Phishing

Phishing er en form for angrep basert på sosial manipulering hvor kriminelle later som om de representerer en pålitelig enhet samtidig som de ber offeret om sensitive opplysninger.

5 min. lesetid

5 min. lesetid

Hva er phishing?

Har du noen gang fått en e-post, tekstmelding eller annen elektronisk kommunikasjon som ser ut som om den kommer fra en bank, og som ber deg om å «bekrefte» kontoinformasjonen din, kredittkortnummeret ditt eller andre sensitive opplysninger? Da vet du i så fall allerede hvordan et vanlig phishing-angrep ser ut. Denne teknikken brukes til å innhente verdifulle opplysninger om brukeren som angriperen kan selge eller misbruke for egen vinning, for eksempel i forbindelse med utpressing, tyveri eller identitetstyveri.

Begrepets opprinnelse

Konseptet ble først beskrevet i 1987 av Jerry Felix og Chris Hauck i rapporten «System Security: A Hacker’s Perspective» (1987 Interex Proceedings 1:6). Den beskrev teknikken hvor en angriper utgir seg for å være en kjent enhet eller tjeneste. Selve ordet er en omskriving av «fishing» («fisking») – angriperne «fisker» etter ofre – de bruker den samme logikken som når man er på fisketur. «Ph» istedenfor «f» først i ordet er en referanse til «phreaks», en gruppe hackere som eksperimenterte med, og på en ulovlig måte utforsket grensene for telekommunikasjonssystemer på 1990-tallet.

Hvordan fungerer phishing?

Phishing har eksistert i mange år, og angriperne har utviklet en rekke metoder for å finne ofrene sine.

Den vanligste phishing-teknikken er å utgi seg for å være en bank eller en finansinstitusjon via e-post. Målet er å lure offeret til enten å fylle ut et falskt skjema eller besøke et nettsted som ber om kontoinformasjon eller påloggingsinformasjon.

Tidligere ble feilstavede eller villedende domenenavn ofte brukt til dette. I dag bruker angriperne mer sofistikerte metoder ved å sørge for at lenkene og de falske sidene ser ut som om de er ekte.

Les mer

Informasjon som stjeles fra ofrene, misbrukes vanligvis til å tømme ofrenes bankkontoer. Informasjonen selges også på nett.

Liknende angrep kan utføres via telefonanrop (vishing) og tekstmeldinger (smishing).

Spearphishing

En mer avansert phishingmetode hvor tilsynelatende ufarlige phishing-meldinger havner i innboksen til utvalgte grupper, organisasjoner eller enkeltpersoner. De som lager spearphishing-e-poster studerer ofrene sine på forhånd, noe som gjør det vanskeligere å oppdage at innholdet er ondsinnet.

Angrepene som målrettes mot konkrete, ofte kjente personer i bedriftene, for eksempel toppledere, kalles «whaling» på grunn av størrelsen på det potensielle utbyttet (de kriminelle går etter «de største fiskene»).

Hvordan kan du gjenkjenne phishing-angrep?

En e-post eller en elektronisk melding kan inneholde offisielle logoer eller andre ting som brukes til å identifisere en kjent organisasjon selv om den egentlig er et phishing-angrep. Nedenfor finner du noen tipstil hvordan du kan avdekke en phishing-melding.

Les mer

  1. Generelle eller uformelle hilsener – hvis en melding ikke er personlig (for eksempel «Kjære kunde») eller formell, er det sannsynligvis ugler i mosen. Det samme gjelder for semi-personalisering hvor det brukes vilkårlige og falske referansenummer
  2. En forespørsel om personlig informasjon – Brukes ofte av de som står bak phishingangrep, brukes sjelden av banker, finansinstitusjoner og de fleste nettbaserte tjenestene
  3. Dårlig grammatikk – Stavefeil, skrivefeil og uvanlige uttrykk er indikatorer (men selv om alt ser riktig ut, er det ikke dermed sagt at alt er som det skal være)
  4. Uventet korrespondanse – Uventet kontakt fra en bank eller en leverandør av nettbaserte tjenester er uvanlig, og derfor mistenkelig
  5. En følelse av at det haster – Phishing-meldinger forsøker ofte å utløse raske og mindre gjennomtenkte handlinger
  6. Et tilbud som er for godt til å være sant? – Hvis meldingen er for god til å være sann, er den sannsynligvis det
  7. Mistenkelig domenenavn – Vil en bank i USA eller Tyskland virkelig sende en e-post fra et kinesisk domenenavn?

Slik kan du beskytte deg mot phishing

For å unngå phishing, må du være klar over de nevnte indikatorene som ofte kan brukes til å avsløre phishing-meldinger.

Følg denne enkle fremgangsmåten

  1. Vær oppmerksom på nye phishing-teknikker: Hold deg oppdatert på rapporter om phishing-angrep i pressen – angriperne finner stadig nye måter å lure brukere i fellen sin på
  2. Ikke oppgi personopplysninger: Vær alltid oppmerksom hvis du får en melding fra en tilsynelatende pålitelig avsender som ber om påloggingsinformasjon eller andre sensitive opplysninger. Ved behov, må du ta kontakt med avsenderen eller organisasjonen for å få bekreftet meldingen (bruk kontaktinformasjon som du vet stemmer istedenfor informasjon fra meldingen).
  3. Tenk deg om to ganger før du klikker: Hvis det er en lenke eller et vedlegg i en mistenkelig melding, må du ikke klikke eller laste det ned. Det kan ta deg til et ondsinnet nettsted eller infisere enheten din med ondsinnet programvare
  4. Kontroller nettkontoene dine regelmessig: Selv om du ikke mistenker at noen forsøker å stjele påloggingsinformasjonen din, bør du kontrollere nettbank og andre nettkontoer for å avdekke mistenkelig aktivitet. Bare i tilfelle …
  5. Bruk en pålitelig løsning som beskytter mot phishingangrep. Bruk disse teknikkene, og «bruk tryggere teknologi»

Les mer om phishing her og her.

Kjente eksempler

Systematisk phishing startet i AOL-nettverket (America Online) i 1995. I et forsøk på å stjele påloggingsinformasjon kontaktet angripere ofre via AOL Instant Messenger (AIM), hvor de ofte utga seg for å være AOL-ansatte som ba brukerne om å bekrefte passordet sitt. Uttrykket «phishing» dukket opp på en nyhetsgruppe på Usenet som diskuterte verktøyet AOHell som automatiserte denne metoden, og navnet har blitt værende. Etter at AOL innførte mottiltak i 1997, fant angriperne ut at de kunne bruke den samme teknikken på andre deler av nettet, og de fortsatt med å utgi seg for å være finansinstitusjoner.

Les mer

Ett av de første, men mislykkede forsøkene oppstod i 2001 og utnyttet kaoset etter angrepene i USA den 11. september. Phishere sendte ut e-poster der de ber noen om ofrene om å kontrollere identiteten sin. De forsøker å misbruke opplysningene de får tak i til å stjele informasjon om økonomi fra den digitale valutatjenesten e-gold.

Det tok bare tre år før phishing fikk et solid fotfeste på nett, og frem til 2005 hadde aktiviteten allerede kostet brukere i USA mer enn 7 milliarder kroner.

Ifølge APWG Global Phishing Survey, ble det registrert mer enn 250 000 unike phishingangrep i 2016, fra et rekordhøyt antall ondsinnede domenenavn – mer enn 95 000. De senere årene har phishingangrepene vært mer fokusert mot bank, finans og valutatjenester, kunder som handler på nett, sosiale nettverk og e-postkontoer.

ESET beskytter deg mot phishing

ESET Smart Security Premium

Den ultimate vokteren av nettsikkerheten din

ESET Smart Security Premium

Den ultimate vokteren av nettsikkerheten din

ESET Smart Security Premium

Overlegen beskyttelse for brukere som ønsker alt.
Endelig er internett-verdenen i trygge hender.

Gratis nedlasting