Hackere angriber hver dag både store virksomheder og private brugere. En af de mest udbredte typer angreb bliver kaldt ”phishing”, som foregår enten via e-mail eller sms. Målet er at stjæle penge fra dig, fx ved at få adgang til din netbank eller sælge personlige oplysninger som cpr-nummer eller passwords videre.
”Mange bliver med rette utrygge, hvis nogen stjæler 200 kroner inde i deres netbank. Selv ved små beløb må man naturligt overveje, hvad hackeren ellers kunne have foretaget sig” siger Anders Ahlgreen Pedersen, som er Manager for Security and Network i KMD.
”Phishing er blevet en voldsomt stor forretning og kan ramme alle. Hackerne er blevet så gode, at deres falske e-mails og beskeder er blevet meget troværdige. Det kan være næsten umuligt at kende forskel for de fleste mennesker, inklusive mig selv. Så det er en god ide at tænke sig grundigt om, før du klikker på et link i en mail eller en besked,” siger Anders Ahlgreen Pedersen.
Hvad er phishing?
Phishing er en type it-kriminalitet, hvor hackere prøver at lokke dig til at give dem fortrolige oplysninger. Det kan være alt fra navn og adresse over passwords til din Facebook-side eller e-mail og til oplysninger om dit kreditkort. Målet er at stjæle penge eller oplysninger fra dig.
Phishing foregår primært ved at sende millioner af e-mails ud til uskyldige personer, men du kan også blive ramt af phishing i form af fx sms’er (også kaldet ”smishing”) eller beskeder på Facebook.
Når hackere sender dig en phishing-mail, vil de typisk lokke dig til at klikke på et link til en hjemmeside. Den hjemmeside vil se ægte og autentisk ud og kan til forveksling ligne en tjeneste, som du kender. Her vil du blive bedt om at indtaste forskellige oplysninger. Så snart du trykker OK, bliver dine oplysninger sendt direkte videre til de kriminelle, som kan misbruge dem.
En typisk phishing-mail kan ligne en rigtig e-mail fra din chef (også kaldet ”whaling”) eller en officiel e-mail fra en tjeneste, som du allerede bruger. Det kan være din netbank, Skat, din email-leverandør, andre betalingsløsninger som Paypal eller en konto på et socialt medie. I den falske e-mail får du fx besked på, at
- Du skal aktivere din konto ved at trykke på et link
- Du skal overføre penge for en faktura
- Der er et problem med din konto
- Din konto vil blive spærret, hvis du ikke reagerer med det samme
- Du har vundet en præmie – fx et gavekort, jetoner eller point i et spil
- Du skal validere login- eller kreditkort-oplysninger
Du kan se et tidligere eksempel på en falsk mail, som skal forestille at komme fra PostNord herunder – eller se flere eksempler på postnord.dk.
Hvordan kan du beskytte dig mod phishing og smishing?
”Hvis nogen kræver personlige informationer, bør du stoppe op og tænke dig grundigt om, før du klikker på noget eller indtaster dine oplysninger. Din bank eller offentlige myndigheder vil for eksempel aldrig bede dig om den slags oplysninger,” siger Anders Ahlgreen Pedersen.
”Det handler mest af alt om at ændre adfærd og lade være med at acceptere alt for pålydende. Eller som de siger i USA: Stop og tænk, før du går videre,” siger han.
Gode råd til at undgå phishing:
1. Har du fået en mail fra en ukendt person eller virksomhed?
Hvis du ikke kender afsenderen, og du heller ikke har ventet at få denne mail, bør du undgå at klikke på links i mailen eller åbne en vedhæftet fil. Mailen kan sagtens indeholde dit navn og andre korrekte oplysninger, men det giver ingen garanti for, at det ikke er svindel. Markér mailen som spam og/eller slet den.
2. Bliver du bedt om personlige eller følsomme oplysninger?
Her bør en advarselslampe tændes. Din bank, offentlige myndigheder, virksomheder og etablerede digitale tjenester vil aldrig bede dig om den slags oplysninger i en mail – heller ikke om det til forveksling ligner en mail fra din bank eller Skat. Der er stor risiko for, at det er phishing, og du bør aldrig klikke på links eller åbne vedhæftede filer.
3. Hvis du i er tvivl, så kontakt afsenderen
Phishing-mails kan i dag se meget troværdige ud. Kriminelle kan have opsnuset informationer om dig, din familie eller dit arbejde, som får deres henvendelse til at se ægte ud. Hvis du fx bliver bedt om oplysninger eller at overføre penge, bør du kontakte afsenderen for at bekræfte ønsket. Du skal ikke kontakte afsenderen ved at svare på mailen. I stedet bør du finde et telefonnummer eller en officiel e-mail-adresse via en søgemaskine.
4. Tast adresser ind i stedet for at klikke på links
Hvis du ikke har tillid til en e-mail eller en hjemmeside, så lad være med at klikke på links. I stedet kan du indtaste fx skat.dk i browseren og finde det område, som mailen handler om.
5. Undgå at downloade vedhæftede filer automatisk
I nogle email-programmer er det muligt at sætte programmet til automatisk at åbne vedhæftede filer eller afvikle JavaScript. Det bør du slå fra, for du risikerer at afvikle indhold fra ukendte kilder.
6. Opdater og brug dit antivirus-program
Selv om du har tillid til en e-mail, bør du få din computer til at scanne vedhæftede filer, før du åbner dem.
Hvorfor hedder det egentlig ”phishing” med ph?
Man kan næsten høre på ordet phishing, at det hænger tæt sammen med det engelske ord for at fiske – fishing – for med phishing kaster de kriminelle deres net i form af millioner af e-mails ud over uskyldige personer.
Den alternative staveform med ph kommer fra tidlige hackere i 1950erne i USA. Her kunne hackere fx undgå at betale for langdistance-opkald ved at udnytte telefonnetværket. De blev kaldt for ”phreaks”, som er en kombination af phone (ph-) og freaks (-reaks). Staveformen phishing er dermed en reference til nogle af de første hackere.
