Phishing er fors\u00f8k p\u00e5 \u00e5 lure deg til \u00e5 gi fra deg sensitiv informasjon, som passord, kortnummer eller engangskoder, eller til \u00e5 gj\u00f8re noe du ikke burde, som \u00e5 klikke p\u00e5 en lenke eller \u00e5pne et vedlegg. Ordet spiller p\u00e5 \u00abfishing\u00bb p\u00e5 engelsk: angriperen kaster ut et lokkemiddel og h\u00e5per at noen biter p\u00e5. Det som gj\u00f8r phishing s\u00e5 effektivt, er at det ikke angriper datamaskinen din direkte. Det angriper d\u00f8mmekraften din.<\/p>\n
Dette er verdt \u00e5 dvele ved. De fleste tekniske sikkerhetstiltak, som kryptering og sterke passord, beskytter mot angrep p\u00e5 systemer. Phishing g\u00e5r utenom alt dette ved \u00e5 rette seg mot mennesket foran skjermen. En angriper som klarer \u00e5 overtale deg til \u00e5 oppgi passordet ditt frivillig, trenger ikke bryte noen kryptering. Du \u00e5pnet d\u00f8ren selv. Derfor er bevissthet det viktigste forsvaret, og denne artikkelen handler om hvordan du bygger den.<\/p>\n
Phishing er en form for sosial manipulasjon, alts\u00e5 kunsten \u00e5 p\u00e5virke folk til \u00e5 handle mot sin egen interesse. Angriperne utnytter helt normale menneskelige reaksjoner, og de samme grepene g\u00e5r igjen gang p\u00e5 gang. Kjenner du dem, blir de lettere \u00e5 oppdage.<\/p>\n
Felles for alt dette er at angriperen pr\u00f8ver \u00e5 f\u00e5 deg til \u00e5 reagere p\u00e5 f\u00f8lelser i stedet for \u00e5 tenke rolig gjennom situasjonen. Selve forsvaret ligger i \u00e5 gjenkjenne nettopp det \u00f8yeblikket: n\u00e5r en melding vekker en sterk f\u00f8lelse og ber deg handle straks, er det grunn til \u00e5 stoppe opp.<\/p>\n
Phishing kommer i mange varianter, og det er nyttig \u00e5 kjenne de vanligste.<\/p>\n
Den klassiske formen. En e-post som ser ut til \u00e5 komme fra en kjent avsender, ber deg logge inn, bekrefte opplysninger eller \u00e5pne et vedlegg. Lenken f\u00f8rer til et forfalsket nettsted som ligner originalen, der alt du skriver inn, havner hos angriperen. Dette er fortsatt den mest utbredte typen.<\/p>\n
Mens vanlig phishing sendes bredt ut til mange, er m\u00e5lrettet phishing skreddersydd for en bestemt person eller organisasjon. Angriperen har gjort hjemmeleksen sin og bruker reelle navn, prosjekter eller detaljer for \u00e5 virke troverdig. Slike meldinger er langt vanskeligere \u00e5 avsl\u00f8re, nettopp fordi de inneholder informasjon som stemmer. N\u00e5r angrepet retter seg mot en leder eller annen n\u00f8kkelperson, omtales det gjerne som et angrep mot \u00abde store fiskene\u00bb.<\/p>\n
Phishing er ikke begrenset til e-post. Falske tekstmeldinger, ofte med en lenke og et p\u00e5skudd om en pakkelevering, en regning eller banken, er sv\u00e6rt vanlige. Det samme gjelder svindelsamtaler, der noen ringer og utgir seg for \u00e5 v\u00e6re fra support, banken eller en offentlig etat, og pr\u00f8ver \u00e5 f\u00e5 deg til \u00e5 oppgi koder eller gi dem tilgang.<\/p>\n
Mange phishing-angrep ender p\u00e5 en kopi av et ekte nettsted. Siden kan se helt riktig ut, og den kan til og med ha hengel\u00e5s og kryptert forbindelse. Som forklart i artikkelen om HTTPS og TLS<\/a>, betyr ikke hengel\u00e5sen at nettstedet er \u00e6rlig, bare at forbindelsen er kryptert. Det avgj\u00f8rende er om adressen i adressefeltet faktisk er den riktige.<\/p>\n Selv om angrepene blir stadig mer forseggjorte, finnes det varseltegn som ofte avsl\u00f8rer dem. Ingen av dem er en fasit alene, men flere sammen b\u00f8r f\u00e5 varsellampene til \u00e5 blinke.<\/p>\n Se n\u00f8ye p\u00e5 avsenderadressen, ikke bare det viste navnet. Angripere bruker ofte adresser som ligner, men ikke stemmer helt, med en ekstra bokstav, et annet domene eller en liten avvikende detalj. Det samme gjelder lenker. F\u00f8r du klikker, kan du holde pekeren over lenken for \u00e5 se hvor den faktisk f\u00f8rer. Stemmer ikke adressen med selskapet den utgir seg for \u00e5 v\u00e6re fra, er det et tydelig faresignal.<\/p>\n En melding som presser p\u00e5 med tidsfrister, trusler eller l\u00f8fter om bel\u00f8nning, fortjener ekstra skepsis. Sp\u00f8r deg selv om henvendelsen er ventet. Banken din ber deg som regel ikke bekrefte passordet ditt p\u00e5 e-post, og en offentlig etat sender sjelden lenker du m\u00e5 klikke p\u00e5 straks. Det uventede er ofte det mistenkelige.<\/p>\n Et grunnleggende prinsipp: seri\u00f8se akt\u00f8rer ber deg aldri om passordet ditt, og de ber deg aldri lese opp en engangskode du har f\u00e5tt p\u00e5 SMS. F\u00e5r du en slik foresp\u00f8rsel, uansett hvor offisielt det h\u00f8res ut, er det svindel. Engangskoder er ment bare for deg, og ingen legitim support trenger dem.<\/p>\n Mange phishing-meldinger har sm\u00e5 feil som r\u00f8per dem: uvanlig spr\u00e5k, merkelige formuleringer, generelle hilsener i stedet for navnet ditt, eller logoer og utforming som ikke er helt som de skal. Samtidig er det viktig \u00e5 vite at frav\u00e6ret av slike feil ikke betyr at en melding er ekte. De mest forseggjorte angrepene er feilfrie.<\/p>\n Det tryggeste r\u00e5det av alle: ikke stol p\u00e5 lenken i meldingen. Skal du logge inn p\u00e5 en tjeneste, g\u00e5 dit p\u00e5 din egen m\u00e5te i stedet, ved \u00e5 skrive adressen selv eller bruke et bokmerke du allerede har. Da spiller det ingen rolle hvor god forfalskningen er, for du havner uansett p\u00e5 det ekte nettstedet.<\/p>\n Det skjer selv for de mest p\u00e5passelige, og det er ingen skam i det. Det viktigste er \u00e5 handle raskt, for tempo begrenser skaden.<\/p>\n Oppga du et passord, bytt det med en gang p\u00e5 den ber\u00f8rte tjenesten. Har du brukt det samme passordet andre steder, m\u00e5 du bytte det alle de stedene ogs\u00e5. Dette er en av grunnene til at unike passord per tjeneste er s\u00e5 viktig, et tema som dekkes i artikkelen om passordsikkerhet<\/a>. Sl\u00e5 samtidig p\u00e5 tofaktorautentisering der du ikke allerede har det, slik at et lekket passord alene ikke er nok til \u00e5 komme inn.<\/p>\n Gjelder det banken eller betalingskortet, kontakt banken umiddelbart, gjennom et nummer du selv finner frem til, ikke et som sto i meldingen. De kan sperre kort, stoppe transaksjoner og f\u00f8lge med p\u00e5 kontoen. Mistenker du at en jobbkonto er rammet, varsle IT eller den ansvarlige med en gang, slik at de kan begrense spredningen.<\/p>\n F\u00f8lg med p\u00e5 kontoene dine i tiden etterp\u00e5, v\u00e6r ekstra \u00e5rv\u00e5ken for nye svindelfors\u00f8k, og vurder \u00e5 melde fra. Mange land har egne kanaler for \u00e5 rapportere svindel, og en melding kan b\u00e5de hjelpe deg og bidra til at andre advares. Husk at \u00e5 handle raskt og \u00e5pent nesten alltid begrenser skaden.<\/p>\n Phishing er en p\u00e5minnelse om at den svakeste leddet i sikkerhet ofte ikke er teknologien, men oppmerksomheten v\u00e5r i et stresset \u00f8yeblikk. Du trenger ikke \u00e5 v\u00e6re mistenksom mot alt, men det l\u00f8nner seg \u00e5 bygge en refleks: n\u00e5r en melding vekker en sterk f\u00f8lelse og ber deg handle straks, stopp opp, pust ut og sjekk p\u00e5 nytt. Kombinerer du den vanen med unike passord og tofaktorautentisering, er du godt beskyttet mot den vanligste og mest l\u00f8nnsomme angrepsformen p\u00e5 nett.<\/p>\nHvordan du kjenner igjen et phishing-fors\u00f8k<\/h2>\n
Sjekk avsender og adresse n\u00f8ye<\/h3>\n
V\u00e6r skeptisk til hastverk og uventede henvendelser<\/h3>\n
Aldri oppgi hemmeligheter p\u00e5 oppfordring<\/h3>\n
Se etter unaturligheter<\/h3>\n
G\u00e5 utenom lenken<\/h3>\n
Hva du gj\u00f8r hvis du har g\u00e5tt i fellen<\/h2>\n
\u00c5rv\u00e5kenhet er forsvaret<\/h2>\n