Hva phishing er
Phishing er forsøk på å lure deg til å gi fra deg sensitiv informasjon, som passord, kortnummer eller engangskoder, eller til å gjøre noe du ikke burde, som å klikke på en lenke eller åpne et vedlegg. Ordet spiller på «fishing» på engelsk: angriperen kaster ut et lokkemiddel og håper at noen biter på. Det som gjør phishing så effektivt, er at det ikke angriper datamaskinen din direkte. Det angriper dømmekraften din.
Dette er verdt å dvele ved. De fleste tekniske sikkerhetstiltak, som kryptering og sterke passord, beskytter mot angrep på systemer. Phishing går utenom alt dette ved å rette seg mot mennesket foran skjermen. En angriper som klarer å overtale deg til å oppgi passordet ditt frivillig, trenger ikke bryte noen kryptering. Du åpnet døren selv. Derfor er bevissthet det viktigste forsvaret, og denne artikkelen handler om hvordan du bygger den.
Sosial manipulasjon: motoren bak phishing
Phishing er en form for sosial manipulasjon, altså kunsten å påvirke folk til å handle mot sin egen interesse. Angriperne utnytter helt normale menneskelige reaksjoner, og de samme grepene går igjen gang på gang. Kjenner du dem, blir de lettere å oppdage.
- Hastverk og press. «Kontoen din blir stengt om 24 timer.» «Du må bekrefte umiddelbart.» Tidspress får deg til å handle før du rekker å tenke deg om. En ekte avsender gir deg som regel tid.
- Frykt. Meldinger om uautoriserte kjøp, sikkerhetsbrudd eller problemer med kontoen spiller på frykt og en trang til å rydde opp raskt.
- Autoritet. Angriperne utgir seg for å være banken, en offentlig etat, sjefen din eller et velkjent selskap. Vi er vant til å adlyde autoriteter, og det utnyttes.
- Fristelser. En gevinst, en refusjon, en pakke som venter eller et godt tilbud frister deg til å klikke uten å være kritisk.
- Tillit og kjennskap. Meldingen kan se ut til å komme fra en kollega, en venn eller en tjeneste du faktisk bruker, noe som senker skuldrene dine.
Felles for alt dette er at angriperen prøver å få deg til å reagere på følelser i stedet for å tenke rolig gjennom situasjonen. Selve forsvaret ligger i å gjenkjenne nettopp det øyeblikket: når en melding vekker en sterk følelse og ber deg handle straks, er det grunn til å stoppe opp.
Vanlige former for phishing
Phishing kommer i mange varianter, og det er nyttig å kjenne de vanligste.
E-post-phishing
Den klassiske formen. En e-post som ser ut til å komme fra en kjent avsender, ber deg logge inn, bekrefte opplysninger eller åpne et vedlegg. Lenken fører til et forfalsket nettsted som ligner originalen, der alt du skriver inn, havner hos angriperen. Dette er fortsatt den mest utbredte typen.
Målrettet phishing
Mens vanlig phishing sendes bredt ut til mange, er målrettet phishing skreddersydd for en bestemt person eller organisasjon. Angriperen har gjort hjemmeleksen sin og bruker reelle navn, prosjekter eller detaljer for å virke troverdig. Slike meldinger er langt vanskeligere å avsløre, nettopp fordi de inneholder informasjon som stemmer. Når angrepet retter seg mot en leder eller annen nøkkelperson, omtales det gjerne som et angrep mot «de store fiskene».
Svindel via SMS og telefon
Phishing er ikke begrenset til e-post. Falske tekstmeldinger, ofte med en lenke og et påskudd om en pakkelevering, en regning eller banken, er svært vanlige. Det samme gjelder svindelsamtaler, der noen ringer og utgir seg for å være fra support, banken eller en offentlig etat, og prøver å få deg til å oppgi koder eller gi dem tilgang.
Falske nettsteder
Mange phishing-angrep ender på en kopi av et ekte nettsted. Siden kan se helt riktig ut, og den kan til og med ha hengelås og kryptert forbindelse. Som forklart i artikkelen om HTTPS og TLS, betyr ikke hengelåsen at nettstedet er ærlig, bare at forbindelsen er kryptert. Det avgjørende er om adressen i adressefeltet faktisk er den riktige.
Hvordan du kjenner igjen et phishing-forsøk
Selv om angrepene blir stadig mer forseggjorte, finnes det varseltegn som ofte avslører dem. Ingen av dem er en fasit alene, men flere sammen bør få varsellampene til å blinke.
Sjekk avsender og adresse nøye
Se nøye på avsenderadressen, ikke bare det viste navnet. Angripere bruker ofte adresser som ligner, men ikke stemmer helt, med en ekstra bokstav, et annet domene eller en liten avvikende detalj. Det samme gjelder lenker. Før du klikker, kan du holde pekeren over lenken for å se hvor den faktisk fører. Stemmer ikke adressen med selskapet den utgir seg for å være fra, er det et tydelig faresignal.
Vær skeptisk til hastverk og uventede henvendelser
En melding som presser på med tidsfrister, trusler eller løfter om belønning, fortjener ekstra skepsis. Spør deg selv om henvendelsen er ventet. Banken din ber deg som regel ikke bekrefte passordet ditt på e-post, og en offentlig etat sender sjelden lenker du må klikke på straks. Det uventede er ofte det mistenkelige.
Aldri oppgi hemmeligheter på oppfordring
Et grunnleggende prinsipp: seriøse aktører ber deg aldri om passordet ditt, og de ber deg aldri lese opp en engangskode du har fått på SMS. Får du en slik forespørsel, uansett hvor offisielt det høres ut, er det svindel. Engangskoder er ment bare for deg, og ingen legitim support trenger dem.
Se etter unaturligheter
Mange phishing-meldinger har små feil som røper dem: uvanlig språk, merkelige formuleringer, generelle hilsener i stedet for navnet ditt, eller logoer og utforming som ikke er helt som de skal. Samtidig er det viktig å vite at fraværet av slike feil ikke betyr at en melding er ekte. De mest forseggjorte angrepene er feilfrie.
Gå utenom lenken
Det tryggeste rådet av alle: ikke stol på lenken i meldingen. Skal du logge inn på en tjeneste, gå dit på din egen måte i stedet, ved å skrive adressen selv eller bruke et bokmerke du allerede har. Da spiller det ingen rolle hvor god forfalskningen er, for du havner uansett på det ekte nettstedet.
Hva du gjør hvis du har gått i fellen
Det skjer selv for de mest påpasselige, og det er ingen skam i det. Det viktigste er å handle raskt, for tempo begrenser skaden.
Oppga du et passord, bytt det med en gang på den berørte tjenesten. Har du brukt det samme passordet andre steder, må du bytte det alle de stedene også. Dette er en av grunnene til at unike passord per tjeneste er så viktig, et tema som dekkes i artikkelen om passordsikkerhet. Slå samtidig på tofaktorautentisering der du ikke allerede har det, slik at et lekket passord alene ikke er nok til å komme inn.
Gjelder det banken eller betalingskortet, kontakt banken umiddelbart, gjennom et nummer du selv finner frem til, ikke et som sto i meldingen. De kan sperre kort, stoppe transaksjoner og følge med på kontoen. Mistenker du at en jobbkonto er rammet, varsle IT eller den ansvarlige med en gang, slik at de kan begrense spredningen.
Følg med på kontoene dine i tiden etterpå, vær ekstra årvåken for nye svindelforsøk, og vurder å melde fra. Mange land har egne kanaler for å rapportere svindel, og en melding kan både hjelpe deg og bidra til at andre advares. Husk at å handle raskt og åpent nesten alltid begrenser skaden.
Årvåkenhet er forsvaret
Phishing er en påminnelse om at den svakeste leddet i sikkerhet ofte ikke er teknologien, men oppmerksomheten vår i et stresset øyeblikk. Du trenger ikke å være mistenksom mot alt, men det lønner seg å bygge en refleks: når en melding vekker en sterk følelse og ber deg handle straks, stopp opp, pust ut og sjekk på nytt. Kombinerer du den vanen med unike passord og tofaktorautentisering, er du godt beskyttet mot den vanligste og mest lønnsomme angrepsformen på nett.
