Om phishing

global problem

Phishing är en form av bedrägeri och övertalningsteknik som genomförs online för att få människor att avslöja känslig information som lösenord, kreditkortsnummer eller ladda ner filer som innehåller skadlig kod som skadlig kod, virus etc.

Det grundläggande

För att förstå nätfiske och alla de olika varianter som finns så måste man först förstå att nätfiske är en form av social övertalningsteknik, även känd som social manipulation eller bedrägeri. I grund och botten handlar den här typen av bedrägerier om att manipulera, att försöka få sina offers förtroende för att få dem att avslöja konfidentiell information eller utföra önskade handlingar. Att kriminella använder sig av s.k. sociala övertalningstekniker är inte exklusivt för internet. Men på grund av internets natur - med dess lättillgängliga information och möjligheten att nå många människor snabbt - har det blivit den viktigaste arenan för den här typen av bedrägerier.

I grund och botten kan phishing delas in i två huvudgrupper, phishing (nätfiske) och spear phishing (spjutfiske). Mer om det nedan.

Phising och spear phishing

Phishing

Phishing kännetecknas av att vara opersonligt och generiskt, och förlitar sig på att nå ut till stora mängder mottagare i hopp om att någon kommer att svälja betet. Det typiska nätfiskebedrägeriet sker via s.k. skräppostmeddelanden, vilket också är anledningen till att phishing via e-post mer eller mindre blivit synonymt med phishing. Phishing via skäppostmeddelanden används ofta av brottslingar för att samla in information som de sedan kan använda för s.k. spear phishing (spjutfiske).

Exempel på phishing:

E-postbedrägeri (teknisk support):

Avsändaren utger sig ofta komma från ett stort företags tekniska support, t.ex. Microsoft, PayPal, en stor bank eller till och med ditt eget företags och hävdar att det har skett "ovanlig inloggningsaktivitet" på ditt konto och uppmanar dig att agera. E-postmeddelandet instruerar dig vanligtvis att logga in via en länk i e-postmeddelandet - stjäla dina inloggningsuppgifter under processen - eller att klicka på ett bifogat dokument som installerar skadlig kod på din dator.

E-postbedrägeri (bank):

E-postavsändaren utger sig komma från en bank och hävdar att du behöver uppdatera din användarinformation via en länk i e-postmeddelandet. När du har skickat din användarinformation kommer brottslingarna att använda informationen med brottslig avsikt.

Den stora mängden e-postmeddelanden som skickas av cyberbrottslingarna garanterar att en stor andel av förnekarna kommer att vara kunder i banken som bedragarna maskerar som.

Lottovinsten:

E-postavsändaren utger sig komma från ett lotteriföretag och påstår att du har vunnit storvinsten. Målet med bedrägeriet är antingen att få dig att ge bort personlig information (som bankkontonummer etc.) eller att få dig att betala en administrativ avgift, vinstskatt eller en bankavgift.


Spear phishing

Primärt så skiljer sig spear phishing från phishing genom att bedrägeriet är personaliserat. För det andra är den typiska spear phishing-bluffen inriktad mot ett eller ett fåtal utvalda mål (det finns dock undantag). I extrema fall spionerar man på det utsedda offret under veckor eller månader innan brottslingarna tar den första kontakten. Under den perioden lär sig brottslingarna så mycket de kan om sitt offer för att öka sina chanser att lyckas med sin manipulation. Precis som ”vanlig” phishing så har spear phishing traditionellt genomförts via e-post.

Spear phishing riktar sig ofta in på personer i deras yrkesroll, i syfte att stjäla pengar eller information från företaget där det utsedda offret arbetar. Spear phising-försök mot personer i deras privata liv sker dock också.

Exempel på spear phishing:

VD-bedrägeri (företag):

Namnet "VD-bedrägeri" kommer från bedrägeriförfarandet där den kriminella utger sig vara en VD eller någon annan företagsledare. De lurar sedan den anställde att t.ex. föra över pengar eller att avslöja konfidentiell företagsinformation.

I grund och botten handlar allt om människors respekt för auktoriteter. Om den anställde tror att de kontaktas av en företagsledare som har ett brådskande behov av en penningöverföring eller konfidentiell information kommer den anställde att handla enligt instruktionerna utan att tänka. Det är åtminstone vad brottslingarna hoppas på.

Filer som innehåller skadlig kod (företag):

Brottslingen skickar ett mejl med en bifogad fil som till synes innehåller viktig företagsinformation, t.ex. en rekryteringsplan eller en bokslutskommuniké. I verkligheten innehåller filen skadlig kod som installeras när filen öppnas. Oftast utger sig avsändaren vara en anställd eller en representant från ett annat företag som de vet att det riktade företaget arbetar med.

När den skadlig programvaran väl installerats kan den till exempel ge avsändaren fjärråtkomst till företagens nätverk så att de kan stjäla känsliga data.

Spear phishing riktat mot privatpersoner:

Spear phishing är inte bara ett problem för företag. Privatpersoner drabbas också. Oftast händer detta när cyberbrottslingar kommer över större register över kunduppgifter från företag.

Ett exempel på detta är när 100 miljoner riktade e-postmeddelanden skickades till Amazon-kunder som nyligen hade genomfört ett köp på tjänsten. De e-postmeddelanden som skickades såg ut som legitima e-postmeddelanden från Amazon men innehöll en bilaga som installerade s.k. ransomware (programvara för att bedriva utpressning) som krypterade filer på användarens dator. Ransomware-programvaran krävde sedan att offret skulle betala en bitcoin-lösensumma för att ta bort krypteringen.

Ett säkrare liv för alla

Vi har sedan 2015 arbetat obevekligt för att göra de digitala delarna av tillvaron enklare och säkrare för människor, företag och organisationer.

Vi är specialister och pionjärer inom proaktiva ID-skyddslösningar. Vi använder vår egenutvecklade teknik och vi uppfyller de högsta säkerhetsstandarderna samt är PCI DSS certifierade.