Phishing (nätfiske) – så skyddar du dig

Varje dag utsätts tusentals svenskar för phishing-attacker. Genom phishing, eller nätfiske som det heter på svenska, försöker bedragare lura användare att avslöja personlig information.

Vad är phishing och nätfiske?

Phishing och nätfiske är en form av cyberbrott där avsändarna utger sig för att vara legitima aktörer, som exempelvis banker, myndigheter eller kända företag. Genom falska e-postmeddelanden, sms eller webbplatser försöker de lura användare att avslöja känslig information, som inloggningsuppgifter eller kortinformation.

Målet är ofta att stjäla pengar från dig, kapa din identitet eller sälja uppgifter vidare. Bedragarna kan också ha syftet att installera skadlig kod på din telefon eller dator när du klickar på exempelvis en länk.

Enligt Myndigheten för samhällsskydd och beredskap (MSB) är nätfiske idag den vanligaste metoden för cyberbrottslingar att komma åt lösenord eller bank- och kortuppgifter.

Exempel på phishing

En typisk phishing-attack kan se ut så här:

1. Du får ett brådskande meddelanden via epost eller mejl som bedragaren skickar, men som ser ut att komma från din bank eller ett företag du har förtroende för – kanske till och med din arbetsgivare.
2. E-postmeddelandet varnar om misstänkta transaktioner på ditt konto eller något annat brådskande.
3. Du uppmanas klicka på en länk för att ”verifiera din identitet”-
4. Länken leder till en falsk hemsida som ser äkta ut.
5. När du anger dina inloggningsuppgifter lämnar du omedvetet dessa till bedragaren.

Olika former av nätfiske

Här är några vanliga exempel på nätfiske: 

• Spear phishing: Riktade phishing-attacker mot specifika personer eller organisationer. Till skillnad från vanlig phishing, som ofta skickas ut massivt till många mottagare utan anpassning, bygger spear phishing på att angriparen har gjort efterforskningar om offret för att öka trovärdigheten.
• Whaling: Specialiserad form av spear phishing som riktar sig mot företagsledare och chefer med tillgång till känslig information eller stora ekonomiska resurser.
• Vishing (voice phishing): Bedrägerier via telefon där bedragaren utger sig för att vara från exempelvis banken eller en myndighet.
• Smishing (sms phishing): Nätfiske via sms där mottagaren uppmanas att klicka på en länk eller ringa ett nummer. Det är vanligt att bedragare försöker få offren att ladda ner skadliga filer. Det är därför viktigt att försöka känna igen varningssignaler och vara försiktig med att ladda ner filer från okända källor.

Skillnaden mellan spoofing och phishing

Spoofing och phishing är lätta att blanda ihop eftersom begreppen ofta används tillsammans. Spoofing handlar om att förfalska en identitet eller teknisk information, och går ut på att manipulera användare att tro att de interagerar med en legitim källa. Nätfiske/phishing är själva metoden för att lura någon att avslöja känsliga uppgifter eller personlig information.

Logga in säkert

För att skydda dig mot nätfiske och andra former av cyberbrottslighet är det viktigt att alltid säkra dina inloggningsprocesser – oavsett om du är privatperson eller företagare. Använd starka lösenord och ändra dem regelbundet. Se till att du har aktiverat tvåfaktorsautentisering för din e-post och andra online-tjänster. Detta kan hjälpa till att förhindra att bedragare kommer åt din personliga information och känsliga uppgifter eller kunna använda skadlig kod mot dina enheter.

Sociala medier och nätfiske

Sociala medier är en vanlig plats för nätfiske och andra former av cyberbrottslighet. Bedragare kan skicka meddelanden eller inlägg som ser ut att komma från en legitim källa, men som i själva verket är en försök till nätfiske. För att skydda dig, se till att du är försiktig när du klickar på länkar eller laddar ner filer från okända källor. Kontrollera också att du har aktiverat säkerhetsinställningarna på dina konton.

Hur vet man om det är phishing?

Hur vet man då om man fått ett bluffmejl eller ett falskt sms? För att skydda dig och din organisation mot nätfiske kan det vara bra att titta efter några vanliga varningssignaler:

• Avsändaradressen liknar en legitim adress men innehåller små avvikelser, som ”support15789@bank.com”
• Meddelandet innehåller språkliga fel eller konstig formatering
• Det finns påtryckningar om att agera snabbt eller hot om konsekvenser
• Länkar leder till suspekta webbadresser när du hovrar (håller muspekaren över ankartexten så att du ser url:en innan du klickar) över dem

Skydda dig mot nätfiske

Det mest effektiva sättet att skydda sig är att vara skeptisk mot oväntade meddelanden som ber om personlig information.

Som privatperson kan du använda dig av följande säkerhetsåtgärder:

• Kontrollera alltid avsändare noga.
• Gå aldrig via länkar i e-postmeddelanden, utan logga in direkt via den officiella webbplatsen.
• Använd tvåfaktorsautentisering.
• Installera säkerhetsprogram som blockerar skadliga webbplatser.
• Uppdatera programvara regelbundet.
• Använd unika, starka lösenord och en lösenordshanterare.
• Rapportera misstänkta phishing-försök till din e-postleverantör eller IT-avdelning.
• Lämna aldrig ut känslig information eller personliga uppgifter på okända webbplatser

Företag och organisationer kan minska risken för phishing genom att:

• Utbilda anställda i att identifiera cyberhot och hur bedragare använder olika metoder för att utföra nätfiskeattacker.
• Införa e-postfilter för att blockera skadliga meddelanden.
• Krav på tvåfaktorsautentisering och starka lösenord.
• Genomföra phishing-simuleringar för att träna personalen att känna igen varningssignaler.
• Ha en tydlig incidentplan för phishing-attacker.
• Övervaka nätverkstrafik och logga avvikande beteenden.
• Implementera säkerhetspolicyer för hantering av känsliga uppgifter.

Det är också viktigt att tänka på att bedragarna ofta försöker skapa en känsla av brådska i sina meddelanden, just för att du inte ska tänka efter för mycket.

Så ska du göra om du råkat klicka på en okänd länk

Att försöka få användare att klicka på en länk är ett av de vanligaste fallen av phishing. Kanske var det därför du kom in på den här artikeln till och med? Om du av misstag klickat på en okänd länk – särskilt i ett e-postmeddelande eller sms som verkar misstänkt – är det viktigt att agera snabbt:

• Börja med att stänga ner webbsidan direkt och koppla från internet om du är osäker på om något laddats ner.
• Kör sedan en fullständig virussökning med ett uppdaterat antivirusprogram.
• Byt lösenord till viktiga tjänster, särskilt om du angivit någon information efter att ha klickat på länken.
• Håll ett extra öga på dina bankkonton och mejl efter ovanliga aktiviteter.
• Om du använder en jobbdator bör du även kontakta IT-avdelningen direkt.
• Har du lämnat ut kort- eller bankuppgifter bör du omedelbart kontakta din bank och spärra kortet.
• Gör dessutom en polisanmälan, även om det inte verkar ha hänt något än – det kan hjälpa både dig och andra.

Skydda dig mot framtidens phishing-attacker

Phishing-attacker utvecklas i takt med den teknologiska utvecklingen, och två trender vi förmodligen kommer att få se mer av framöver är AI-genererade phishing-meddelanden och Phishing-as-a-Service (PhaaS).

AI-driven phishing blir allt mer övertygande

Tidigare kunde stavfel avslöja phishing-mejl, men nu kan AI skapa felfria, skräddarsydda meddelanden baserade på offrets beteende. AI kan även analysera sociala medier och e-postläckor för mer träffsäkra attacker.

Phishing-as-a-Service

Phishing-as-a-Service gör att vem som helst kan köpa färdiga phishing-kit online, vilket sänker tröskeln för cyberbrott och möjliggör mer avancerade attacker även för den som inte är så tekniskt kunnig. 

Vill du skydda ditt företag mot phishing, spoofing och andra cyberhot? Kontakta Dotkeeper idag för experthjälp och säkerhetslösningar!