Phishing

Phishing er en form for social engineering-angreb, hvor den kriminelle udgiver sig for en troværdig entitet og anmoder offeret om følsomme oplysninger.

5 min. læsning

5 min. læsning

Hvad er phishing?

Har du nogensinde modtaget en e-mail, sms eller anden form for elektronisk kommunikation, der tilsyneladende kommer fra en bank eller en anden populær onlinetjeneste, og som anmoder dig om at "bekræfte" din kontos legitimationsoplysninger, et kreditkortnummer eller andre følsomme oplysninger? Hvis det er tilfældet, så ved du allerede, hvordan et almindeligt phishing-angreb ser ud. Denne teknik bruges til at få fat i værdifulde brugerdata, der kan sælges eller misbruges af angriberne til forbryderiske formål, f.eks. afpresning, tyveri af penge eller identitetstyveri.

Betegnelsens oprindelse

Konceptet blev første gang beskrevet i et konferencepapir fra 1987 af Jerry Felix og Chris Hauck kaldet "System Security: A Hacker’s Perspective" (Systemsikkerhed: en hackers perspektiv) (1987 Interex Proceedings 1:6). Det drøftede teknikken hos en hacker, der efterligner en velrenommeret entitet eller tjeneste. Ordet i sig selv er et homofon af "fishing" (fiskeri) efter bytte – da det bruger den samme "lokkemad-fangst"-logik. "ph" i begyndelsen er en henvisning til "phreaks", som er en gruppe af hackere, der eksperimenterede med og ulovligt udforskede grænserne for telekommunikationssystemer i 1990'erne.

Hvordan fungerer phishing?

Phishing har eksisteret i årevis, og i den tid har angriberne udviklet en bred vifte af metoder til at afgrænse ofrene.

Den mest almindelige phishing-teknik er at udgive sig for en bank eller et pengeinstitut via e-mail, at lokke offeret til enten at udfylde en falsk formular i eller knyttet til en e-mail eller til at besøge en webside, hvor der anmodes om indtastning af kontooplysninger eller logonoplysninger.

Tidligere blev forkert stavede eller vildledende domænenavne ofte brugt til dette formål. I dag bruger angribere mere sofistikerede metoder og får links og falske sider til i høj grad at ligne deres legitime modstykker.

Læs mere

Oplysninger stjålet fra ofrene misbruges normalt til at tømme deres bankkonti eller sælges online.

Lignende angreb kan også udføres via telefonopkald (vishing) samt SMS-beskeder (smishing).

Spearphishing

En mere avanceret phishing-metode, hvor tilsyneladende autentiske phishing-beskeder sendes til indbakkerne hos bestemte grupper, organisationer eller tilmed enkeltpersoner. Forfatterne af spearphishing-e-mails udfører på forhånd detaljerede undersøgelser af deres mål, hvilket gør det vanskeligt at identificere indholdet som svigagtig.

Angreb, der fokuserer på specifikke, for det meste højt profilerede forretningsfolk – såsom topledere eller ejere – kaldes "whaling" (hvalfangst) på grund af størrelsen af det potentielle udbytte (forbryderne går efter "den store fisk").

Sådan genkendes phishing

En e-mail eller elektronisk besked kan indeholde officielle logoer eller andre tegn på en velrenommeret organisation og alligevel komme fra phishere. Herunder er nogle få hints, som kanhjælpe dig med at opdage en phishing-meddelelse.

Læs mere

  1. Generelle eller uformelle hilsner – hvis en besked mangler personalisering (f.eks. "Kære kunde") og formalitet, så er der sandsynligvis noget galt. Det samme gælder for pseudo-personalisering ved hjælp af tilfældige, falske referencenumre
  2. En anmodning om personlige oplysninger – Bruges ofte af phishere, undgås normalt af banker, finansielle institutioner og de fleste onlinetjenester
  3. Dårlig grammatik – Stavefejl, slåfejl og usædvanlige sætninger indikerer ofte en bedrager (men manglen på nogen af disse er ikke bevis for legitimitet)
  4. Uventet korrespondance – Uopfordret kontakt fra en bank eller onlinetjenesteudbyder er yderst usædvanligt og derfor mistænkelig
  5. En fornemmelse af at det haster – Phishing-meddelelser forsøger ofte at fremkalde hurtige og mindre gennemtænkte handlinger
  6. Et tilbud du ikke kan afslå? – Hvis beskeden lyder for god til at være sand, er den det næsten helt sikkert heller ikke
  7. Mistænkeligt domæne – Ville en amerikansk eller tysk bank virkelig sende en e-mail fra et kinesisk domæne?

Sådan beskytter du dig selv mod phishing

Hvis du vil undgå lokkemad fra phishing, skal du være opmærksom på ovenstående indikatorer, som normalt afslører phishing-meddelelser.

Følg disse enkle trin

  1. Vær opmærksom på nye phishing-teknikker: Følg medierne for at se rapporter om phishing-angreb, efterhånden som angriberne finder på nye teknikker til at lokke brugere i en fælde
  2. Giv ikke dine personlige oplysninger væk: Vær altid på vagt, hvis en elektronisk besked fra en tilsyneladende troværdig kilde beder om dine legitimationsoplysninger eller andre følsomme oplysninger. Verificer om nødvendigt indholdet af meddelelsen hos afsenderen eller den organisation, de tilsyneladende repræsenterer (ved hjælp af kontaktoplysninger, som du ved er ægte, frem for oplysninger i meddelelsen)
  3. Tænk dig om to gange, før du klikker: Hvis en mistænkelig meddelelse indeholder et link eller en vedhæftet fil, skal du ikke klikke eller downloade. Dette kan føre dig til et ondsindet websted eller inficere din enhed med malware
  4. Tjek regelmæssigt dine onlinekonti: Selvom du ikke har mistanke om, at nogen forsøger at stjæle dine legitimationsoplysninger, skal du kontrollere din bankkonto og andre onlinekonti for mistænkelig aktivitet. For en sikkerheds skyld...
  5. Brug en pålidelig anti-phishing-løsning. Anvend disse teknikker, og "Få glæde af sikker teknologi"

Du kan lære mere om phishing her og her.

Eksempler, som er værd at bemærke

Systematisk phishing startede i netværket America Online (AOL) i 1995. For at stjæle legitime legitimationsoplysninger for konti kontaktede angriberne ofre via AOL Instant Messenger (AIM) og foregav ofte at være AOL-ansatte, der kontrollerede brugeradgangskoder. Udtrykket "phishing" dukkede op på en Usenet-nyhedsgruppe, der fokuserede på et værktøj kaldet AOHell, og som automatiserede denne metode, og navnet hang fast. Efter at AOL indførte modforanstaltninger i 1997, fandt angriberne ud af, at de kunne bruge den samme teknik på andre onlineområder, så derefter begyndte de at udgive sig for finansielle institutioner.

Læs mere

Et af de første store, omend mislykkede, forsøg fandt sted i 2001 og forsøgte at udnytte det kaos, som opstod i forbindelse med 9/11-terrorangrebene. Phishere udsendte e-mails, der bad ofrene om en id-kontrol og forsøgte at misbruge de opnåede data til at stjæle finansielle oplysninger fra den digitale valutatjeneste e-gold.

Der gik kun tre år mere, før phishing fik fodfæste i onlinemiljøet og i 2005 havde det allerede kostet amerikanske brugere over USD 900 mio.

Ifølge APWG Global Phishing Survey, blev der observeret over 250.000 unikke phishing-angreb i 2016 ved hjælp af et rekordantal af ondsindet registrerede domænenavne – det overgår de 95.000. I de senere år har phishere haft en tendens til at fokusere på bank-, finans- og pengetjenester, e-handelskunder samt sociale netværk og e-mail-legitimationsoplysninger.

ESET beskytter dig mod phishing

ESET Smart Security Premium

Den ultimative vogter af din onlinesikkerhed

ESET Smart Security Premium

Den ultimative vogter af din onlinesikkerhed

ESET Smart Security Premium

Suveræn beskyttelse til brugere, der ønsker det hele.
Din internetverden er endelig i trygge hænder.

Gratis download