Hva er phishing? Vær forsiktig med falske e-poster og annen svindel!

Klikk her for et sammendrag av denne artikkelen

Sammendrag: Hva er phishing?

Phishing er en form for online kriminalitet der uvitende ofre gir kriminelle tilgang til bankkontoer eller personlig informasjon.

Phishing-meldinger, ofte i form av en e-post, kan ikke skilles fra ekte. Disse meldingene ser ut til å komme fra en offisiell institusjon, men i virkeligheten er avsenderen en kriminell. Å klikke på en ondsinnet lenke kan få ubehagelige konsekvenser.

Vi har noen tips om hvordan du kan unngå å bli offer for phishing:

• Bruk to-faktor autentisering på alle kontoene dine.
• Sett opp spamfilteret ditt riktig.
• Gi bare ut detaljene dine online på sikre nettsteder.
• Lær hvordan du bruker internett trygt og beskytter deg selv på nettet.

For mer informasjon om hvordan du får øye på phishing og hva du skal gjøre hvis du er et offer, kan du lese vår fulle artikkel nedenfor.

Du har sikkert hørt om phishing før. Nesten heletiden prøver bedrifter, nyhetsbyråer og andre organisasjoner å advare mot det. Men hva er phishing akkurat? Denne artikkelen vil fortelle deg alt om denne formen for nettkriminalitet. Vi vil snakke om hva det er, hvordan du gjenkjenner det og hvordan du kan beskytte deg mot det. Vi viser deg også hva du skal gjøre hvis du er offer for et phishing-angrep.

Hva er Phishing?

Phishing er en form for nettkriminalitet som har ofrene uvitende som gir kriminelle tilgang til sin personlige informasjon eller bankkonto.

Vanligvis skjer dette på grunn av at en phishing e-post blir sendt til offeret. Denne e-posten ser ut til å komme fra en offisiell organisasjon eller virksomhet, men ble faktisk sendt av en kriminell.

Disse angriperne vil gjøre alt for å få e-postene deres til å virke så autentiske som mulig. De bruker for eksempel logoer på offisielle nettsteder og selskaper. I nevnte e-postmeldinger blir ofre bedt om å klikke på en lenke eller åpne et vedlegg.

Hvis du klikker på en lenke i en phishing e-post, kan du finne deg selv på en side som ser ut som et offisielt nettsted, men bare er en falsk kopi. Kriminelle håper du vil legge inn dine personlige opplysninger og sensitiv informasjon på denne siden ved for eksempel å fylle ut en påloggings skjerm. Når du har gjort dette, vil den kriminelle ha tilgang til denne informasjonen.

Å åpne et vedlegg i en phishing post kan også føre til mange problemer. Du installerer kanskje uvitende skadelig programvare, for eksempel en virus or spyware, på datamaskinen. Dette kan igjen resultere i at den kriminelle får all slags personlig informasjon om deg, for eksempel bank opplysningene dine. Noen ganger installerer de til og med roboter for å lage et Botnet og utføre DDOS-angrep.

Det endelige målet for en phishing-kriminell er å tjene på å stjele pengene dine eller personopplysningene dine. Det er her navnet ‘phishing’ kommer fra. Nettkriminelle fisker for din informasjon: de kaster ut sin digitale fiskestang (e-postadressen) og venter til et offer biter.

De bruker en mottakers frykt og følelser for å få svindelen til å fungere. De kan for eksempel late som om du har en ubetalt betaling som venter på deg, og fortelle deg at du vil risikere en bot hvis du ikke betaler med en gang. Ofre får ofte panikk når de leser dette og gjør som de blir bedt om, og faller for kriminelle triks.

Ikke føl deg dum hvis dette har skjedd med deg. Det kan være utrolig vanskelig å skille en falsk melding fra den virkelige avtalen.

Forskjellige typer Phishing angrep

Vanligvis er e-post et veldig effektivt medium for angripere, siden det lar dem nå tusenvis av mennesker på en gang. Når de bruker så lite tid som mulig, kan de stjele mye penger, så lenge en liten del av mottakerne faller for svindelen.

Det ender imidlertid ikke med e-post. Her er noen andre typer phishing-angrep som du bør passe på, enten det handler om svindel på sosiale medier eller via tradisjonell post.

WhatsApp phishing svindel

Nettkriminelle tenker stadig på nye måter å stjele penger fra ofrene sine. Disse teknikkene kan være mer effektive og innbringende fordi folk rett og slett ikke vet om dem ennå.

En tekst fra banken din er ikke alltid verdig din tillit. Det samme gjelder en WhatsApp eller en tekstmelding fra en offisiell organisasjon som ber deg om å betale en faktura du ikke husker noe om. I løpet av de siste årene har WhatsApp spesielt blitt brukt mer og mer i phishing-angrep.

Har du fått en mistenkelig melding? Det kan være veldig vanskelig å si om fakturaen faktisk må betales eller bare er et forsøk på å stjele pengene dine. Det beste du kan gjøre er å kontakte organisasjonen som angivelig sendte meldingen. Gå til deres offisielle nettside ved å slå opp riktig kontaktinformasjon online, uten å klikke på noen lenker i meldingen eller bruke informasjonen der inne.

Phishing-kriminelle er ofte smarte nok til å endre selskapets kontaktinformasjon til sin egen. Hvis selskapet ikke vet noe om meldingen, må du sørge for at de vet at noen sender ut phishing-meldinger i navnet deres.

Falske fakturaer

Ikke bare sosiale medier, men også mer tradisjonelle kommunikasjonsformer blir misbrukt av nettkriminelle. En av de vanligste svindlene, spesielt for de som har egen virksomhet, er falske fakturaer. Svindlere sender over en falsk, men veldig reell faktura som forteller deg å betale raskt eller det blir konsekvenser.

Du blir ofte bedt om å sende pengene til en bestemt bankkonto. Noen ganger vil de til og med hevde at du har gjeld, og de vil sende en inkasso hvis du ikke overfører pengene raskt. Selv om det er mulig å motta et slikt brev fra offisielle institusjoner (under ekstreme omstendigheter), kan det også være et tilfelle phishing. Dette betyr at truslene vanligvis er falske. Hvis du overfører pengene, vil de bare havne i lommene til svindlerne.

Hvis du vil sjekke om en faktura eller betalings påminnelse er legitim, kan du ringe selskapet som sendte den. Igjen, ikke bruk kontaktinformasjonen som er oppført på fakturaen. Gå alltid til det offisielle nettstedet til selskapet som vises på fakturaen, og ring eller e-post dem. Be om bekreftelse på fakturaen, beløpet som er nevnt, og kontoen den skal overføres til før du betaler noe.

Spear phishing

I motsetning til phishing retter spear phishing seg mot ofre individuelt. Hackere later som om de kjenner deg, og det kan se ut som om meldingene kommer fra noen du kjenner.

Hvis en kriminell har fått tilgang til e-post- eller sosiale mediekontoer til et offer (for eksempel gjennom et tidligere phishing-angrep), kan de bruke det til å finne nye ofre.

En kriminell kan prøve å få andre mennesker til å sende ham penger ved å sende ut meldinger til venner av den hackede kontoen. Ofte vil disse meldingene starte med en enkel “Hei, hvordan har du det??”. Når folk reagerer, vil den kriminelle be om penger.

Her er et eksempel på en slik spear phishing melding der Johns konto er blitt hacket og nettkriminelle nærmer seg vennen Matthew via Facebook:

Spear phishing-svindel skaper tillit ved å bruke personlige opplysninger om mottakerens venner eller familie. Når du hører en venn er i trøbbel, er du sannsynligvis ivrig etter å hjelpe dem. Nettkriminelle misbruker denne tendensen ved å skape en følelse av at det haster: John sitter fast i utlandet og må komme hjem så snart som mulig. Hvis Matthew bestemmer seg for å hjelpe ham, overfører han uten å vite penger til en bankkonto som ikke er John, men en nettkriminell.

Kriminelle kan be om at pengene skal overføres via PayPal, Western Union, Moneygram eller Bitcoin. I noen tilfeller vil angripere gjøre en innsats for å kartlegge hele venne nettverket til den hackede kontoen, til og med lese tidligere meldinger. De bruker denne informasjonen for å få phishing forsøket til å se så overbevisende ut som mulig.

Har du mottatt en melding fra en venn via e-post, Facebook eller en annen sosial medie plattform der du ber om penger? Vær forsiktig. Ta kontakt med personen du tror du snakker med, for eksempel ved å ringe dem. På denne måten kan du sjekke om de faktisk er i trøbbel. Hvis ikke, har kontoen deres blitt hacket.

«Phishing» svindel over telefon

Noen ganger vil phishing skje via telefon. Dette kan skje når de kriminelle allerede har tilgang til offerets bankkonto, men også trenger annen informasjon.

Hvis offeret samarbeider, overfører de uvitende penger til kriminelle. Dette kan skje på følgende måte:

1. Forbryteren er logget inn i offerets bankmiljø og begynner å overføre penger til sin egen konto.
2. Kriminelle ringer offeret, later til å være en bankansatt, og ber om TAN-koden offeret har mottatt (for eksempel via tekst).
3. Hvis offeret kommuniserer koden (som faktisk er sendt for å bekrefte en betaling), bruker kriminelle den til å fullføre transaksjonen til sin egen bankkonto.

Phishing-kriminelle kan også late som om de er ansatt i Windows eller produsenten av datamaskinen eller smarttelefonen din. De vil hevde å ringe for å løse et teknisk problem. I stedet får de deg til å logge på et falskt nettsted, og gir dem tilgang til datamaskinen din og personlig informasjon.

I noen tilfeller vil de til og med installere ransomware på enheten. Dette betyr at alle filene dine blir kryptert og tatt som gisler: du får ikke tilgang til dem med mindre du betaler opp. Hvis du har blitt utsatt for løsepenger, må du kontakte politiet.

I det siste har det vært rapporter om en annen type nettfisking via telefon. En kriminell vil ringe deg fra et merkelig, vanligvis utenlandsk nummer. Når du tar opp, hører du ingenting. Først senere viser telefonregningen at telefonsamtalen har kostet deg en stor sum penger. For å beskytte deg mot denne typen svindel, ikke bare ta kontakt.

Hvis du noen gang blir ringt av en ansatt fra en bestemt bank eller bedrift, må du ikke gi ut din personlige informasjon, for eksempel adresse eller bankkontonummer, med en gang. Sørg alltid for at du bruker de riktige, offisielle telefonnumrene til en bedrift, og sjekk om du faktisk ringer en representant for det selskapet.

Hvordan gjenkjenne og forhindre phishing-angrep

Har du mottatt en e-post, tekst eller annen melding fra en offisiell institusjon eller en venn som ber om penger? Tenk to ganger før du gjør noe! Enten det ser ut som en melding fra regjeringen, en nettbutikk, skattemyndighetene, banken din, et forsikringsselskap eller et nettsted som Amazon, har du kanskje å gjøre med en kriminell i stedet.

Andre typer nettfisking er den velkjente e-posten som er sendt av en «nigeriansk prins» eller en fjern slektning som later som om de har tilgang til en stor sum penger. Før de kan sende deg noe, trenger de imidlertid at du overfører noe til dem. Ikke fall for slike feller. De er ikke ekte.

Fordi phishing kan være vanskelig å få øye på, er det viktig å vite hva du skal se etter når du sjekker om en melding er legitim eller ikke. Her er et par tips som hjelper deg med å gjenkjenne et phishing-forsøk.

Tips 1: Hilsen, språk, staving og grammatikk feil

Vanligvis sendes phishing e-post til mange mennesker samtidig. Dette betyr at de ikke alltid er personlig. I stedet får du en e-post med en standard ‘Kjære herr / fru’ eller noe lignende øverst. Vurder alltid om det er rart å ikke adresseres ordentlig av for eksempel banken din før du gjør noe annet med e-posten.

Du kan vanligvis gjenkjenne mistenkelige e-poster når den inneholder mange stave- eller grammatikkfeil. Oftere enn ikke er nettkriminelle som sender ut e-post ikke de beste på engelsk og gjør åpenbare feil. En annen teknikk som ofte brukes i phishing-meldinger, skaper en følelse av at det haster. Språk som “HASTER”, “VIKTIG” eller “ENDELIG VARSEL” kan du indikere at du har å gjøre med en phishing e-post.

Likevel er dette ikke alltid tilfelle. Det er phishing e-post og nettsteder som ikke inneholder noen feil, og til og med starter med en slags personlig hilsen. Heldigvis er det andre ting du kan se etter, som vi vil fortelle deg i de andre tipsene våre.

Tips 2: Se på e-postens avsender

Phishing e-post sendes ofte ut av falske e-postadresser. Se alltid på e-postadressen til avsenderen og sjekk om den er legitim.

Hvis du for eksempel er kunde hos Bank of America, kan du få offisielle e-poster fra adresser som slutter på @bankofamerica.com. Siden nettkriminelle ikke eier dette domenet, kan de ikke bruke disse e-postadressene. I stedet prøver de å sende det fra et veldig likt domene eller bruke en generell e-postleverandør. De kan for eksempel bruke [email protected] eller noe som slutter på @americanbank.com.

Selv forsettlige stavefeil er ikke uvanlige: ved å legge til en bokstav eller to i det opprinnelige domenet, prøver kriminelle å lure deg til å tro at meldingen tross alt er legitim. Noen ganger består phishing e-postadresser av tilfeldige tall og bokstaver. Disse er enkle å få øye på og bør aldri stoles på.

I noen tilfeller ser det ut til at en phishing-melding har en pålitelig avsender. Noen ganger ser det ut til å bli sendt fra din egen e-postadresse. Dette kalles ‘e-post spoofing’ og forekommer mye innen phishing og bedriftens e-post kompromiss (BEC).

Ikke fall for det. Hvis du er i tvil, må du alltid kontakte avsenderen ved å finne riktig kontaktinformasjon på den offisielle nettsiden. Hvis det er en e-post fra din egen adresse, kan du bare ignorere den.

Tips 3: Ikke del personlig informasjon

Hvis du mottar en e-post, tekst eller annen melding som ber om personlige data, for eksempel påloggingsinformasjonen din, kan dette være et dårlig tegn. Del aldri din personlige eller kontoinformasjon via e-post (eller et annet tekstmedium) hvis du ikke er sikker på at det er helt trygt.

Mange legitime virksomheter vil aldri be om informasjon direkte. Dette gjelder spesielt når det gjelder passord, TAN-koder og annen konto spesifikk informasjon. Uansett hvor legitim en e-post eller melding kan se ut, hold informasjonen din privat.

Hvis du er usikker på om en melding er legitim eller ikke, kan du kontakte selve organisasjonen via deres offisielle nettsted eller ringe dem. Svar aldri på skyggefulle meldinger og ikke klikk på lenker du ikke stoler på.

Tips 4: Se opp for mistenkelige vedlegg

Et enkelt klikk på et vedlegg i en phishing-melding kan allerede installere spionprogramvare som keyloggers og Trojans på enheten. Bare åpne filer som du helt stoler på og forventet å bli sendt. Vær på utkikk etter filnavn og filtyper som ser ut til å være utenom det vanlige.

Filer som slutter på pålydende .zip eller .exe skal ikke stoles på. Selv PDF-filer er ikke alltid trygge. Nedenfor finner du en oversikt over filutvidelser som kan brukes i phishing e-post.

• .bat(Batch)
• .com(Kommandofil)
• .cpl(Kontrollpanel)
• .docm(Microsoft Word med macros)
• .exe(Windows Executable fil)
• .jar(Java)
• .js(JavaScript)
• .pif(Program informasjons fil)
• .pptm(Microsoft PowerPoint med macros)
• .ps1(Windows PowerShell)
• .scr(Skjermsparer fil)
• .vbs(Visual Basic Script)
• .wsf(Windows Script Fil)
• .xlsm(Microsoft Excel med macros)
• .zip (Komprimert)

Hvis du vil vite hvilken type fil et bestemt vedlegg er, sjekker du bare bokstavene i filnavnet etter punktummet.

Nettkriminelle kan prøve å lure deg ved å legge til filtypen i filnavnet. For eksempel kan de prøve å få deg til å tro at du har å gjøre med en PDF-fil ved å kalle den ‘InvoicePDF.exe’. I stedet er det en .exe-fil som brukes til å installere skadelig programvare.

Tips 5: Se opp for mistenkelige lenker

Har du oppdaget en lenke i en e-post som du ikke stoler på? Ikke klikk på den. Ikke alle lenker fører til stedet der det står at de vil lede deg. Heldigvis kan du enkelt sjekke dette ved å holde markøren over lenken (uten å klikke på den!) Og sjekke nederst til venstre i nettleseren.

En liten hvit stolpe vises med den nøyaktige nettsiden lenken fører til. Er dette et nettsted du ikke kjenner igjen eller stoler på? Da har du sannsynligvis et phishing-forsøk.

Adressene kan til og med se ut som et pålitelig nettsted, men ikke la den lure deg. Sjekk alltid om alt er skrevet riktig, og at domenet er riktig (for eksempel bankofamerica.com / info i stedet for bankofamerica.officialwebsite.com / info). Vær ekstra forsiktig når du bruker smarttelefonen eller nettbrettet, da det er veldig enkelt å ved et uhell klikke på noe.

Tips 6: Opphold i sløyfen

Teknologi og nettkriminalitet er i stadig utvikling. Nye måter å beskytte deg mot phishing og andre former for online kriminalitet dukker stadig opp, akkurat som nye måter for kriminelle å prøve å lure ofrene sine. Derfor er det viktig å holde deg oppdatert på de siste nyhetene om phishing og alt som er knyttet til det.

Hvis du leser denne artikkelen, er du allerede godt på vei. Sørg for å holde øye med vår nyhetsdel også. Det kan være advarsler om internasjonale phishing-forsøk utstedt av bedrifter eller regjeringer.

Tips 7: Stol på intuisjonen din

Hvis du ikke er helt sikker på om du kan stole på en melding, e-postadresse eller et nettsted, så ikke gjør det. Det er bedre å være trygg enn beklager. Ser en melding underlig ut og for god til å være sant? Ikke klikk på lenken.

Ta kontakt med selve organisasjonen og spør dem om det. Hvis det ikke er mulig, kan du også slå opp e-postadressen til avsenderen online.

Hvis det er et phishing-forsøk som har blitt brukt en stund, vil andre mennesker sannsynligvis ha taklet det allerede og kunne fortelle deg om det er trygt eller ikke.

Hvordan unngå phishing

Det er mange måter å gjenkjenne en phishing e-post på, men det er enda bedre hvis du ikke kommer over dem til å begynne med. Her er et par triks som hjelper deg med å stoppe phishing.

• Bruk to faktor autentisering på kontoene dine: Hvis du trenger å gå gjennom to trinn når du logger på viktige kontoer (for eksempel med en bekreftelses kode), er sjansene for at nettkriminelle får full tilgang til kontoen din mye mindre.
• Aktiver spamfilteret ditt: e-postleverandøren din har sannsynligvis et par innstillinger du kan bruke til å holde spam utenfor innboksen din. Dette hindrer kanskje ikke at alle phishing e-poster når deg, men vil gi deg et ekstra sikkerhets lag, slik at du sjeldnere får e-post. Forsikre deg om at viktige e-postadresser du kan motta e-post fra, er plassert på en hvitliste, slik at de ikke ved et uhell havner i søppelpost mappen din.
• Del bare dataene dine på sikre nettsteder: Adresselinjen forteller deg om forbindelsen mellom deg og nettstedet du besøker er sikker. Hvis det er, ser du en liten, lukket lås på venstre side av nettadressen, så vel som ‘https: //’ (inkludert ‘s’) i lenken. Hvis dette mangler, bør du ikke dele sensitiv informasjon på den siden. Mange phishing-nettsteder har også begynt å bruke HTTPS, så denne lille sjekken vil ikke kunne redde deg fra alle svindel. Likevel er det en viktig start. Hvis du vil vite mer om HTTPS, skrev vi en full artikkel om dette emnet.
• Sørg for at du vet hvordan du kan beskytte deg selv på nettet: våre åtte enkle trinn for å trygt bruke online vil hjelpe deg med dette.

Jobber som en penge muldyr: ved et uhell kriminelt

Noen phishing-angrep er samarbeid mellom over hundre mennesker. Den største delen av en slik gruppe består av såkalte ‘money mules’. Disse menneskene (ofte studenter) åpner midlertidig bankkontoer for phishing-penger.

På denne måten kan stjålne penger sendes fra konto til konto raskt og enkelt, så det er mye vanskeligere for myndighetene å spore pengene tilbake til selve hjernen bak operasjonen. Som kompensasjon har pengemulene lov til å beholde en liten prosentandel av pengene.

Penge muldyr rekrutteres ofte av en ‘gjeter’. Dette skjer enten online, med ledige stillinger som virker lovlige, men ikke er det, eller i virkeligheten. En gjeter kan gå på lekeplasser og andre offentlige steder for å spørre folk om de vil tjene litt ekstra penger. Mange penge muldyr er ikke klar over at det de gjør er ulovlig. De er medskyldige til nettkriminalitet uten selv å vite det.

Risikoen for å bli funnet av politiet er mye større for penge muldyr enn for personen som står bak angrepet. Stien til de stjålne pengene går tross alt først gjennom alle muldyrets kontoer.

Vi fraråder alle å delta i slike fremgangsmåter. Hvis noen tilbyr deg en jobb som krever at du gir dem tilgang til bankkontoen din, skjer det definitivt noe ‘phishy’.

Hva du skal gjøre når du er offer for Phishing?

Har du blitt et offer for phishing? Sikkerhetstiltakene du bør ta, avhenger av typen svindel. Dette er hva du kan gjøre hvis du er blitt offer for en phishing-svindel:

• Når du ga noen bank informasjonen din, blokkerer du kortet ditt og ringer til banken din.
• Hvis det er en konto for en online tjeneste, kan du raskt endre passordet og annen viktig informasjon.
• Når du klikket på en mistenkelig lenke eller lastet ned skadelig programvare, kan du bruke antivirusprogramvare til å skanne datamaskinen din og sette virus i karantene.
• Kontakt alltid firmaet eller personen og fortell dem hva som skjedde. De kan kanskje hjelpe deg eller i det minste advare andre.
• Rapporter phishing til relevante myndigheter, for eksempel politiet.
• Informer dine (online) venner om svindelen. Kriminelle kan bruke dataene dine til å gjøre flere til ofre.

Konklusjon

Phishing er en stygg type online kriminalitet. Hvis du klikker på en ondsinnet lenke eller logger inn på feil nettsted, kan det få katastrofale konsekvenser. For å sikre at du ikke blir offer for dette, er det viktig å holde deg informert. Lær hvordan du gjenkjenner en phishing-melding og hva du skal gjøre når du mottar en.

Hold phishing på avstand ved å konfigurere kontoene dine på riktig måte. Har det skjedd noe uansett? Sørg for å kontakte de rette organisasjonene og ta grep for å minimere skaden.