deltaget i. For at gøre krav på din præmie skal du blot betale skatter eller gebyrer på forhånd. Fald ikke for det – legitime lotterier beder dig ikke om at betale for at modtage gevinster.
3. Falsk faktura eller regning
Du modtager en e-mail med en faktura eller regning for et produkt eller en tjeneste, du aldrig har købt. Svindlerne håber, at du vil betale det uden at bekræfte. Dobbelttjek med det firma, der angiveligt sendte regningen, før du sender nogen penge.
4. “Din konto er blevet kompromitteret”
Du modtager en hastemeddelelse, der hævder, at der var et login til dit sociale medie, e-mail eller anden konto fra en ikke-genkendt enhed. Meddelelsen beder dig om at klikke på et link for at bekræfte din identitet og gensikre din konto. Klik ikke – dette er en fidus for at stjæle dine loginoplysninger.
5. Jobtilbud ud af det blå
Du modtager en besked, der tilbyder dig et job, ofte med en høj løn og fleksible arbejdstider. For at komme i gang er alt, hvad du skal gøre, at give personlige oplysninger som dit CPR-nummer eller betale et forhåndsgebyr for materialer eller træning. Dette er svindel – legitime virksomheder ansætter ikke folk på denne måde eller beder om følsomme data lige fra starten.
At forblive på vagt og lære at opdage tegn på svindel kan hjælpe dig med at undgå at blive et offer. Husk, at hvis noget lyder for godt til at være sandt, er det sandsynligvis det. Når du er i tvivl, så stol på dine instinkter.
Hvad er hval-phishing?
Whale phishing retter sig mod højt profilerede ofre som berømtheder, politikere og virksomhedsledere. Da disse “hvaler” ofte har adgang til følsomme data og store økonomiske ressourcer, er de lukrative mål for phishing-svindel.
Angribere vil indsamle personlige oplysninger om hvalen fra offentlige kilder for at oprette en tilpasset phishing-e-mail. For eksempel kan de nævne målets familiemedlem ved navn eller henvise til en hobby eller interesse for at fremstå mere legitim. Disse meget personlige phishing-e-mails er mere tilbøjelige til at narre modtageren til at tro, at beskeden er ægte.
Nogle eksempler på hval-phishing-teknikker omfatter:
- E-mails, der ser ud til at være fra målets bank, rådgiver eller revisor, der anmoder om privat kontoadgang eller bankoverførsler.
- Spyd phishing-e-mails med ondsindede vedhæftede filer eller links, der er skræddersyet til modtagerens interesser.
- Efterligning af familiemedlemmer eller venner med behov for nødmidler eller kontoadgang.
- Målretning af personlige eller arbejdskonti med det formål at overtage kontoen eller installere spyware.
Hvordan identificerer og undgår man phishing-angreb?
Phishing-angreb bliver mere sofistikerede, men der er nogle få afslørende tegn, der kan hjælpe dig med at identificere dem.
1. Mistænkelig afsender
Hvis en e-mail hævder at være fra en virksomhed, du handler med, men afsenderens adresse ser ud, er det et rødt flag. Legitime virksomheder ændrer ikke ofte deres e-mail-domænenavne. Vær på vagt over for beskeder fra gratis e-mail-tjenester som Gmail eller Yahoo på vegne af en velrenommeret virksomhed. Ring direkte til virksomheden for at bekræfte.
2. Pres for at handle hurtigt
Phishere vil have dig til at handle, før du når at bekræfte meddelelsens påstande. Beskeder, der insisterer på, at du skal klikke på et link eller downloade en vedhæftet fil med det samme, er sandsynligvis phishing-forsøg. Legitime virksomheder presser dig ikke til at omgå sikkerhedsforanstaltninger.
3. Links og vedhæftede filer
Klik aldrig på links eller download vedhæftede filer fra uopfordrede beskeder. Selvom beskeden ser autentisk ud, kan phishing-links installere malware eller stjæle dine personlige oplysninger. Indtast i stedet virksomhedens websteds-URL manuelt i din browser eller lav en websøgning for at finde deres officielle websted.
4. Anmodninger om personlige oplysninger
Legitime virksomheder beder ikke om følsomme data som adgangskoder, cpr-numre eller bankkontonumre via e-mail. Hvis en meddelelse beder om denne type oplysninger, er det sandsynligvis et phishing-svindel.
5. Stave- og grammatikfejl
Selvom det ikke altid er tilfældet, indeholder phishing-e-mails ofte stave-, grammatik- og tegnsætningsfejl. Velrenommerede virksomheder har normalt professionelle tekstforfattere og redaktører til at lave fejlfri kommunikation. Dårlig skrivekvalitet kan indikere et amatør-phishing-forsøg.
Beskyt dig selv og din organisation mod hvalphishing
Desværre bliver phishing-angreb mere og mere sofistikerede. Mens enkeltpersoner og organisationer ikke kan eliminere risikoen, er der flere trin, du kan tage for at reducere din sårbarhed.
1. Vær mistænksom over for uopfordrede anmodninger
Giv aldrig følsomme oplysninger som svar på et uopfordret telefonopkald, e-mail eller sms. Legitime virksomheder vil ikke bede om adgangskoder, CPR-numre, kreditkortnumre osv. ud af det blå. Hvis du er i tvivl, skal du kontakte virksomheden direkte i stedet for at klikke på links eller ringe til de numre, der er angivet i meddelelsen.
2. Sæt farten ned og vær på vagt over for uopsættelighed
Svindlere forsøger ofte at skabe en følelse af, at det haster med at få folk til at handle hurtigt, før de tænker. Tag et skridt tilbage og overvej logikken i anmodningen objektivt, før du svarer eller klikker på noget. Spørg dig selv, om det giver mening for virksomheden eller personen at bede om disse oplysninger eller kræve øjeblikkelig handling.
3. Dobbelttjek links og stavning
Tjek omhyggeligt afsenderens e-mailadresse og URL’er i meddelelser for små stavefejl eller andre tegn på spoofing, før du klikker. Ondsindede links kan ligne virkelige links. Det er bedst at indtaste webadresser manuelt i din browser i stedet for at klikke på links i uopfordrede e-mails.
4. Brug stærke adgangskoder og to-faktor-godkendelse
Sørg for, at alle dine konti, især e-mail, bank og sociale medier, har stærke, unikke adgangskoder. Aktiver to-faktor-godkendelse, når det er tilgængeligt, for at tilføje et ekstra lag af sikkerhed. To-faktor-godkendelse hjælper med at forhindre hackere i at få adgang til dine konti, selvom de får din adgangskode.
5. Vær på vagt og få træning
Cyberkriminelle udvikler altid nye teknikker, så enkeltpersoner og organisationer skal holde sig ajour med de seneste phishing-tendenser og bedste praksis. Sørg for regelmæssig cybersikkerhedsbevidsthedstræning for alt personale, især dem med adgang til følsomme data eller konti. Med uddannelse og årvågenhed kan vi alle gøre vores del for at forhindre phisherne.
Konklusion
Så der har du det, nu ved du, hvad phishing-angreb er, og hvordan du opdager dem. Lad ikke svindlere narre dig til at opgive følsomme oplysninger eller downloade malware. Vær på vagt, tænk dig om, før du klikker, og stol på dine instinkter.
Hvis noget virker dårligt ved en e-mail eller tekst, er det sandsynligvis det. Slet noget mistænkeligt og indtast aldrig adgangskoder, kontonumre eller send penge. Du er for smart til at falde for phishing-svindel, og ved at dele denne information med venner og familie kan du hjælpe med at pode andre.