Hvad phishing er

Phishing er forsøget på at narre dig til selv at udlevere følsomme oplysninger eller foretage en handling, du ikke burde. I stedet for at bryde ind i et system udnytter angriberen et langt svagere led: mennesket. En typisk phishing-besked udgiver sig for at komme fra en afsender, du stoler på, din bank, en pakkeudbyder, en offentlig myndighed eller en kollega, og leder dig hen til en falsk side eller får dig til at oplyse noget, der kan misbruges.

Phishing er en del af et bredere felt, der kaldes social engineering, altså manipulation af mennesker frem for maskiner. Tanken bag er, at det ofte er lettere at overtale en person til at åbne døren end at bryde låsen op. Derfor virker phishing, uanset hvor god den tekniske sikkerhed ellers er. Et stærkt kodeord beskytter ikke, hvis du selv indtaster det på svindlerens side.

Hvorfor det virker

Det kan være fristende at tro, at man let gennemskuer den slags, men phishing bygger på menneskelig psykologi, der rammer os alle. Et par mekanismer går igen.

Den første er tidspres. Beskeden hævder, at noget haster: din konto bliver lukket, en pakke kan ikke leveres, en betaling skal bekræftes nu. Når vi føler, at tiden er knap, tænker vi mindre kritisk og handler hurtigt. Det er præcis den reaktion, angriberen er ude efter.

Den anden er autoritet. Beskeden ser ud til at komme fra en, vi adlyder eller stoler på: en bank, politiet, skattemyndigheden eller vores egen chef. Vi er tilbøjelige til at føje afsendere med autoritet uden at stille spørgsmål.

Den tredje er frygt eller fristelse. Nogle beskeder skræmmer med, at der er sket noget galt, et uautoriseret køb, et brud på din konto. Andre lokker med en gevinst, en refusion eller et tilbud, der er for godt til at være sandt. Begge dele får os til at klikke, før vi tænker.

Den fjerde er troværdige detaljer. Moderne phishing er ofte velskrevet og bruger ægte logoer, korrekt grafik og navne, der ligger tæt op ad de rigtige. Forestillingen om, at svindel altid er fuld af stavefejl, holder ikke længere. Når et tidligere datalæk har givet angriberen dit navn og oplysninger om, hvilke tjenester du bruger, kan beskeden gøres endnu mere overbevisende og personlig.

Forskellige former for phishing

Phishing optræder i flere skikkelser, og det hjælper at kende de mest almindelige.

Den klassiske form er e-mail-phishing, hvor en falsk e-mail leder dig til en efterlignet hjemmeside. Det er den mest udbredte variant og rammer bredt.

Spear phishing er en målrettet udgave, der er skræddersyet til en bestemt person. Her har angriberen sat sig ind i, hvem du er, og bruger den viden til at gøre beskeden særligt overbevisende. Når målet er en ledende medarbejder, taler man undertiden om hvalfangst, fordi gevinsten kan være stor.

Smishing er phishing via sms, ofte i form af en falsk besked om en pakke, der venter, eller en betaling, der skal bekræftes. Vishing er phishing over telefon, hvor en opkalder udgiver sig for at være fra banken eller en supportafdeling og forsøger at lokke oplysninger ud af dig eller få dig til at installere noget.

En særligt farlig form er beskeder, der efterligner din egen bank og beder dig flytte penge til en såkaldt sikker konto. Ingen ægte bank vil bede dig om det, men presset og autoriteten kan få selv velinformerede mennesker til at handle imod bedre vidende.

Sådan genkender du et forsøg

Selv om phishing er blevet bedre, er der stadig en række tegn, der bør få alarmklokkerne til at ringe. Ingen af dem er afgørende alene, men tilsammen tegner de et mønster.

  • Uventet og hastende. En besked, du ikke ventede, som samtidig presser dig til at handle med det samme, fortjener ekstra skepsis. Pres og hast er svindlerens vigtigste værktøjer.
  • Afsenderadressen passer ikke. Se nøje på den faktiske e-mailadresse, ikke kun det viste navn. Svindlere bruger ofte adresser, der ligner de ægte, men afviger på små punkter eller stammer fra et helt fremmed domæne.
  • Links, der ikke fører hen, hvor de udgiver sig for. Hvis du på en computer holder musen over et link uden at klikke, kan du se den virkelige adresse. Stemmer den ikke med den tjeneste, beskeden hævder at komme fra, så lad være. Vær særligt opmærksom på domænenavne, der ligner de rigtige, men er stavet en smule anderledes.
  • Beder om følsomme oplysninger. Ægte virksomheder beder dig sjældent om kodeord, fulde kortoplysninger eller koder fra din totrinsbekræftelse via e-mail eller telefon. En anmodning om netop disse oplysninger er et stærkt advarselstegn.
  • Generisk eller skæv tiltale. En upersonlig hilsen, et sprog der virker en anelse forkert, eller detaljer der ikke helt passer, kan afsløre et forsøg, selv når resten ser professionelt ud.

Et vigtigt teknisk forbehold: tilstedeværelsen af en hængelås gør ikke en side troværdig. Som beskrevet i artiklen om HTTPS og TLS betyder hængelåsen blot, at forbindelsen er krypteret, ikke at siden er ægte. En phishingside kan sagtens have en gyldig hængelås. Det afgørende er at læse selve domænenavnet i adresselinjen.

Sådan beskytter du dig

Den bedste beskyttelse er en kombination af sunde vaner og nogle få tekniske barrierer, der griber ind, hvis du alligevel bliver narret.

Gør det til en vane ikke at klikke på links i uventede beskeder. Gå i stedet selv til tjenesten ved at indtaste adressen direkte i browseren eller bruge en app, du allerede har. Så ender du på den rigtige side uanset, hvad beskeden forsøgte. Bekræft desuden uventede henvendelser ad en anden kanal: ringer banken angiveligt, så læg på og ring selv tilbage på det officielle nummer.

Slå totrinsbekræftelse til på dine vigtige konti, som beskrevet i artiklen om kodeordssikkerhed. Selv hvis dit kodeord lækker via et phishing-forsøg, gør det ekstra trin det sværere for angriberen at komme ind. En fysisk sikkerhedsnøgle er her særligt stærk, fordi den teknisk er bundet til den ægte hjemmesides adresse og derfor ikke kan narres til at godkende en falsk side.

En kodeordsmanager yder også en stilfærdig beskyttelse. Fordi den kun udfylder dit kodeord på den rigtige adresse, vil den som regel forholde sig tavs på en falsk side. Hvis manageren uventet ikke vil udfylde dine oplysninger, kan det i sig selv være et tegn på, at du ikke er, hvor du tror.

Endelig hjælper det at holde hovedet koldt. Phishing lever af hast og følelser. Et øjebliks pause, hvor du spørger dig selv, om beskeden giver mening, og om afsenderen virkelig ville bede om netop dette, fanger en stor del af forsøgene.

Hvis du er hoppet på den

Det sker for mange, også for kyndige mennesker, og det vigtigste er at handle hurtigt frem for at skamme sig. Skaden kan ofte begrænses, hvis du reagerer i tide.

Har du indtastet et kodeord på en falsk side, så skift det straks på den ægte tjeneste, og overalt hvor du måtte have brugt det samme kodeord. Slå totrinsbekræftelse til, hvis du ikke allerede har gjort det. Drejer det sig om bank eller betaling, så kontakt din bank med det samme via det officielle nummer og bed dem om at spærre kort eller standse mistænkelige overførsler. Har du installeret noget, beskeden bad om, så afbryd enheden fra nettet og få den undersøgt.

Det er også klogt at holde øje med dine konti i tiden efter, fordi lækkede oplysninger ofte bliver brugt igen, og at advare andre, hvis forsøget kom via en kapret konto, du kender. Endelig kan du anmelde forsøget til den efterlignede virksomhed og til relevante myndigheder, så andre kan advares.

Det vigtigste at huske

Phishing angriber mennesker, ikke maskiner, og derfor er den bedste forsvarslinje din egen opmærksomhed. Vær skeptisk over for uventede beskeder, der haster og beder om følsomme oplysninger. Klik ikke på links i sådanne beskeder, men gå selv til tjenesten. Læs domænenavnet, og husk, at en hængelås ikke er nogen garanti. Slå totrinsbekræftelse til som et sikkerhedsnet, og hvis du alligevel bliver narret, så skift kodeord og kontakt din bank uden tøven. Hurtig handling er ofte forskellen på en skræmmende oplevelse og et reelt tab.

Kilder

Relaterede artikler