04/06/2022
Lyden af en indgående e-mail, SMS eller direkte besked fanger nemt din opmærksomhed. Du tjekker den hurtigt, og det sker utallige gange om ugen – det føles som en naturlig del af din dag. Det er netop denne vane, svindlere ønsker at udnytte med snedige phishing-angreb, der fanger dig uforberedt. Deres mål er altid det samme: at stjæle dine personlige oplysninger eller franarre dig dine penge. Men hvordan fungerer disse angreb, og hvad kan du gøre for at beskytte dig selv og din værdifulde iPhone eller mobil?
Phishing-angreb kommer i flere former, hvor svindlere maskerer sig som legitime virksomheder, finansielle institutioner, offentlige myndigheder eller endda som nogen, du kender. De vil kontakte dig med beskeder, der følger en bestemt skabelon:
“Du har en pakke på vej, men vi har problemer med at levere den. Klik venligst her for at give leveringsoplysninger og modtage din pakke.”
“Vi har spottet usædvanlig aktivitet på dit kreditkort. Følg dette link for at bekræfte dine kontooplysninger.”
“Du skylder restskat. Send straks betaling via dette link, ellers overdrager vi din sag til retshåndhævelsen.”
Det er tydeligt, hvorfor phishing-angreb kan være så effektive. Beskeder som disse skaber en følelse af presserende handling, og de virker legitime – eller i det mindste som noget, du potentielt ville bekymre dig om. Men de er naturligvis blot et bedrag. Nogle af dem kan endda se og lyde overbevisende nok til, at du ikke kun vil give dem et blik, men også et klik.
Og det er her problemerne begynder. Et klik på de links eller vedhæftede filer, der sendes i et phishing-angreb, kan føre til flere potentielt ubehagelige situationer, såsom:
En falsk login-side, hvor svindleren forsøger at stjæle dine kontooplysninger.
En malware-download, der kan installere keylogging-software til at stjæle adgangskoder og andre oplysninger, mens du skriver.
Spyware, der kaprer information på din enhed og i al hemmelighed sender den tilbage til svindleren.
Ransomware, der holder en enhed og dens data som gidsel, indtil et gebyr betales. (Betal forresten aldrig et krav om løsepenge. Der er ingen garanti for, at betaling vil frigive din enhed og dine data.)
Mange phishing-angreb kan dog forebygges. En kombination af at vide, hvad man skal kigge efter, og at implementere nogle få sikkerhedsforanstaltninger kan hjælpe dig med at holde svindlere på afstand.
- Hvordan ser phishing-angreb ud?
- Sådan undgår du phishing-angreb
- 1. Stop op og tænk over beskeden et øjeblik.
- 2. Kontakt virksomheden eller organisationen direkte.
- 3. Overvej kilden.
- 4. Download ikke vedhæftede filer. Og åbn dem bestemt ikke.
- 5. Hold musen over links for at bekræfte URL'en.
- 6. Hold dig til dem, du kender.
- 7. Fjern dine personlige oplysninger fra tvivlsomme datamægler-websteder.
- 8. Brug online beskyttelsessoftware.
- Sammenligning: Ægte vs. Falsk Besked
- Ofte Stillede Spørgsmål om Phishing
Hvordan ser phishing-angreb ud?
Måden du modtager et phishing-angreb på, har meget at sige om, hvordan det ser ud. Der er en god chance for, at du allerede har set din del af phishing-forsøg på din telefon. En SMS kommer ind med en kort besked om, at en af dine konti kræver opmærksomhed, fra et helt ukendt nummer. Sammen med den er der et link, som du kan trykke på for at følge op, hvilket vil sende dig til et ondsindet websted. I nogle tilfælde kan afsenderen springe linket over og forsøge at starte en samtale med det formål at få dig til at dele dine personlige oplysninger eller muligvis betale med et gavekort, postanvisning, genopladeligt betalingskort eller en anden form for betaling, der er svær at spore og genoprette.
I tilfælde af sociale medier kan du forvente, at angrebet kommer fra en bedragerisk konto, der gør sit bedste for at udgive sig for at være en af de legitime virksomheder eller organisationer, vi talte om, eller måske som en fremmed eller endda en person, du kender. Navnet og profilbilledet vil gøre sit bedste for at spille rollen. Hvis du klikker på den konto, der sendte den, kan du se, at den er oprettet for nylig, og at den har få eller ingen følgere, hvilket begge er røde flag. Angrebet er typisk konversationelt, meget ligesom beskrevet ovenfor, hvor svindleren forsøger at presse dig for personlige oplysninger eller penge.
Angreb, der kommer via direkte besked-apps, fungerer stort set på samme måde. Svindleren vil oprette en falsk konto, og hvor appen tillader det, et falsk navn og et falsk profilbillede til at ledsage det.
E-mails er lidt mere komplicerede, fordi e-mails kan variere fra et par enkle tekstlinjer til et fuldt designet stykke komplet med billeder, formatering og indlejrede links – meget ligesom en miniaturewebside. Tidligere så e-mail-phishing-angreb ret usofistikerede ud, fyldt med dårlig stavemåde og grammatik, sammen med sjuskede layouts og billeder. Det er stadig tilfældet nogle gange i dag. Men ikke altid. Nogle phishing-e-mails ligner den ægte vare. Eller næsten.
Eksempler på phishing-angreb
Som et eksempel kan vi kigge på en phishing-e-mail, der maskerer sig som en legitim e-mail fra et kendt sikkerhedsfirma, f.eks. McAfee, som det er set i virkeligheden. Selv om vi ikke kan vise billedet her, kan vi beskrive de typiske tegn, som svindlere bruger til at efterligne et mærke:
Brand-efterligning: Svindlerne forsøger at efterligne mærkets visuelle identitet, f.eks. ved at bruge farver, logoer og skrifttyper, der ligner dem, det ægte firma bruger. Dog er der ofte små fejl eller uoverensstemmelser.
Billedbrug: De kan inkorporere fotos eller produktbilleder, der umiddelbart ser ægte ud, men som ved nærmere eftersyn ikke stemmer overens med firmaets sædvanlige stil. For eksempel kan et produktbillede være af lav kvalitet eller se 'klasket på' ud.
Overskrift og opfordring til handling: En fremtrædende overskrift som “Handl nu!” eller “Din licens er udløbet i dag!” skaber en følelse af hast. Kombineret med en falsk information, f.eks. “Der er (42) vira på din computer,” forsøger de at skabe frygt og panik.
Sprog og grammatik: Selvom mange phishing-e-mails er blevet mere sofistikerede, kan du ofte stadig finde fejl. Det kan være små kapitaliseringsfejl, forkert placerede tegnsætninger eller akavede formuleringer, der ikke lyder helt naturlige for et professionelt firma.
Tilbud, der er for gode til at være sande: Ikoner som “60% rabat” eller “Bestil nu” kan virke fristende, men er ofte designet til at lokke dig til en falsk side, der stjæler dine login-oplysninger eller betalingskortdata.
Alt i alt kan du ofte spotte mange e-mail-svindel ved at tage et nærmere kig, se hvad der ikke føles rigtigt, og derefter stole på din mavefornemmelse. Men det kræver, at du sætter farten ned, tager et øjeblik og kritisk gennemgår e-mailen. Hvilket folk ikke altid gør. Og det er det, svindlere regner med.
Lignende kneb ser svindlere udgive sig for at være legitime virksomheder og forhandlere, hvor de enten beder dig om at logge ind på en falsk kontoside for at tjekke en erklæring eller status på en ordre. Nogle svindlere tilbyder links til “rabatkoder”, som i stedet er links til landingssider designet til at stjæle dine konto-login-oplysninger. Ligeledes kan de blot sende en ondsindet e-mail-vedhæftning med håb om, at du klikker på den.
I andre former for e-mail-phishing-angreb kan svindlere udgive sig for at være en kollega, forretningspartner, leverandør eller partner for at få offeret til at klikke på et ondsindet link eller downloade ondsindet software. Disse kan omfatte et link til en falsk faktura, et regneark, en notefil eller et tekstbehandlingsdokument – stort set alt, hvad der ligner forretningskorrespondance. I stedet fører linket til en svindel-hjemmeside, der beder offeret om at “logge ind og downloade” dokumentet, hvilket stjæler kontooplysninger. Svindlere kan også inkludere vedhæftede filer til phishing-e-mails, der kan installere malware direkte på enheden, undertiden ved at inficere et ellers almindeligt dokument med en ondsindet nyttelast.
E-mail-svindlere kan også udgive sig for at være en person, du kender, enten ved at oprette en bedragerisk e-mail-konto eller ved direkte at kapre en eksisterende konto. Angrebet følger den samme strategi og bruger et link eller en vedhæftning til at stjæle personlige oplysninger, anmode om penge eller installere malware.
Sådan undgår du phishing-angreb
Selvom du ikke helt kan forhindre phishing-angreb i at nå din computer eller telefon, kan du gøre flere ting for at undgå at falde for dem. Desuden kan du gøre andre ting, der kan gøre det sværere for svindlere at nå dig.
1. Stop op og tænk over beskeden et øjeblik.
Indholdet og tonen i beskeden kan fortælle dig meget. Truende beskeder eller beskeder, der spiller på frygt, er ofte phishing-angreb, såsom vrede beskeder fra en såkaldt skatteagent, der ønsker at opkræve restskat. Andre beskeder vil læne sig tungt op ad hastværk, som den falske McAfee phishing-e-mail, der siger, at din licens er udløbet i dag, og at du har “(42)” vira. Og i ferietiden skal du passe på højlydte, overbegejstrede beskeder om store rabatter på svært tilgængelige varer. I stedet for at linke dig til en ordentlig e-handelsside, kan de linke dig til en svindel-shopping-side, der intet andet gør end at stjæle dine penge og de kontooplysninger, du brugte til at betale dem. Alt i alt lugter phishing-angreb mistænkeligt. Sæt farten ned, og gennemgå beskeden med et kritisk øje. Det kan tippe dig af om et svindelnummer.
2. Kontakt virksomheden eller organisationen direkte.
Nogle phishing-angreb kan se ret overbevisende ud. Så meget, at du vil følge op på dem, f.eks. hvis din bank rapporterer uregelmæssig aktivitet på din konto, eller en regning ser ud til at være forfalden. I disse tilfælde skal du ikke klikke på linket i beskeden. Gå direkte til den pågældende virksomheds eller organisations hjemmeside og få adgang til din konto derfra. Ligeledes, hvis du har spørgsmål, kan du altid kontakte deres kundeservicenummer eller webside.
3. Overvej kilden.
Når svindlere kontakter dig via sociale medier, kan det i sig selv være et afslørende tegn på et svindelnummer. Overvej, ville en skatteopkræver kontakte dig via sociale medier? Svaret er nej. For eksempel gør Skattestyrelsen det helt klart, at de aldrig vil kontakte skatteydere via sociale medier. (For slet ikke at tale om at sende vrede, truende beskeder.) Alt i alt bruger legitime virksomheder og organisationer ikke sociale medier som en kanal for officiel kommunikation. De har accepterede måder, de vil, og ikke vil, kontakte dig på. Hvis du er i tvivl om en meddelelse, du har modtaget, skal du kontakte den pågældende virksomhed eller organisation direkte og følge op med en af deres kundeservicemedarbejdere.
4. Download ikke vedhæftede filer. Og åbn dem bestemt ikke.
Nogle phishing-angreb involverer vedhæftede filer fyldt med malware som den ransomware, vira og keyloggere, vi nævnte tidligere. Hvis du modtager en besked med en sådan vedhæftet fil, skal du slette den. Selv hvis du modtager en e-mail med en vedhæftet fil fra en person, du kender, skal du følge op med den person. Især hvis du ikke forventede en vedhæftet fil fra dem. Svindlere vil ofte kapre eller spoof e-mail-konti fra almindelige mennesker for at sprede malware.
5. Hold musen over links for at bekræfte URL'en.
På computere og laptops kan du holde musen over links uden at klikke på dem for at se webadressen. Se nøje på de adresser, beskeden bruger. Hvis det er en e-mail, skal du se på e-mailadressen. Måske matcher adressen slet ikke virksomheden eller organisationen. Eller måske ser det ud som om den næsten gør det, men den tilføjer et par bogstaver eller ord til navnet. Dette markerer endnu et tegn på, at du kan have et phishing-angreb på hænderne. Svindlere bruger også den almindelige taktik med en linkforkorter, som skaber links, der næsten ligner strenge af uforståelig tekst. Disse forkortede links maskerer den sande adresse, som faktisk kan være et link til en svindel-hjemmeside. Slet beskeden. Hvis muligt, rapporter den. Mange sociale medieplatforme og besked-apps har indbyggede kontroller til rapportering af mistænkelige konti og beskeder.
6. Hold dig til dem, du kender.
På sociale medier og beskedplatforme skal du holde dig til at følge, venskabe og sende beskeder til folk, du virkelig kender. Hvad angår de mennesker, der kontakter dig ud af det blå, skal du være mistænksom. Desværre er de ofte svindlere, der gennemsøger disse platforme efter ofre. Endnu bedre, hvor du kan, skal du indstille din profil til privat, hvilket gør det sværere for svindlere at vælge og forfølge dig til et angreb.
7. Fjern dine personlige oplysninger fra tvivlsomme datamægler-websteder.
Hvordan fik den svindler overhovedet dit telefonnummer eller din e-mailadresse? Sandsynligvis trak de disse oplysninger fra et datamægler-websted. Datamæglere køber, indsamler og sælger detaljerede personlige oplysninger, som de samler fra flere offentlige og private kilder, såsom lokale, statslige og føderale registre, plus tredjeparter som supermarkedskundekort og mobilapps, der deler og sælger brugerdata. Desuden sælger de det til enhver, der betaler for det, inklusive folk, der vil bruge disse oplysninger til svindel. Du kan hjælpe med at reducere disse svindel-SMS'er og opkald ved at fjerne dine oplysninger fra disse websteder. Nogle sikkerhedssoftware tilbyder funktioner, der scanner de mest risikable datamægler-websteder og viser dig, hvilke der sælger dine personlige oplysninger.
8. Brug online beskyttelsessoftware.
Online sikkerhedssoftware kan beskytte dig på flere måder. For det første kan det tilbyde sikre browsing-funktioner, der kan identificere ondsindede links og downloads, hvilket kan hjælpe med at forhindre, at du klikker på dem. Desuden kan det styre dig væk fra farlige websteder og blokere malware og phishing-websteder, hvis du ved et uheld klikker på et ondsindet link. Og generelt kan stærk virus- og malwarebeskyttelse yderligere blokere eventuelle angreb på dine enheder. Sørg for at beskytte dine smartphones ud over dine computere og laptops, især i betragtning af alle de følsomme ting, vi gør på dem, såsom bankforretninger, shopping og booking af ture og rejser.
Sammenligning: Ægte vs. Falsk Besked
For at hjælpe dig med at skelne mellem ægte og falske beskeder, har vi samlet en lille sammenligning:
| Tegn på en Ægte Besked | Tegn på et Phishing-forsøg |
|---|---|
| Korrekt grammatik og stavemåde. | Dårlig grammatik og mange stavefejl. |
| Professionelt layout og design. | Amatøragtigt design, dårlig billedkvalitet. |
| URL'en matcher afsenderens officielle domæne. | URL'en er mistænkelig, forkortet eller indeholder stavefejl. |
| Ingen trusler eller unødigt pres. | Truende sprogbrug, krav om øjeblikkelig handling. |
| Anmoder ikke om personlige oplysninger via link. | Anmoder om login, betalingsoplysninger eller downloads via link. |
Ofte Stillede Spørgsmål om Phishing
Hvad er 'phishing' helt præcist?
Phishing er en form for cyberkriminalitet, hvor svindlere forsøger at narre dig til at udlevere personlige oplysninger, såsom adgangskoder, kreditkortnumre eller bankoplysninger, ved at maskere sig som en troværdig enhed i en elektronisk kommunikation, f.eks. en e-mail, SMS eller besked på sociale medier. Målet er at få dig til at klikke på et skadeligt link, downloade en inficeret fil eller indtaste dine oplysninger på en falsk hjemmeside.
Hvordan kan phishing-angreb skade mig?
Phishing-angreb kan have alvorlige konsekvenser. De kan føre til identitetstyveri, økonomisk tab (f.eks. ved at tømme din bankkonto), installation af malware eller ransomware på dine enheder, hvilket kan låse dine filer eller overvåge dine aktiviteter, og tab af adgang til dine onlinekonti (e-mail, sociale medier, bank m.m.).
Er min iPhone eller Android-telefon sårbar over for phishing?
Ja, absolut. Phishing-angreb er ikke kun rettet mod computere. Smartphones er lige så sårbare, da vi bruger dem til at modtage e-mails, SMS'er og beskeder på sociale medier. Svindlere udnytter, at vi ofte er mindre opmærksomme på mobile enheder og klikker hurtigere på links, især i SMS'er (smishing) eller via besked-apps.
Hvad skal jeg gøre, hvis jeg tror, jeg har klikket på et phishing-link?
Hvis du mistænker, at du har klikket på et phishing-link eller indtastet oplysninger på en falsk side, skal du straks handle: Skift adgangskoder til alle relevante konti (især dem, du har mistanke om er kompromitteret). Kør en fuld scanning med pålidelig sikkerhedssoftware på din enhed for at fjerne eventuel malware. Kontakt din bank eller kreditkortselskab, hvis du har indtastet finansielle oplysninger. Og hold øje med usædvanlig aktivitet på dine konti.
Kan jeg rapportere phishing-forsøg?
Ja, det kan du, og det er en god idé! De fleste e-mail-udbydere, teleudbydere og sociale medieplatforme har funktioner, der giver dig mulighed for at rapportere mistænkelige e-mails, SMS'er eller profiler. Dette hjælper udbyderne med at identificere og blokere svindlerne, hvilket beskytter andre brugere. Du kan også rapportere det til politiet, hvis du har lidt et økonomisk tab.
Engang var phishing-angreb stort set domænet for falske e-mails, men nu har de spredt sig til SMS'er, sociale medier og besked-apps – overalt hvor en svindler kan sende en bedragerisk besked, mens han udgiver sig for at være en troværdig kilde.
Svindlere regner med, at du bider på krogen, de øjeblikkelige følelser af frygt eller bekymring for, at der er et problem med dine skatter eller en af dine konti. De udnytter også knaphed, som i ferietiden, hvor folk søger efter gode tilbud på gaver og har mange pakker på vej. Med et kritisk øje kan du ofte spotte disse svindelnumre. Nogle gange er en pause og lidt eftertanke alt, der skal til. Og i de tilfælde, hvor et særligt snedigt angreb finder vej, kan online beskyttelsessoftware advare dig om, at det link, du er ved at klikke på, faktisk er en fælde.
Alt i alt har du masser af måder, du kan slå svindlere på deres egen bane.
Hvis du vil læse andre artikler, der ligner Stop Phishing: Beskyt Din iPhone og Mobil, kan du besøge kategorien Teknologi.