Hvad er phishing, og hvad gør du ved et angreb?

Når en tilsyneladende kendt afsender beder om følsomme oplysninger med intentionen om svindel, kalder vi det phishing

Hvad er phising?

Det er en form for social manipulation, hvor en angriber eller svindler ønsker at narre dig til blandt andet at klikke på usikre links eller betale falske regninger.

Phising-metoder kommer både via e-mail, telefon og sociale medier

De fleste angreb sker via e-mail og telefon. Du kan for eksempel modtage en e-mail, der fortæller dig om usædvanlig aktivitet på din konto, og at du skal logge ind og tjekke det. Angrebet kan også være en SMS, der opfordrer dig til at logge ind på bestemte hjemmesider.

E-mails kan give sig ud for at være fra bekendte, der fortæller, at de har fundet billeder af dig, som du bare må se. En mindre åbenlys e-mail kan være en besked om annullering af en ordre, og at du skal logge ind via et link for at tage affære. Du kan også opleve forsøg på phishing via apps, sociale medier og hjemmesider.

Hvis du gennemfører handlingen, du bliver opfordret til, falder du direkte i fælden. Da vil angriberen installere malware eller virus og få adgang til dit brugernavn og password, samt stjæle dine følsomme oplysninger.

Læs mere: Gratis tjekliste over krav og spørgsmål, du bør stille til din systemleverandør

Cloudløsninger er et uundværligt værktøj

Stadig flere danske virksomheder vælger cloudbaserede systemer til både løn, HR, ERP eller CRM netop på grund af datasikkerheden, som disse tjenester tilbyder. cloudbaserede systemer betyder nemlig, at du får automatiske opdateringer og vedligeholdelse, og at det er leverandøren, og ikke dig selv, der har ansvaret for at holde systemerne sikre. Det betyder, at cloudløsninger bidrager til, at din virksomhed bevarer sin egen IT-sikkerhed og samtidig følger love og regler. Når det er sagt: Det er en kendt sag, at virksomheder er ekstra sårbare over for dataangreb, og det er vigtigt, at alle i en virksomhed er bekendt med almindelige farer og oplæres i god sikkerhedspraksis.

Sådan undgår du at falde i fælden

Du kan afsløre tvivlsomme kilder ved at tage nogle ret enkle forholdsregler:

  • Du kan holde musen over URL'en uden at klikke på den for at se, om den indeholder det, henvendelsen vedrører, eller om den stemmer overens med afsenderens oprindelige URL til deres hjemmeside. Er adressen fejlagtigt stavet og ender med .com, hvor det burde være .dk for eksempel?
  • Husk, at også https-adresser nu let kan manipuleres af svindlere! Det er ikke længere en indikator på, at URL'en er sikker.
  • Glem ikke, at hverken politiet eller andre offentlige og seriøse aktører udsender links i forbindelse med formelle processer.
  • Tjek adressefeltet fra afsenderen. Man kan hurtigt se, om det er en manipuleret e-mailadresse. Navnet virker måske bekendt ved første øjekast, men ved nærmere eftersyn har det ofte stavefejl eller noget andet, hvor der skulle stå .dk eller .com.
  • Sproget kan afsløre, om det er en seriøs henvendelse eller ej. Flere af angrebene er godt formulerede, men både stavefejl og manglende flow kan afsløre, om det er en masseudsendelse.

De samme principper gælder for sociale medier, tekstbeskeder og apps. Dobbelttjek informationen, og tag en ekstra runde med dig selv: Ville denne afsender virkelig have sendt mig dette, eller opfordret mig til at gøre, hvad jeg bliver bedt om her?

Hvad gør jeg, når jeg er faldet i fælden ved et phishing-angreb?

Hvis hackerne får fat i dine loginoplysninger, er skaden allerede sket, og de har adgang til konti og data. Det næste skridt fra hackeren vil da som regel være at kræve løsepenge for ransomware. Vi anbefaler ikke at betale – du er ikke garanteret at få data tilbage, selvom du betaler.

Det vigtigste er, at du har taget forholdsregler før et muligt angreb. Hvis du er forberedt, ved du, hvordan angrebet opdages, og hvordan det kan stoppes, inden de kriminelle overhovedet når så langt, at de får fat i kritiske data.

Hav en systemleverandør, der tager sig af IT-sikkerheden i dine systemer, og tag disse skridt for at være godt beskyttet:

  • Sørg for, at du har en password-manager
  • Sørg for, at du anvender to-faktorgodkendelse
  • Sørg for, at du kører backup

Vishing er phishing via telefon

Manipulationsforsøg kan også udføres ved at ringe dig op på telefon (vishing) eller sende beskeder via SMS eller andre beskedtjenester (SMishing). Ved disse former for manipulation fremstår angriberen ofte som en reel virksomhed. Dette kan være offentlige myndigheder, finansinstitutioner, butikker eller butikskæder.