Hva er phishing?
Phishing-angrep har som mål å stjele eller skade sensitive data ved å lure folk til å avsløre personopplysninger slik som passord og kredittkortnumre.
Ulike typer phishing-angrep
Phishing-angrep kommer fra svindlere som etterligner pålitelige kilder og åpner for tilgangen til alle typer sensitive data. Etter hvert som teknologien utvikler seg, gjør også cyberangrepenedet. Finn ut mer om de mest gjennomgripende phishing-typene.
Phishing via e-postmeldinger
Den mest vanlige formen for phishing-angrep bruker taktikker som falske hyperkoblinger for å lokke e-postmottakere til å dele personopplysningene sine. Angripere utgir seg ofte for å være store kontoleverandører slik som Microsoft eller Google, eller til og med kolleger av ofrene.
Phishing med skadelig programvare
En annen utbredt tilnærming til phishing innebærer planting av skadelig programvare , som etterligner pålitelige vedlegg (slik som CV-er eller kontoutskrifter) i en e-postmelding. I noen tilfeller kan åpning av vedlegg med skadelig programvare lamme hele IT-systemer.
Målrettet phishing
De fleste phishing-angrep kaster ut et stort garn. Målrettet phishing derimot retter seg mot konkrete enkeltpersoner. Angriperne gjør undersøkelser, finner frem til og utnytter informasjon om ofrenes jobber og sosiale liv. Disse angrepene er spesialtilpassede. Slik omgår de effektivt grunnleggende cybersikkerhet..
Hval-phishing
Når tvilsomme aktører retter seg mot «store fisker» slik som bedriftsledere eller kjendiser, kalles det hval-phishing. Disse svindlerne setter seg godt inn i hvem målene er. Slik finner de det best mulige tidspunktet for å stjele påloggingslegitimasjon eller annen sensitiv informasjon. Har du mye å miste, har også de som angriper med hval-phishing, mye å vinne.
Smishing
Smishing er en sammensetning av ordene «SMS» og «phishing». Tekstmeldinger ser ut som pålitelig kommunikasjon fra bedrifter slik som Amazon eller FedEx. Folk er spesielt sårbare for SMS-svindel. Siden tekstmeldinger kommer som ren tekst, fremstår de mer personlige.
Vishing
I vishing-kampanjer prøver angripere, via falske telefonsentre, å lure folk til å oppgi sensitiv informasjon per telefon. I mange tilfeller benyttes sosial manipulering i disse svindelforsøkene. Slik lures ofrene til å installere skadelig programvare på enhetene sine i form av apper.
Vanlige phishing-strategier
Listig kommunikasjon
Angripere er gode på å manipulere ofrene sine til å gi opp sensitive data. De skjuler skadelige meldinger og vedlegg på steder der folk ikke er så kritiske (slik som i e-post-innbokser). Det er lett å anta at meldingene som kommer til innboksen din, er legitime, men vær oppmerksom! E-postmeldinger som inneholder phishing, ser ofte trygge og liketil ut. For å unngå å bli lurt bør du roe ned tempoet og undersøke hyperkoblinger og avsenderes e-postadresser før du klikker på dem.
Inntrykk av at handling kreves
Folk faller for phishing fordi de tror de er nødt til å handle. Ofre kan eksempelvis laste ned skadelig programvare som ser CV-er fordi de trenger å ansette noen raskt, eller de kan skrive inn bankkontoopplysningene sine på et mistenkelig nettsted for å bevare en konto de ble fortalt ville utløpe snart. Å skape et falskt inntrykk av at noe haster er et vanlig triks, fordi det fungerer. For å holde dataene dine trygge må du granske alt grundig eller installere teknologi for e-postbeskyttelse som gjør denne vanskelige jobben for deg.
Falsk tillit
Tvilsomme aktører lurer folk ved å skape en falsk følelse av tillit. Selv de mest oppvakte blant oss faller for triksene deres. Phishere gir seg ut for å være pålitelige kilder slik som Google, Wells Fargo eller UPS. Slik kan de lure deg til å utføre handlinger før du skjønner at du har gått i fellen deres. Mange phishing-meldinger forblir uoppdaget hvis ikke avanserte tiltak for cybersikkerhet er på plass. Beskytt privat informasjon med teknologi fore-postsikkerhet. Det er utviklet for å kunne identifisere mistenkelig innhold, og bli kvitt det, før det i det hele tatt når innboksen din.
Manipulering av følelser
Tvilsomme aktører bruker psykologiske strategier til å overbevise personene de målretter, om å handle før de tenker. Etter å ha skapt tillit ved å etterligne en kjent kilde, skaper de en falsk følelse av at noe haster. Angriperne utnytter følelser som frykt og angst for å oppnå det de vil ha. Folk har en tendens til å ta raske beslutninger når de blir fortalt at de vil tape penger, få juridiske problemer eller ikke lenger ha tilgang til sårt tiltrengte ressurser. Vær på vakt om du får meldinger som krever at du «handler nå». Det kan være svindel.
Farer knyttet til phishing via e-postmeldinger
Vellykkede phishing-angrep kan få alvorlige konsekvenser. Penger kan bli stjålet. Kredittkort kan belastes av svindlere. Ofrene kan miste tilgang til bilder, videoer og filer. Nettkriminelle kan til og med utgi seg for å være deg og sette andre i fare.
På jobben kan arbeidsgiveren din risikere tap av bedriftsmidler og eksponering av kundenes eller kollegenes personopplysninger. Sensitive filer kan bli stjålet eller gjort utilgjengelige, for ikke å nevne skade på bedriftens omdømme. I mange tilfeller er skadene uopprettelige.
Heldigvis finnes det mange løsninger som beskytter deg mot phishing – både hjemme og på jobb.
Raske tips for å unngå phishing
Ikke stol på visningsnavn
Kontroller avsendernes e-postadresser før du åpner meldinger. Visningsnavn kan være falske.
Se etter skrivefeil
Skrivefeil og dårlig grammatikk typisk for e-postmeldinger med phishing. Hvis noe ser rart ut, flagg det.
Se før du klikker
Hold pekeren over hyperkoblinger til innhold som virker ekte, for å inspisere adressen.
Les innledende hilsen
Hvis e-postmeldingen henvender seg til «Kjære kunde» og ikke til deg personlig: Vær på vakt! Det er sannsynligvis uredelig.
Gå gjennom signaturen
Se etter kontaktinformasjon i e-postmeldingens bunntekst. Legitime avsendere har det alltid med.
Vær på vakt overfor trusler
Fryktinngytende setninger av typen «Kontoen din er suspendert» er utbredt i e-postmeldinger med phishing.
Beskytt deg mot datatrusler
Svindel i forn av phishing og andre datatrusler utvikler seg hele tiden. Der er mye konkret du kan gjøre for å beskytte deg.
Gå inn for prinsippene for nulltillit
Prinsippene for nulltillit, slik som flerfaktorautentisering, behovsbasert tilgang og kryptering ende-til-ende, beskytter deg mot datatrusler som er under stadig utvikling.
Beskytt apper og enheter
Forebygg, oppdag og svar på phishing og andre cyberangrep med Microsoft Defender for Office 365.
Sikker tilgang
Beskytt brukere mot sofistikerte angrep samtidig som du beskytter organisasjonen din mot identitetsbaserte trusler.
Vanlige spørsmål
-
Hovedmålet for phishing-svindlere er å stjele sensitiv informasjon og legitimasjoner. Vær på vakt mot meldinger (via telefon, e-post eller tekst) som ber om sensitive data eller vil ha deg til å bevise identiteten din.
Angriperne jobber mye med etterligningene sine av kjente bedrifter og institusjoner. De kopierer logoer, design og grensesnitt fra merker eller enkeltpersoner du allerede kjenner til. Vær årvåken! Ikke klikk på koblinger eller åpne vedlegg med mindre du er sikker på at meldingen er legitim.
Her er noen tips til hvordan du kan kjenne igjen e-postmeldinger med phishing:
- Trusler eller oppfordringer til handling som haster (slik som: «Åpne straks»).
- Nye eller sjeldne avsendere – alle som kontakter deg for første gang.
- Mange skrivefeil eller dårlig grammatikk (ofte er det snakk om klønete oversettelser fra andre språk).
- Mistenkelige koblinger eller vedlegg – hyperkoblet tekst som avslører koblinger fra andre IP-adresser eller domener.
Diskret feilstaving (slik som «micros0ft.com» eller «rnicrosoft.com»)
-
- Skriv ned så mange detaljer fra angrepet som du husker. Tenk gjennom hvilken informasjon du kan ha delt slik som brukernavn, kontonumre eller passord.
- Endre passordene for de berørte kontoene umiddelbart, også for eventuelle andre steder der du kan ha brukt de samme passordene.
- Bekreft at du bruker godkjenning med flere faktorer (eller totrinnsautentisering) for alle kontoer du bruker.
- Varsle alle relevante kontakter om at informasjonen din er kompromittert.
- Hvis du har mistet penger eller blitt utsatt for identitetstyveri, må du anmelde dette til politiet og Konkurransetilsynet. Oppgi alle detaljene du registrerte i trinn 1.
Hvis du tror du har vært uheldig og falt for et phishing-angrep, bør du gjøre følgende:
Husk på at når du har sendt informasjonen til en angriper, vil denne sannsynligvis raskt bli delt med andre tvilsomme aktører. Du må regne med å få flere e-postmeldinger, tekster og oppringninger med phishing.
-
Hvis du får en mistenkelig melding i Microsoft Outlook-innboksen, velger du Rapporter melding på båndet, og deretter velger du Phishing. Dette er den raskeste måten å fjerne meldingen fra innboksen din på. På Outlook.com velger du avmerkingsboksen ved siden av den mistenkelige meldingen i innboksen. Velg pilen ved siden av Søppelpost, og velg deretter Phishing.
Hvis du har mistet penger eller blitt utsatt for identitetstyveri, må du anmelde dette til politiet og ta kontakt med Konkurransetilsynet. De har mye informasjon på nettsidene sine om måter å løse problemer av denne typen på.
-
Nei. Det vanligste er riktignok at phishing kommer i e-postmeldinger, men phishere bruker også telefonsamtaler, tekstmeldinger og til og med nettsøk for å få tak i sensitiv informasjon.
-
Søppelpost er uønskede meldinger med irrelevant eller kommersielt innhold. De kan reklamere for raske penger, ulovlige tilbud eller falske rabatter.
Phishing er mer målrettede forsøk (vanligvis også med bedre etterligninger) på å få tak sensitive data. Ofrene lures til å frivillig oppgi kontoinformasjon og legitimasjon.
Følg Microsoft Sikkerhet