Nätfiske – Så undviker du att hamna på kroken

Av: Sven Öster

Uppdaterad: januari 8, 2020

Nya digitala möjligheter gör våra liv smidigare än aldrig förr. Allt från att betala räkningar och utföra bankärenden till att handla veckans matvaror går numera att göra på datorn eller via mobilen. Denna utveckling innebär dock inte bara ökade möjligheter för oss, utan också för kriminella. Nätfiske, eller phishing som det också kallas, blir allt vanligare och attackerna verkar bli allt mer sofistikerade. Hur skyddar du dig mot vår tids största säkerhetsproblem?

Vad är phishing?

Nätfiske är ett brett begrepp för metoder som går ut på att ”fiska” till sig kreditkortsnummer, lösenord eller annan bankrelaterad information. Attackerna sker oftast via mejl, så kallad phishing, där mottagaren luras till att öppna eller ladda ner en fil eller besöka en webbplats. Innehållet i mejlet brukar anspela på att det är brådskande och att det är viktigt att du loggar in på ditt konto eller agerar på något sätt för att det inte ska få konsekvenser för dig.

Om du klickar på länken i mejlet (vilket vi råder dig att inte göra) skickas du till ett inloggningsformulär som ser ut att tillhöra den verksamhet personen utger sig vara från. När du sedan loggar in med dina uppgifter sparas de på sidan och kan därefter användas för att ta över ditt konto. Om dessa uppgifter inte används av de kriminella själva säljs de ofta vidare som en handelsvara på internets svarta marknad, det så kallade Darknet.

Några exempel på vanliga phishing-mail är:

• En bank som säger att dina uppgifter måste kontrolleras eller uppdateras.
• Ett kreditkortsföretag som ber dig bekräfta dina kontouppgifter annars spärras kortet.
• ”Skatteverket” som uppmanar dig att klicka på en länk för att få din skatteåterbäring.

Dessa e-postmeddelanden kan i vissa fall vara mycket autentiska och den kriminella kan använda sig av förfalskade mejladresser för att det ska se ut som att de är från Skatteverket eller ett visst företag. Detta kallas för Spoofing och är en teknik för att vilseleda mottagaren.

Vad är smishing?

Smishing är en kombination av orden ”SMS” och ”phishing”, helt enkelt SMS-phishing. I likhet med mail-phishing skickas ett meddelande ut som uppmanar mottagaren att agera, men då istället i form av ett SMS. Uppmaningen kan handla om att du ska besöka en viss hemsida och genom att du klickar på länken kan skadlig kod laddas ner till din mobiltelefon.

Det kan också röra sig om instruktioner om att ringa ett telefonnummer och uppge information. Numret leder ofta till en automatisk telefonsvarare där du uppmanas säga dina inloggnings- eller kreditkortsuppgifter. Ofta används tekniken Spoofing även här för att förfalska telefonnumret så det ser ut som att meddelandet kommer från påstådd avsändare.

Exempel på smishing:

• Erbjudanden om rabatter och kuponger som endast är giltiga en kort tid.
• Ett fraktbolag som inte kan fullfölja en leverans om information inte uppdateras.

Vad är vishing?

Vishing eller ”voice phishing” är en tredje variant av nätfiske där en bedragare kontaktar dig på telefon och utger sig för att vara någon du har förtroende för, exempelvis en myndighet, polisen eller din bank. Syftet och tillvägagångssättet är detsamma som för SMS och e-post.

Exempel på vishing:

• Påstår att det pågår ett bedrägeri och du måste identifiera dig via BankID/bankdosa.
• Polis/bank som funnit ditt stulna kreditkort och behöver koden för att spärra det.
• Datafel hos banken som därför behöver att du loggar in med BankID/bankdosa.

Bedrägeri via sociala medier

Det finns ett fjärde tillvägagångssätt som vi inte nämnt än – sociala medier. På sociala medier finns våra vänner och vår gard är därför ofta sänkt, men det är lika lätt för dem att utsättas för nätfiske som det är för dig. Om en av dina Facebook-vänner fått sina inloggningsuppgifter stulna kan deras konto ha blivit kapat. Då kan en bedragare skriva till dig med vännens bild och namn och lura dig till att göra något som äventyrar din säkerhet.

Exempel på bedrägeri via sociala medier:

• En Facebook-vän behöver hjälp med att betala en räkning då hen inte hittar sin bankdosa och frågar om du kan logga in med din bankdosa/BankID istället.

Skydda dig mot nätfiske

I grunden handlar det alltså om en form av identitetsstöld där bedragaren, genom att utge sig för att vara någon annan, utnyttjar vår tillit och oro över att utsättas för brott. Så hur undviker du att fastna på kroken när cyberkriminella fiskar efter information? Här är några tips.

1. Ifrågasätt och var kritisk. Så fort någon ber dig uppge personlig information som användarnamn, lösenord, bankkonto- eller kreditkortsnummer eller ber dig logga in med bankdosa eller BankID bör du vara på din vakt.
2. Ring upp personen. Ha som vana att aldrig diskutera pengar, lån eller bankärenden över sociala medier, ta det över telefon istället för att vara på den säkra sidan.
3. Agera inte impulsivt. Oftast uppmanar meddelandena dig att agera snabbt, fall inte i den fällan. Om du får ett SMS om leverans från Postnord, fundera då på om du väntar på leverans från dem? Om svaret är nej, är det antagligen ett bedrägeri-försök.
4. Kolla avsändaren. Ta en ordentlig titt på mejladressen, ibland syns det när adressen inte kommer från det påstådda företaget. Det kan till exempel handla om ett ”o” som ersatts med en nolla. Om bedragaren använt sig av spoofing funkar inte denna metod.
5. Titta efter stavfel. Någon som skickar massutskick för att stjäla uppgifter kommer inte ha lagt lika mycket tid på att stava rätt som en bank eller myndighet.

LÄS MER: Identitetsstöld och bedrägeri