Phishing er fors\u00f8get p\u00e5 at narre dig til selv at udlevere f\u00f8lsomme oplysninger eller foretage en handling, du ikke burde. I stedet for at bryde ind i et system udnytter angriberen et langt svagere led: mennesket. En typisk phishing-besked udgiver sig for at komme fra en afsender, du stoler p\u00e5, din bank, en pakkeudbyder, en offentlig myndighed eller en kollega, og leder dig hen til en falsk side eller f\u00e5r dig til at oplyse noget, der kan misbruges.<\/p>\n
Phishing er en del af et bredere felt, der kaldes social engineering, alts\u00e5 manipulation af mennesker frem for maskiner. Tanken bag er, at det ofte er lettere at overtale en person til at \u00e5bne d\u00f8ren end at bryde l\u00e5sen op. Derfor virker phishing, uanset hvor god den tekniske sikkerhed ellers er. Et st\u00e6rkt kodeord beskytter ikke, hvis du selv indtaster det p\u00e5 svindlerens side.<\/p>\n
Det kan v\u00e6re fristende at tro, at man let gennemskuer den slags, men phishing bygger p\u00e5 menneskelig psykologi, der rammer os alle. Et par mekanismer g\u00e5r igen.<\/p>\n
Den f\u00f8rste er tidspres<\/strong>. Beskeden h\u00e6vder, at noget haster: din konto bliver lukket, en pakke kan ikke leveres, en betaling skal bekr\u00e6ftes nu. N\u00e5r vi f\u00f8ler, at tiden er knap, t\u00e6nker vi mindre kritisk og handler hurtigt. Det er pr\u00e6cis den reaktion, angriberen er ude efter.<\/p>\n Den anden er autoritet<\/strong>. Beskeden ser ud til at komme fra en, vi adlyder eller stoler p\u00e5: en bank, politiet, skattemyndigheden eller vores egen chef. Vi er tilb\u00f8jelige til at f\u00f8je afsendere med autoritet uden at stille sp\u00f8rgsm\u00e5l.<\/p>\n Den tredje er frygt eller fristelse<\/strong>. Nogle beskeder skr\u00e6mmer med, at der er sket noget galt, et uautoriseret k\u00f8b, et brud p\u00e5 din konto. Andre lokker med en gevinst, en refusion eller et tilbud, der er for godt til at v\u00e6re sandt. Begge dele f\u00e5r os til at klikke, f\u00f8r vi t\u00e6nker.<\/p>\n Den fjerde er trov\u00e6rdige detaljer<\/strong>. Moderne phishing er ofte velskrevet og bruger \u00e6gte logoer, korrekt grafik og navne, der ligger t\u00e6t op ad de rigtige. Forestillingen om, at svindel altid er fuld af stavefejl, holder ikke l\u00e6ngere. N\u00e5r et tidligere datal\u00e6k<\/a> har givet angriberen dit navn og oplysninger om, hvilke tjenester du bruger, kan beskeden g\u00f8res endnu mere overbevisende og personlig.<\/p>\n Phishing optr\u00e6der i flere skikkelser, og det hj\u00e6lper at kende de mest almindelige.<\/p>\n Den klassiske form er e-mail-phishing<\/strong>, hvor en falsk e-mail leder dig til en efterlignet hjemmeside. Det er den mest udbredte variant og rammer bredt.<\/p>\n Spear phishing<\/strong> er en m\u00e5lrettet udgave, der er skr\u00e6ddersyet til en bestemt person. Her har angriberen sat sig ind i, hvem du er, og bruger den viden til at g\u00f8re beskeden s\u00e6rligt overbevisende. N\u00e5r m\u00e5let er en ledende medarbejder, taler man undertiden om hvalfangst, fordi gevinsten kan v\u00e6re stor.<\/p>\n Smishing<\/strong> er phishing via sms, ofte i form af en falsk besked om en pakke, der venter, eller en betaling, der skal bekr\u00e6ftes. Vishing<\/strong> er phishing over telefon, hvor en opkalder udgiver sig for at v\u00e6re fra banken eller en supportafdeling og fors\u00f8ger at lokke oplysninger ud af dig eller f\u00e5 dig til at installere noget.<\/p>\n En s\u00e6rligt farlig form er beskeder, der efterligner din egen bank og beder dig flytte penge til en s\u00e5kaldt sikker konto. Ingen \u00e6gte bank vil bede dig om det, men presset og autoriteten kan f\u00e5 selv velinformerede mennesker til at handle imod bedre vidende.<\/p>\n Selv om phishing er blevet bedre, er der stadig en r\u00e6kke tegn, der b\u00f8r f\u00e5 alarmklokkerne til at ringe. Ingen af dem er afg\u00f8rende alene, men tilsammen tegner de et m\u00f8nster.<\/p>\n Et vigtigt teknisk forbehold: tilstedev\u00e6relsen af en h\u00e6ngel\u00e5s g\u00f8r ikke en side trov\u00e6rdig. Som beskrevet i artiklen om HTTPS og TLS<\/a> betyder h\u00e6ngel\u00e5sen blot, at forbindelsen er krypteret, ikke at siden er \u00e6gte. En phishingside kan sagtens have en gyldig h\u00e6ngel\u00e5s. Det afg\u00f8rende er at l\u00e6se selve dom\u00e6nenavnet i adresselinjen.<\/p>\n Den bedste beskyttelse er en kombination af sunde vaner og nogle f\u00e5 tekniske barrierer, der griber ind, hvis du alligevel bliver narret.<\/p>\n G\u00f8r det til en vane ikke at klikke p\u00e5 links i uventede beskeder. G\u00e5 i stedet selv til tjenesten ved at indtaste adressen direkte i browseren eller bruge en app, du allerede har. S\u00e5 ender du p\u00e5 den rigtige side uanset, hvad beskeden fors\u00f8gte. Bekr\u00e6ft desuden uventede henvendelser ad en anden kanal: ringer banken angiveligt, s\u00e5 l\u00e6g p\u00e5 og ring selv tilbage p\u00e5 det officielle nummer.<\/p>\nForskellige former for phishing<\/h2>\n
S\u00e5dan genkender du et fors\u00f8g<\/h2>\n
\n
S\u00e5dan beskytter du dig<\/h2>\n