Hver dag sker der millioner af cyberangreb verden over, og det er et stigende problem for både privatpersoner og virksomheder. Den mest udbredte form for it-kriminalitet kaldes phishing, og det kan foregå over e-mail, SMS'er, telefonopkald og sociale medier.
Phishing er et ondsindet forsøg på at lokke dig til at udlevere personlige oplysninger eller få adgang til dit computersystem. Oplysningerne kan være adresse, adgangskoder, CPR-nummer eller kreditoplysninger. Målet med at få adgang til dine personlige oplysninger eller din computer er stort set altid for at stjæle dine penge.
Hvad er forskellen på spam og phishing?
Der er mange mennesker, der tror, at spam og phishing er en og samme ting. Men der er faktisk nogle væsentlige forskelle, der er vigtige at kende til.
Spam
Spam, som også kan kaldes junkmail, er uopfordrede e-mails fra privatpersoner eller virksomheder, som sendes ud i massevis til millioner af personer. Indholdet i spam er typisk kommercielt, oftest reklamer for f.eks. (ulovlige) varer, porno og online kasinoer. Det kan også indeholde "fiduser," om hvordan man hurtigt bliver rig.
It-kriminelle tjener penge på de personer, som vælger at betale for det, der reklameres for. Spam er altså en uønsket form for kommerciel reklame, som er skabt til at oversvømme modtagernes mailindbakker med e-mails. Formålet for afsender er at få solgt så mange produkter eller tjenester som muligt.
Phishing
Phishing er strategiske forsøg på at franarre personer deres fortrolige oplysninger. Ved phishing hævder de it-kriminelle at være en legitim virksomhed eller offentlig myndighed, og de benytter forskellige strategier til at overbevise modtagerne.
Phishing er en type af cyberangreb kaldet social engineering-angreb. Social engineering er en proces, hvor it-kriminelle målrettet manipulerer deres ofre for at få dem til at foretage bestemte handlinger eller valg, oftest at opgive personlige oplysninger eller give adgang til deres computersystem.
Hackere udnytter typisk en eller flere strategier til at påvirke deres ofre, nemlig brugen af autoritet, intimidering, social accept, knaphed, tidspres og positiv evaluering. Gennem de strategier kan de vække bestemte følelser i deres ofre, som kan svække ofrenes dømmekraft - hvilket gør dem mere tilbøjelige til at foretage de handlinger, der står i phishing-mailene. Hvis du vil vide mere om social engineering, kan du læse vores blogindlæg: Hvad er social engineering?.
Hvordan ser phishing-mails ud?
Phishing-e-mails er designet til at legitime ud, og afsenderen udgiver sig typisk for at være en troværdig virksomhed eller offentlige myndigheder, f.eks. en bank, SKAT eller Nets. I en phishing-e-mail eller SMS vil afsenderen f.eks. bede modtageren om at opdatere en adgangskode, overføre penge, validere en konto, modtage en gave eller se statussen på en levering. For at udføre de handlinger skal modtageren klikke på et link.
Strategier
De strategier, som de it-kriminelle anvender, kan f.eks. være at give modtageren 24 timer til at udføre handlingen eller skrive, at der er et begrænset antal af en gave eller vare for at få modtageren til at reagere hurtigt. De kan også true med negative konsekvenser, hvis modtageren ikke udfører den ønskede handling. Hackerne kan også efterligne logoer fra de rigtige virksomheder i phishing-mails for at få dem til at se troværdige ud.
Sproget
For mange år siden var falske mails næsten altid karakteriseret af dårligt sprog, fyldt med stavefejl og forkerte grammatiske konstruktioner. Man ser stadig, at falske mails kan indeholde stavefejl, men maskinoversættelse er blevet en del bedre i løbet af de seneste år, og hackere er også blevet mere professionelle. I dag indeholder falske mails ofte godt, formelt og troværdigt sprog og altså ikke dårligt dansk, som mange måske regner med.
Kan man blive hacket ved at åbne en phishing-e-mail?
Nej, det er ikke muligt at blive hacket, blot ved at man åbner en phishing-mail på computeren eller mobilen. Et phishing-angreb sker først, hvis man trykker på et link eller downloader en vedhæftet fil i den mail eller SMS.
Hvad sker der, hvis man trykker på et link i en falsk e-mail?
Hvis du får tilsendt en falsk e-mail og klikker på linket i den, vil du blive ledt hen til en phishing-hjemmeside, der ligner den rigtige virksomheds hjemmeside. Her bliver du bedt om at indtaste login-oplysninger eller kreditkortinformationer. Det er også muligt, at linket kan indeholde skadelig software, f.eks. ransomware eller spyware, som bliver installeret på din computer, hvis du klikker på linket eller downloader en vedhæftet fil i mailen.
Vigtig huskeregel
Det er vigtigt at huske, at rigtige virksomheder aldrig ville bede om følsomme oplysninger over e-mail, mobilen eller et socialt medie som Facebook. Du skal derfor aldrig sende sådanne oplysninger. Hvis du har fået tilsendt en mistænkelig mail eller SMS, så kontakt afsender eller kontakt virksomheden og spørg dem, om de har sendt dem.
Hvordan anmelder jeg en phishing e-mail?
Der er flere måder, du kan anmelde phishing på. Du kan først og fremmest anmelde det til politiet, hvis du er blevet hacket og blevet franarret private oplysninger eller penge. Inde på deres hjemmeside har de en anmeldelsesportal.
Du kan rapportere phishing i flere e-mailudbydere, f.eks. Gmail. Hvis du får en phishing-e-mail, kan du rapportere den direkte i indbakken. Den phishing-mail bliver så registreret og derefter slettet. Når man rapporterer en falsk mail, bliver mailudbyderes spamfiltre bedre til at opfange og frasortere uønskede mails.
Der findes flere digitale tjenester mod phishing, f.eks. Mit Digitale Selvforsvar. Det er en gratis app, hvor du kan holde dig opdateret om digitale trusler. Du kan både se, hvad der er i omløb, og du kan selv anmelde digitale trusler inde på appen. På den måde hjælper du også andre.
Sofie Meyer
Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.
Se alle indlæg af Sofie Meyer