Sådan genkender og undgår du phishing-svindel

I denne moderne æra af globalisering, hvor mere end to tredjedele af verdens befolkning har adgang til sms’er, mobilopkald og e-mail, ville tallene gøre det let at konkludere, at mere end halvdelen af jordens befolkning har været udsat for et forsøg på phishing. Den foreslåede udsættelse skyldes, at phishing-angreb hovedsageligt udføres gennem et af de nævnte medier, med e-mails som det mest almindelige. Det endelige mål med et phishing-angreb er at opnå offerets personlige oplysninger, hvor bankoplysninger er gryden med guld. Denne artikel vil fortælle dig alt om denne cybertrussel, og vise dig, hvordan du genkender og undgår at falde offer for phishere.

Den Særegne Vejviser for Phishing Svindel

Det primære mål med Phishing er at erhverve personlige adgangsdetaljer til dine finansielle konti. Selvom svindlere har udviklet sig over årene med de taktikker, der bruges til at narre folk, er der dog nogle røde flag, der kan gøre det muligt at afsløre phishing-opkald, sms’er eller e-mails for hvad de er — svindel!

• Phishing-opkald, e-mails og sms’er fra tilsyneladende pålidelige organisationer. Har du nogensinde modtaget en e-mail, der angiveligt er sendt af din “kontoansvarlige”, og som beder om personlige oplysninger som dit CPR-nummer og andre bankoplysninger? Det ville interessere dig at finde ud af, at disse beskeder og e-mails er fra phishere, der udgiver sig for at være de rigtige organisationer.  
• Phishing-mails og -sms’er kommer ofte med ubegrundede historier. Tricket med sådanne spændende historier er at vække lidenskab hos offeret. Et berømt phishing-angreb, som flere bankbrugere blev ofre for, bad kunderne om “venligst” at sende deres sidste login-oplysninger igen for at opdatere bankens database. Denne anmodning kom efter en fortælling om, hvordan hackere for nylig havde angrebet bankens datainfrastruktur.

En mere berømt historie, og let at falde for, er dem, der påstår, at der er blevet bemærket mistænkelige loginforsøg på din konto. Efterfølgende bliver brugerne rådet til at nulstille deres adgangskode ved at udfylde nogle personlige oplysninger, normalt på en falsk hjemmeside, der er blevet oprettet, eller den faktiske hjemmeside, der er blevet midlertidigt kapret.

Typisk er dette, hvordan phishing-svindlere snedigt høster ofres personlige oplysninger:

1. De køber data om dit abonnement på onlinetjenester, f.eks. mobilnumre eller e-mailadresser.
2. Dernæst skaber de lokkemaden i form af vildledende e-mails, tekst og falske hjemmesider for at overbevise brugerne om, at beskederne kommer fra organisationer, du kender og stoler på.
3. Svindlerne sender beskederne i massevis til de oprindeligt købte kontakter, nogle gange til tusindvis af brugere på én gang.
4. Phisherne bruger de data, de kan indsamle fra uvidende modtagere af beskederne, til at foretage uautoriserede køb og handlinger ved hjælp af ofrenes konto.

Almindelige typer af phishing og hvordan man genkender dem

Phishing er på ingen måde begrænset til dem, der er nævnt nedenfor, da svindlere konstant ændrer deres taktik; dog vil optegnelser over bredt rapporterede phishing-angreb hjælpe os med at kategorisere dem i følgende:

1. SMS phishing involverer videresendelse af tekstbeskeder til mobilbrugere, hvor de bedes kontakte en kundeserviceagent eller besøge en organisation via et link indlejret i teksten. Ved at klikke på linket føres ofrene til en login-side eller en tekst-dialogboks, hvor det kræves, at de indtaster personlige oplysninger, før de får fuld adgang til den påståede hjemmeside eller ressource. Denne type angreb er i stigning delvist fordi mobiltelefonproducenter har købt ind i internetrevolutionen ved hovedsageligt at producere smartphones.

En nem måde at identificere et SMS-phishingangreb på er, at beskeden normalt sendes fra mærkelige numre eller endda kommer med dårligt formulerede tekster.

2. Email phishing beskeder sendes via email til intetanende ofre. Mailene sendes ofte som masseforsendelse (BCC) til flere emailadresser med logo og fodnoter stjålet fra den faktiske organisation eller person, der efterlignes. Email phishing-angreb slutter sjældent med selve beskeden; modtagerne af beskeden bliver ofte dirigeret til at besøge en populær hjemmeside via et tekstlink eller downloade et spamvedhæft i emailen. På landingssiden for det vedhæftede link bliver ofrene bedt om at udfylde personlige oplysninger. Hjemmesiden kan ligeledes få malware til automatisk at installere på en computer, så snart hjemmesiden er indlæst. Den indlæste phishing-malware høster personlige oplysninger fra offerets computer, smartphone eller enhed på en af mange måder:

• Registrering af brugerens tastetryk under udfyldelse af formularer
• Vurderer brugerens cache og videresender dens indhold til den eksterne angriber

Ligesom SMS-phishing vil et grundigt kig på kildens e-mailadresse hjælpe en modtager med at isolere og rapportere ondsindede beskeder som et phishing-angreb. For eksempel kan en phisher, der ønsker at efterligne Amazon Kundeservice, bruge en adresse som – *[email protected]*. En legitim e-mail fra Amazon ville komme med firmaets domænenavn, f.eks., *[email protected]*. Desuden vil ingen ordentligt struktureret organisation anmode om dine personlige eller finansielle oplysninger via e-mail.

3. Spear phishing er en mere strategisk form for svindel, som også udnytter e-mailens sårbarheder. I forhold til e-mail phishing, hvor e-mails sendes til flere personer som massebeskeder, er spear phishing mere målrettet. Ansatte hos online tjenesteudbydere eller offentlige myndigheder, som er udpeget til at have adgang til flere brugeres personlige oplysninger, er de hyppige mål for spear phishing.

E-mailen er lavet til at se ud som om, den kommer fra en overordnet, eller firmaets chef, der anmoder om adgang til brugernes information. I andre tilfælde sendes mailen fra tydeligt ukendte kilder, med en magnetisk overskrift, fængslende nok til at få modtageren til at åbne beskeden. Beskeden er som regel tom og kommer med en vedhæftet fil; nysgerrighed vil derefter få modtageren til at åbne vedhæftningen og installere ransomware på computeren.

Ofre for spear phishing-angreb kan sammenlignes med hovedet på den ordsprogede Hydra. De data, der indsamles under sådanne angreb, bruges derefter til at udføre et storskala brud på brugerkonti tilknyttet den pågældende organisation.

4. Klon phishing, som navnet antyder, involverer, at et offer modtager en e-mail, der har præcis det samme indhold som en, der tidligere er blevet sendt fra en pålidelig organisation; phisheren inkluderer dog et intetanende link til en ondsindet vedhæftet fil eller falsk hjemmeside. Den eneste variation er, at afsenderens e-mailadresse er let forfalsket og gjort meget lignende den oprindelige afsenders. Denne taktik gør klon phishing til den mest udfordrende type at opdage.

5. Whaling phishing er meget lig Spear phishing. Hensigten er at få adgang til følsomme eller personlige oplysninger fra personer, der abonnerer på en organisations tjenester. Dog retter whaling-angreb sig mod ‘hvalerne’ i organisationer – såsom topchefer og bestyrelsesmedlemmer.

6. Pop-up phishing er meget lig de reklame pop-ups, der afbryder din brugeroplevelse, mens du browser på en monetiseret hjemmeside. Pop-up phishing kommer dog som en advarsel, ikke en reklame; pop-up’en advarer brugeren om et unavngivet skadeligt dokument eller en applikation, der har inficeret computeren. Der gives derefter mulighed for at downloade et antivirusprogram, der vil eliminere truslen uden omkostninger. At installere sådan software udsætter din computer for risikoen for at blive inficeret med uønsket malware; den påståede trussel er for det meste en fup.

Beskyt dig selv mod at blive offer for phishing

I denne æra af e-handel, for at undgå at blive et offer eller blive brugt som en kanal til at afsløre følsomme data relateret til din organisation, er her nedenfor brandsikre vejledninger at følge.

• Backup af dine data. Det er vigtigt at have en kopi af de vitale data på din computer eller smartphone, som er sikkerhedskopieret på et eksternt medie. Hvis det sker, at du bliver offer for et ransomware-angreb, er sikkerhedskopien af dine dokumenter i sikkerhed på måske en cloud-lagringstjeneste eller et eksternt lagringsmedie, der ikke er forbundet til din computers netværk.
• Brug brugergodkendelse i flere trin. Phishere er altid ude efter kontooplysninger som brugernavn og adgangskode. I situationer, hvor anden fase af autentificering er blevet etableret for dine følsomme konti, bliver dit password og brugernavn uden betydning. Et glimrende eksempel på autentificering i flere trin er den bekræftelseskode, der sendes til din mobilkontakt, når du foretager banktransaktioner eller logger ind. Et biometrisk lag af autentificering, som fingeraftryk, øjen- eller ansigtsscanning, er sikre metoder til at beskytte vores konti.
• Opdater enheder med de seneste sikkerhedsrettelser. De primære producenter af computere og smartphones opdaterer regelmæssigt deres operativsystemer for at rette fejl og smuthuller, som phishere er blevet identificeret til at angribe gennem. Opdatering af disse enheder vil spare teknologibrugere for en masse sikkerhedshovedpine.
• Undgå at åbne mistænkelige beskeder. Vær opmærksom på alle de nævnte fejl, der kendetegner phishing-angreb. Tjek indholdet af e-mails omhyggeligt, før du klikker på links, åbner vedhæftede filer eller udfylder medfølgende formularer. Hvis du er nødt til at bekræfte integriteten af en påstand i en e-mail, skal du besøge virksomhedens hjemmeside direkte i stedet for at gå gennem et medfølgende link.

Konklusion

I takt med at online tilstedeværelsen af flere organisationer og individuelle brugere vokser, er der en større tendens til, at phishing vil stige i omfang og indvirkning. Men med proaktive forholdsregler, som foreslået i denne artikel, bør internetbrugere lykkes med at komme foran phishere.