flexile-white-logo
+47 23 37 23 00
Fjernstyring
Diverse

Phishing

av | sep 11, 2024

Hva er phishing?

Phishing er en metode som nettkriminelle bruker for å stjele personlig informasjon ved å utgi seg for å være en pålitelig aktør. Dette kan for eksempel være e-poster som ser ut som de kommer fra en kjent bank eller en populær nettbutikk. Målet er å få offeret til å klikke på en lenke eller åpne et vedlegg, som deretter kan installere skadelig programvare eller lede til en nettside som samler inn informasjon. I 90% av tilfellene, vil phishing-epost stoppes av spamfilter, men det vil til enhver tid kunne forekomme at de likevel slipper igjennom, og det er derfor viktig å forholde seg årvåken og se etter typiske signaler på svindel, som for eksempel:

  • Mailer som ber om sensitiv informasjon: Seriøse aktører vil i all hovedsak aldri forespørre sensitive data, som personnummer eller kredittkortnummer, per E-post.
  • Avvik i avsenderdomene: Svært typisk for svindel-epost er at avsenderdomene er forfalsket. Et eksempel på dette er at mailen kommer fra attend.nu i stedet for attend.no.
  • Lenker som ikke matcher domene: Lenker i E-post er i utgangspunktet et rødt flagg i seg selv, men forekommer likevel fra seriøse aktører. Lenker obfuskert med tekster som «klikk her» eller i bilder, kan peke til helt andre nettsider enn forventet. Ved å holde musepekeren over linken kan du imidlertid se hvor den peker, og ta en vurdering basert på dette. Best er å besøke nettsiden mailen påstår du skal tas til, og se etter informasjonen du forventer å finne der.
  • Bruk av vedlegg: Større, seriøse aktører har per 2024 stort sett sluttet å benytte vedlegg for å dele informasjon. Vær derfor ekstra oppmerksom dersom en E-post inneholder vedlegg, og særlig fra større aktører som banker og liknende.
  • Upersonlig E-post: Hvis avsender ikke engang har navnet ditt, men åpner med for eksempel «Kjære kunde», «Dear Customer» eller liknende, er dette i seg selv grunn til bekymring.
  • Svakt språk: Seriøse aktører har som regel profesjonelle tekstforfattere og korrekturlesere som utarbeider E-poster som sendes ut til sine kunder i drifts- eller markedsføringsøyemed. Vær derfor ekstremt forsiktig med mailer der språket fremstår slurvete.
  • Forsøk på å skape stress: En av de aller vanligste menneskelige svakhetene en angriper kan utnytte, er stress. Derfor øker gjerne mengden phishing i høytider og typiske utfartsdager, som begynnelsen av sommerferien. I tillegg til dette, er det vanlig at angriper bruker vektorer som:

– Vi har oppdaget et mistenkelig påloggingsforsøk

– Det er et problem med din konto eller betalingsinformasjon

– Du må bekrefte (…)

– Du må betale (…)

– Du er berettiget til å bli refundert

– Du kan få noe gratis NÅ

– Falske ordrebekreftelser

Merk deg imidlertid: Per 2024 har trusselbildet blitt betydelig skjerpet, og en kompetent svindler kan med få utfordringer lykkes med å få levert en phishing-melding der ingen av signalene over er til stede.

Risikoer ved phishing

Risikoene ved phishing er mange og kan være alvorlige:

  • Tap av personlige data: Hvis du gir fra deg informasjon som brukernavn og passord, kan svindlerne få tilgang til kontoene dine.
  • Økonomiske tap: Phishing kan føre til direkte økonomiske tap dersom svindlerne får tilgang til bankkontoen din eller kredittkortinformasjon.
  • Identitetstyveri: Informasjonen som blir stjålet kan brukes til å utføre identitetstyveri, noe som kan ha langvarige konsekvenser for offeret.
  • Skade på omdømme: Bedrifter kan oppleve tap av tillit fra kunder dersom det blir kjent at de har vært målet for phishing.

Hvordan håndtere angrep?

Hvis du mistenker at du har blitt utsatt for phishing, er det viktig å handle raskt. Følgende tiltak bør gjennomføres raskest mulig:

  • Endre passord: Endre alle passordene dine umiddelbart, spesielt hvis du har brukt det samme passordet på flere kontoer.
  • Kontakt Attend: Attend kan bistå med å undersøke skadeomfanget, stoppe eventuelle pågående angrep, og sikre kontoen igjen.
  • Kontakt banken din: Informer banken din om situasjonen slik at de kan overvåke kontoen din for mistenkelige transaksjoner.
  • Rapporter angrepet: Rapporter phishing-forsøket til relevante myndigheter og eventuelle selskaper som ble brukt som falske avsenderadresser. Se: Phishing – hvordan beskytte virksomheten | Datatilsynet

Hvordan beskytte seg mot phishing

Å beskytte seg mot phishing krever en kombinasjon av teknologiske løsninger og årvåkenhet:

  • Zero Trust: i dag opererer cybersikkerhetsfeltet med rammeverket Zero Trust, altså null tillit. I et nøtteskall handler dette om å være klar over at du selv, og alle andre, til enhver tid kan være kompromittert. Etterstreb derfor å bekrefte alle relevante opplysninger (vedlegg, kontonummer, lenker osv) eksternt, for eksempel over telefon, avsenders nettside eller liknende.
  • Bruk flerfaktorautentisering (MFA): Aktiver MFA på alle kontoene dine for å legge til et ekstra lag med sikkerhet. Per 2024 er ikke dette en garanti mot å miste kontroll på kontoen som konsekvens av phishing, men å ikke benytte MFA er tilnærmet en garanti for at kontoen før eller siden vil komme på avveie.
  • Bruk aldri samme passord flere ganger: Om passordet ditt kommer på avveie via en vellykket phishing-svindel, vil det være en betydelig utfordring dersom du har det samme passordet på flere kontoer/nettsteder, da svindleren kan ha fått kontroll på disse.
  • Følg med: Lær om de nyeste phishing-teknikkene og hvordan du kan gjenkjenne dem.

Sist publiserte innlegg: