När angriparen riktar in sig på människan
De flesta tänker på dataintrång som något tekniskt: en angripare som forcerar en brandvägg eller knäcker ett lösenord. I verkligheten börjar en stor del av angreppen någon helt annanstans, hos människan framför skärmen. Nätfiske är samlingsnamnet för bedrägeriförsök där angriparen lurar offret att själv lämna ifrån sig uppgifter eller utföra en handling som öppnar dörren.
Anledningen till att nätfiske är så vanligt är enkel: det fungerar, och det kräver ingen avancerad teknik. Det går ofta snabbare att lura en person att skriva in sitt lösenord på en falsk sida än att försöka knäcka det. Den här artikeln går igenom hur nätfiske och social manipulation fungerar, vilka knep angripare använder, hur du känner igen ett försök och vad du gör om du redan hunnit gå på det.
Social manipulation i grunden
Nätfiske är en form av social manipulation, alltså konsten att påverka människor att göra saker de annars inte skulle göra. Angriparen utnyttjar inte en brist i programvaran utan i vårt sätt att fatta beslut. Några psykologiska hävstänger återkommer gång på gång.
Den första är auktoritet. Ett meddelande som ser ut att komma från banken, en myndighet, arbetsgivaren eller en känd tjänst får oss att sänka garden. Vi är vana att följa instruktioner från sådana avsändare, och angriparen lånar deras trovärdighet.
Den andra är tidspress. Bedrägeriförsök innehåller nästan alltid en känsla av brådska: ditt konto kommer att spärras, ett paket kan inte levereras, en betalning måste bekräftas omgående. Brådskan är avsiktlig. Den som känner sig stressad hinner inte stanna upp och granska detaljerna.
Den tredje är rädsla eller frestelse. Ett hot om att något negativt ska hända, eller ett löfte om något positivt som en vinst eller en återbetalning, får oss att agera innan vi tänker efter. Båda spelar på starka känslor som tränger undan eftertanken.
Den fjärde är förtrolighet. Ju mer ett meddelande verkar veta om dig, desto mer trovärdigt känns det. Här kommer tidigare läckta uppgifter in i bilden. En angripare som känner till ditt namn, var du handlar eller vilka tjänster du använder kan skräddarsy ett försök som känns långt mer äkta än ett generiskt utskick.
Vanliga former och knep
Nätfiske tar sig många uttryck, men några former är särskilt vanliga.
Det klassiska är bedrägerimejl. Ett meddelande som utger sig för att komma från en känd avsändare ber dig klicka på en länk och logga in, bekräfta uppgifter eller öppna en bifogad fil. Länken leder till en falsk sida som ser ut som den äkta, men som i själva verket skickar det du skriver in rakt till angriparen.
En variant sker via sms, ibland kallad smishing. Korta meddelanden om ett paket som väntar, en avgift som måste betalas eller ett konto som behöver verifieras leder till samma sorts falska sidor. Sms känns ofta mer personligt och brukar granskas mindre noga än e-post.
Telefonsamtal förekommer också. Här ringer någon upp och utger sig för att vara från banken, supporten eller en myndighet, och försöker tala offret till att lämna ut koder eller installera programvara. Eftersom samtalet sker i realtid är pressen ofta hårdare och svårare att värja sig mot.
Vissa angrepp är riktade. I stället för massutskick väljer angriparen ut en specifik person eller organisation och anpassar budskapet noga, ibland efter att ha samlat information i förväg. Sådana riktade försök är betydligt svårare att genomskåda just för att de känns relevanta och personliga.
Ett återkommande tekniskt knep är att efterlikna en känd adress. Angriparen registrerar en domän som liknar den äkta, med en utbytt bokstav, en extra del eller en annan toppdomän, i hopp om att offret inte ska granska adressen noga. Att en sida har hänglås betyder ingenting i sammanhanget, eftersom även falska sidor numera nästan alltid använder krypterad uppkoppling. Mer om varför hänglåset inte garanterar att en sida är äkta finns i artikeln om HTTPS och TLS.
Hur du känner igen ett försök
Det finns inga ofelbara kännetecken, men en uppsättning varningssignaler fångar de allra flesta försök om du vänjer dig vid att leta efter dem.
Granska alltid avsändaren och, framför allt, adressen bakom länkar. Stämmer domännamnet exakt med den tjänst det utger sig för att vara? Stryk under ordet exakt, eftersom det är just små avvikelser angriparen hoppas att du ska missa. Håll muspekaren över en länk innan du klickar för att se vart den faktiskt leder, och var extra försiktig på mobilen där adressen är svårare att granska.
Var misstänksam mot oväntad brådska. Seriösa avsändare spärrar sällan konton inom minuter eller kräver omedelbar handling via en länk i ett meddelande. Känslan av att du måste agera nu är i sig en varningssignal.
Var försiktig med meddelanden som ber dig logga in, bekräfta uppgifter eller betala via en länk du inte själv letat upp. Den säkra vanan är att aldrig följa sådana länkar, utan i stället gå till tjänsten på det sätt du brukar, genom att själv skriva in adressen eller använda ett sparat bokmärke. Då spelar det ingen roll hur övertygande meddelandet är.
Lägg märke till språk och form. Stavfel, märklig formulering eller en ton som inte stämmer med avsändaren kan avslöja ett försök, även om välgjorda bedrägerier numera ofta är språkligt felfria. Lita därför mer på adress och sammanhang än på språket ensamt.
Var slutligen vaksam på bilagor. En oväntad bifogad fil, särskilt en som ber dig aktivera något för att visa innehållet, är en klassisk väg in för skadlig kod. Öppna den inte om du inte är säker på att den är väntad och äkta.
Om du redan gått på det
Att luras är mänskligt, och välgjorda bedrägerier lurar även vaksamma personer. Det viktiga är att agera snabbt, eftersom de första minuterna och timmarna ofta avgör hur stor skadan blir.
Har du skrivit in ett lösenord på en falsk sida, byt det omedelbart på den riktiga tjänsten. Byt det också överallt annars där du råkat använda samma lösenord, eftersom angriparen sannolikt kommer att prova det på andra konton. Aktivera tvåfaktorsautentisering om det inte redan är på, så att enbart lösenordet inte räcker för att logga in.
Rör det banken eller en betalning, kontakta banken direkt via deras officiella nummer och spärra det som behöver spärras. Vänta inte med detta, och ring upp via ett nummer du letat upp själv, inte ett som angriparen uppgett.
Har du installerat ett program eller öppnat en bilaga du nu misstänker, koppla bort enheten från nätet och låt en uppdaterad säkerhetsgenomgång undersöka den. Byt lösenord från en annan, ren enhet om du misstänker att din egen kan vara komprometterad.
Slutligen, rapportera försöket. Många tjänster och myndigheter tar emot anmälningar om nätfiske, och din rapport kan hjälpa till att stoppa kampanjen innan fler drabbas. Att ha blivit lurad är inget att skämmas för, och ju snabbare du berättar, desto mer går att rädda.
Sammanfattning
Nätfiske kringgår tekniska skydd genom att rikta in sig på människan, med hjälp av auktoritet, tidspress, känslor och kunskap om offret. Det starkaste försvaret är inte ett program utan en vana: att aldrig följa länkar i oväntade meddelanden, att alltid kontrollera den faktiska adressen och att stanna upp när något försöker få dig att skynda. Och skulle du ändå gå på ett försök avgör snabb reaktion, byt lösenord, spärra och rapportera, hur lindrigt det slutar.
