Det har aldrig været lettere for scammerne at skrive overbevisende phishing-mails, takket være kunstig intelligens, ikke mindst ChatGPT, der i den grad har taget verden med storm. Faktisk er der, kun to måneder efter den så offentlighedens lys, over 100 millioner brugere på den.
Men alt kan misbruges, og når noget så oplagt kan hjælpe de cyberkriminelle, så vil det blive misbrugt. ChatGPT er specielt interessant, fordi det kan hjælpe dem til at skrive tekster, der har et mere naturligt sprog, og ikke mindst på alle de sprog, ChatGPT kan formulere sig på, herunder dansk.
Selvom der er sikkerhedsforanstaltninger indbygget i det OpenAI, der ligger til grund for ChatGPT, som skal forhindre, at det bliver brugt netop til phishing og scamming, så er det ikke altid, at de virker – og det kan også være svært, for hvordan identificerer man en besked som phishing?
Det er dårlige nyheder for alle os, der bruger internettet til hverdag, og vi har allerede set, at de cyberkriminelle gør brug af ChatGPT til at hjælpe sig i deres ’arbejde’, om jeg så må sige.
I takt med, at ChatGPT og lignende kunstige intelligenser bliver mere avancerede, vil de cyberkriminelle kunne lave stadig større og mere fejlfri kampagner, både mod private og virksomheder.
En undersøgelse fra BlackBerry viser da også, at 51 % af ledere inden for cybersikkerhed forventer, at ChatGPT vil blive (mis)brugt til at udføre et vellykket cyberangreb inden for det næste år.
Derfor er det vigtigt, at vi alle bliver bedre at spore phishing-mails, og jeg har samlet 10 råd, som bør få advarselslamperne til at blinke hos dig og få dig til at tænke, at du måske sidder med en phishing-mail.
- Uopfordret kontakt
Phishingbeskeder dukker ofte uventet op, helt ud af det blå. Når en besked dukker op og hævder, at den er fra din bank eller andre organisationer, så skal du være opmærksom, ikke mindst hvis der er et link i mailen – som du naturligvis aldrig må klikke på. - Links og vedhæftninger
En klassisk metode, som scammerne bruger for at nå deres mål, er at indarbejde ondsindede links eller filer i deres beskeder. Det kan enten være for at installere malware på dine enheder (uden du ved det), eller sende dig over til en phishing-side, hvor du bliver bedt om at udfylde personlig information. Klik aldrig på links, download aldrig filer, og åben aldrig vedhæftede filer i beskeder, heller ikke selvom de ser ud til at komme fra en kendt kilde, du har tillid til. Du skal først have bekræftet med afsenderen, at beskeden faktisk kommer fra ham. - Ønske om personlige og finansielle informationer
Målet med et phishing-angreb kan være at få installeret malware på din computer, men ofte handler det om at få lokket personlig information ud af dig. Disse informationer bliver så ofte solgt på Dark Web, hvor de så igen kan bruges til identitetstyverier og svindel i dit navn. Så vær opmærksom på mails, der ønsker at få fat i dine personlige informationer, og giv dem ikke fra dig. - Presser dig
Hjertet i phishing er teknikken kendt som social engineering, hvor de cyberkriminelle forsøger at få dig til at gøre, hvad de gerne vil, gennem overtalelse og udnyttelse af menneskelige fejl. Ofte vil de forsøge at skabe en følelse af hastværk, så du sænker paraderne og ikke er så opmærksom som normalt. - Pas på gratis ting
Jeg har sagt det før og gentager det gerne igen. Når noget ser ud til at være for godt til at være sandt, så er det ofte tilfældet. Desværre falder folk ofte for disse ’få noget gratis’-scams. F.eks. ser vi ofte, at folk falder for scams, hvor de bliver lovet store gaver som tak for at deltage i undersøgelser, hvor de skal aflevere deres personlige eller finansielle informationer. - Afsender og domæne er ikke ens
Afsenderen af phishing-mails vil ofte forsøge at få det til at se ud, som om deres mailadresser kommer fra en legitim kilde, hvilket de naturligvis ikke gør. Ved at holde musen over afsender-domænet kan du ofte se den ægte mailadresse. Hvis de to ikke hænger sammen, eller hvis den underliggende er en lang kombination af tilfældige karakterer, så er der en god sandsynlighed for, at det er et scam. - Underlige eller generiske hilsner
De cyberkriminelle vil ofte forsøge at efterligne individer fra legitime organisationer eller virksomheder for at skabe tillid hos deres ofre. Men det er ikke altid, de kender den rigtige tone eller måde at hilse på, når de sender mails ud. Hvis du er vant til at blive kaldt ved dit fornavn af en virksomhed, og så får en mail, der er mere formel, så bør dine alarmklokker ringe. Husk også, at der findes ingen banker, virksomheder eller organisationer, der sender mails til dig fra en adresse, der ender på @gmail.com. - Udnytter aktuelle situationer eller katastrofer
Et andet klassisk eksempel på social engineering er at snylte på situationer eller kriser, der er aktuelle her og nu. Derfor så vi da også phishing-mails nærmest eksplodere under COVID-19 pandemien, og vi oplever, at de cyberkriminelle har godt gang i phishing-kampagner, efter Rusland invaderede Ukraine. Så vær ekstra opmærksom her. - Mærkelige ønsker
Du skal også være opmærksom på mails, hvor afsenderen kommer med mærkelige ønsker til dig. F.eks. hvis din bank beder dig om at bekræfte personlige eller finansielle detaljer via mail eller sms – noget en bank aldrig vil gøre. Samtidig bør alle alarmklokker ringe, hvis en mail starter med ’Kære kunde’ eller tilsvarende. - Beder om penge
Phishing handler om at hive personlige informationer ud af dig eller om at få dig til at installere malware på dine enheder. Men nogle scams er lidt mere direkte og beder dig bare om penge. Du bør naturligvis aldrig gå med til at give penge til nogen, der sender dig en uopfordret besked, heller ikke selvom det bliver beskrevet som et ’gebyr’ for at få en gave.
Takket være ChatGPT vil grammatiske fejl snart være noget, der hører fortiden til. Men der er heldigvis stadig mange tegn, der kan advare os om scams. Så vær opmærksom, når du er online, og tænk dig altid godt om.
Husk at du på cybervejret.dk kan få en ugentlig opdatering om it-sikkerhed. Her tager jeg hver uge pulsen på cybersikkerhedssituationen i Danmark og resten af verden.