Gå till innehåll

Phishing

Phishing, eller nätfiske, är ett meddelande som innehåller en skadlig länk, bilaga eller QR-kod som skickas ut via mejl eller sms till en bred målgrupp. Vad du än gör: klicka inte.

Person sitter med en mobil i handen.

Foto: Mostphotos

För det är precis det avsändarna hoppas på: att du ska klicka på länken eller bilagan så att de kan:

  • stjäla personuppgifter som till exempel användarnamn och lösenord.
  • få obehörig åtkomst till mejlkonton, profiler på sociala medier osv.
  • plantera skadlig kod på mottagarens enhet.

Det är extremt viktigt att inte klicka!

I phishingmeddelandet använder aktörerna mänsklig psykologi för att påverka oss, till exempel genom att:

  • skapa en känsla av brådska: ”den här betalningen är redan försenad, betala nu!”.
  • skrämmas: ”om du inte följer instruktionerna, kommer vi att dela ditt privata innehåll”.
  • be om något: ”kan du göra det här för mig, jag behöver verkligen din hjälp?”.
  • göra dig osäker: ”jag är en professionell hackare och har fått tillgång till ditt konto”.
  • locka med något: ”de som svarar först får ett pris”.

Så här går det till

  • Du får ett mejl med en länk från ett företag eller en person. Det kan till och med se ut som att det kommer från någon du känner eller litar på. Men om du klickar kan du hamna på en webbplats som installerar skadlig programvara på din dator (eftersom det är betydligt enklare att lura någon som befinner sig på insidan än att ta sig förbi brandväggen).
  • Eller också kan du hamna på en webbplats som imiterar den riktiga inloggningssidan. Om du anger ditt användarnamn och lösenord på den falska sidan, kan informationen användas för att logga in på den riktiga webbplatsen. I så fall förlorar du kontrollen över ditt konto.

Gör så här

  • Klicka inte! Gå istället till den officiella webbplatsen.Sök efter den på internet och verifiera adressen. Tänk på att de bästa sökresultaten ofta är sponsrade och kan leda dig till andra webbsidor.
  • Om du inte hittar den officiella webbplatsen, stanna upp och fundera över varför du inte hittar den. Fundera även på om det finns någon bra anledning att klicka på länken. Om du är osäker är det bättre att kontakta avsändaren på annat sätt, exempelvis via telefon.

Riktad phishing

En annan typ av phishing riktas mot specifika mottagare. Genom att använda information från exempelvis sociala medier i phishingmeddelandet blir det trovärdigt och också svårare att genomskåda.

Exempel från verkligheten

Ett känt exempel är Cloudhopper, ett hackernätverk som 2017 riktade in sig på it-leverantörer. För att vara så trovärdiga som möjligt gjordes en ordentlig research om varje person som skulle kontaktas, så att meddelandena kunde anpassas till varje enskild mottagare. En person som var fotbollstränare åt ett knattelag på fritiden fick ett mejl med rubriken ”Ny speluppställning”. Han öppnade det och i mejlet fanns en bilaga om fotbollstaktik på felfri norska, men också en skadlig programkod som tog över hans dator utan att han märkte det.

Utmaningen med riktad phishing är alltså att angriparen kan utge sig för att vara någon du känner och att mejlet innehåller uppgifter som är relevanta för dig. AI-utvecklingen har också gjort det betydligt enklare att luras. Till exempel går det nu både snabbt och enkelt att skriva ett felfritt meddelande på vilket modersmål som helst eller att skapa en falsk mejltråd (så att det till exempel ser ut som att din chef har godkänt något).

E-postförfalskning

Ofta används så kallad e-postförfalskning där angriparna har köpt rättigheterna till en domän som liknar din organisations. Då kan avsändarmejlen se korrekt ut, men i själva verket är en bokstav utbytt och ersatt med något som ser likadant ut. Till exempel kan ett litet L i själva verket vara ett stort I. Kontrollera mejlets Från-rad noggrant!

Sidinformation

Senast uppdaterad:
1 oktober 2024