Phishing

Phishing, eller nätfiske, är ett meddelande som innehåller en skadlig länk, bilaga eller QR-kod som skickas ut via mejl eller sms till en bred målgrupp. Syftet är att förmå mottagaren att klicka. Men tänk efter innan du agerar.

För om du klickar kan avsändaren:

• Stjäla personuppgifter som till exempel användarnamn och lösenord.
• Få obehörig åtkomst till mejlkonton, profiler på sociala medier osv.
• Plantera skadlig kod på mottagarens enhet.

Genom att trigga mänskliga reflexer försöker aktörer påverka oss, till exempel genom att:

• Skapa en känsla av brådska: ”Den här betalningen är redan försenad, betala nu!”.
• Skrämmas: ”Om du inte följer instruktionerna, kommer vi att dela ditt privata innehåll”.
• Be om något: ”Kan du göra det här för mig, jag behöver verkligen din hjälp?”.
• Göra dig osäker: ”Jag är en professionell hackare och har fått tillgång till ditt konto”.
• Locka med något: ”De som svarar först får ett pris”.
• Smickra: "Du har levererat prickfritt i tio år och kommer att få en utmärkelse."

Genom att förmå mottagaren att avslöja känslig information och lösenord, eller klicka på skadliga länkar och bifogade filer, försöker angriparen sprida skadlig kod (ransomware) som sedan kan användas för att fortsätta attacken. Målet är att den som angrips ska agera snabbt utan att tänka kritiskt.

Spear phishing

Speciellt farligt är riktat nätfiske, så kallad spear phishing, där angriparen använder information som samlats in via öppna källor, exempelvis sociala medier. På så vis går det att personanpassa angreppsförsöket vilket gör det mycket svårare att upptäcka.

Ofta används så kallad e-postförfalskning där angriparna har köpt rättigheterna till en domän som liknar din organisations. Då kan avsändarmejlen se korrekt ut, men i själva verket är en bokstav utbytt och ersatt med något som ser likadant ut. Till exempel kan ett litet L i själva verket vara ett stort I. Kontrollera mejlets Från-rad noggrant!

IT-personal, speciellt dem med administratörsrättigheter, är särskilt utsatta. Men eftersom angripare ständigt letar efter den svagaste länken kan även medarbetare och leverantörer med begränsade rättigheter bli ingångspunkter för en attack. Med utvecklingen inom generativ AI och avancerade språkmodeller blir det allt svårare att avslöja phishing-meddelanden.

Så här går det till

Du får ett mejl med en länk från ett företag eller en person. Det kan till och med se ut som att det kommer från någon du känner eller litar på. Men om du klickar kan du hamna på en webbplats som installerar skadlig programvara på din dator.

Eller också kan du hamna på en webbplats som imiterar den riktiga inloggningssidan. Om du anger ditt användarnamn och lösenord på den falska sidan, kan informationen användas för att logga in på den riktiga webbplatsen. I så fall förlorar du kontrollen över ditt konto.

Gör så här

• Klicka inte!
• Gå istället till den officiella webbplatsen. Sök efter den på internet och verifiera adressen. Tänk på att de bästa sökresultaten ofta är sponsrade och kan leda dig till andra webbsidor.
• Om du inte hittar den officiella webbplatsen, stanna upp och fundera över varför du inte hittar den. Fundera även på om det finns någon bra anledning att klicka på länken. Om du är osäker är det bättre att kontakta avsändaren på annat sätt, exempelvis via telefon.