Phishing, eller nätfiske som det också heter på svenska, är en form av bedrägeri. Syftet är att få tillgång till känslig information eller pengar. Angriparna gör detta genom att låtsas att vara en legitim avsändare. Till exempel din chef, din bank, posten eller någon i din närhet.
Phishing har funnits länge och det mest kända exemplet är nog den 'nigerianska prinsen' från 90-talet. Sedan dess har denna form av bedrägeri blivit allt mer avancerad och det kan vara svårt att identifiera ett phishing-försök. Det typiska meddelandet ber mottagaren att lämna ut uppgifter, eller att klicka på en länk som innehåller skadlig mjukvara.
Några exempel på phishing:
- En avsändare utger sig för att vara ett logistikföretag (exempelvis Post Nord, DHL, UPS). Meddelandet uppger att de inte kan leverera ditt paket och ber dig att uppdatera dina leveransuppgifter genom att klicka på en länk.
- En avsändare utger sig för att vara din bank och att du måste uppdatera dina inloggningsuppgifter.
- En avsändare utger sig för att vara Paypal och uppger att du måste uppdatera dina kontouppgifter.
Phishing är en typ av bedrägeri som går ut på att lura till sig känslig information eller pengar.
Läs om 5 phishing-misstag alla organisationer gör och hur du förhindrar dem.
Olika typer av phishing
Phishing förekommer i olika former. Därför har vi skapat denna praktiska lista åt dig! Här kan du lära dig allt du behöver veta om nätfiske.
Läs om några av de vanligaste typerna av phishingbedrägerier och hur de kan se ut nedan. Dessutom har vi gett dig några praktiska tips om hur du kan känna igen och skydda dig mot en phishing-attack.
Vad är spear phishing / riktat nätfiske?
Spear phishing (spjutfiske), eller riktat nätfiske, är en form av phishing-attack som riktar in sig på en person eller en liten grupp. Offret är vanligtvis någon med specifika behörigheter inom ett företag, till exempel någon på ekonomiavdelningen, personalchefen eller en IT-expert. För att lura dessa personer låtsas angriparen vara någon högt uppsatt i företaget, som en vd eller offrets direkta chef.
Skillnaden mellan phishing och spear phishing
Skillnaden mellan spear phishing och traditionell phishing ligger i antalet mottagare. Vanliga phishing-mejl skickas till ett stort antal personer. Angriparna kastar helt enkelt ut så många krokar som möjligt. Spear phishing är mycket mer personligt och offret tilltalas direkt med namn.
Det är också vanligt att bedragare riktar in sig på en vd eller ledningen inom ett företag. Den här typen av spear phishing kallas för whaling (valfiske).
Exempel på spear phishing:
- Angriparen utger sig för att vara företagets vd och ber en person på ekonomiavdelningen att föra över en stor summa pengar. Detta är brådskande och mycket står på spel om det inte blir gjort.
- Angriparen utger sig för att vara någon på IT-avdelningen och lurar därmed till sig inloggningsuppgifter till viktiga system.
- Angriparen utger sig för att vara IT-avdelningen och ber dig att klicka på en länk för att uppgradera dina programvaror.
Spear phishing riktar in sig på en person eller en liten grupp.
Vad är smishing?
Smishing står för SMS-phishing. Precis som det låter, är det en form av phishing som skickas via SMS. Syftet är att få tillgång till din personliga information.
Precis som i traditionell phishing, låtsas angriparen vara en anförtrodd avsändare som din bank, din chef, Skatteverket och så vidare.
Vanliga exempel på smishing-meddelanden:
- Misstänkt aktivitet eller inloggningsförsök har upptäckts på ditt konto.
- Det finns ett problem med ditt konto eller din betalningsinformation.
- Du måste bekräfta personlig information.
- Du måste klicka på en länk för att göra en betalning.
- Du har fått en rabattkod eller en kupong.
- Du har vunnit ett pris och du måste hämta ut det.
Vad är vishing?
Vishing är när bedragare ringer dig och försöker få personlig information över telefonen. Detta kan till exempel vara ditt kontonummer, lösenord eller personuppgifter.
Vishing står för voice phishing, alltså röst-phishing. Denna typ av attack kan vara svår att känna igen, eftersom det inte går att verifiera identiteten på den person du pratar med på ett enkelt sätt.
Exempel på vishing:
- Angriparen uppger att de ringer från din bank och informerar dig om att det är ett problem med ditt konto eller kreditkort.
- Angriparen uppger att de ringer från en myndighet och ber dig bekräfta personuppgifter.
- Angriparen uppger att de ringer från kundtjänst från ett känt företag och behöver dina uppgifter för att reda ut en faktura.
Vishing kan vara svårt att fånga eftersom det inte enkelt går att bekräfta identiteten på personen du talar med.
Varför är phishing-attacker så effektiva?
De flesta kan idag identifiera ett traditionellt phishingförsök. Att inte klicka på okända länkar är i princip det första du lär dig om cybersäkerhet. Tja, det och att inte använda samma lösenord för alla konton du äger.
Det som gör att phishing och smishing trots allt är så framgångsrikt, är kvantiteten som skickas ut. Om över 1000 phishing-meddelanden skickas ut på en dag, räcker det med att bara en bråkdel nappar för att det ska vara lönsamt för angriparna att fortsätta.
Spear phishing och vishing bygger i stället på angriparens trovärdighet. Du är mer benägen att göra som bedragaren säger, eftersom du tror att du pratar med någon du känner eller med ett varumärke du litar på.
Läs mer om vilka företag och organisationer som är extra sårbara för phishing-attacker.
Hur skyddar du dig mot phishing?
Det första steget är att vara medveten om riskerna och veta hur du känner igen ett phishing-meddelande eller -samtal.
Var alltid kritisk när någon ber dig att göra en betalning eller lämna ut personlig information. Att ta hjälp av programvara för säker e-post, som Smartlockr gör dig också extra uppmärksam på phishing-meddelanden. Genom att meddela dig om när du skickar ett e-postmeddelande utanför din organisation, samt genom att låta dig bekräfta mottagare och filer blir du extra uppmärksam på suspekta meddelanden.
Så här känner du igen phishing-attacker:
Det finns några praktiska knep för att känna igen ett phishingmejl. Se vår lista över vad du bör tänka på nedan:
- E-postadressen matchar inte avsändaren. Till exempel, du har fått ett meddelande från DHL men e-postadressen är ’dfg123@gmail.com’.
- Du blir ombedd att göra något brådskande.
- Du blir ombedd att ange personuppgifter, känslig information eller att genomföra en betalning.
- Meddelandet innehåller mycket stav- och grammatikfel.
- Domännamnet stämmer inte eller verkar inte vara officiellt (extra siffror eller bokstäver är tillagda). Till exempel, du har fått ett e-postmeddelande från kundtjanst@hansdelsbanken1.se
- Akta dig för att klicka på länkar och bilagor. Genom att hålla musen över en länk (utan att klicka på den) kan du se vart den leder. Ser den misstänkt ut? Skicka det till din CISO eller säkerhetsansvarig!
Är du nyfiken på att lära dig mer om hur du skickar säker e-post digitalt? Ladda ner vår e-bok nedan.