Bild på digital klocka med phishing mail

Bedrägerier och intrång: Phishing / Nätfiske

Phishing: förhindra och skydda mot nätfiske

I den här artikeln hittar du information om vilka olika typer av phishing som finns, hur du kan upptäcka nätfiske samt vad du kan göra för att skydda er verksamhet.

Kontakta oss

Phishing - vad är det och hur skyddar man sig mot det?

Phishing är det engelska ordet för det som på svenska kallas för nätfiske, vilket i sin tur syftar till metoder som används för att olovligen komma över känslig information -  exempelvis lösenord till internetbank eller kreditkortsuppgifter.

Vad är phishing?

Phishing, URL-phishing, nätfiske och lösenordsfiske är olika benämningar på en typ av nätbaserat bedrägeri som syftar till att komma över känsliga uppgifter - exempelvis inloggningsuppgifter till bank eller kortuppgifter. 

Bedrägeriattackerna kan riktas mot såväl privatpersoner som företag och offentliga organisationer. Oftast är de utformade som mail eller sms där förövaren utger sig för att vara en pålitlig aktör och offret av olika anledningar uppmanas att dela med sig av lösenord eller andra känsliga uppgifter. 

Syftet med bedrägerierna är att lura till sig uppgifter som till exempel kan användas för åtkomst till finansiella medel eller konfidentiell information.

Phishing och nätfiske är alltså samma sak, där phishing är den engelska benämningen och nätfiske (eller lösenordsfiske) är den svenska.

Den engelska stavningen av ordet phishing tros vara inspirerad av den för phreaking - vilket är en bedrägerimetod särskilt inriktad på att utnyttja telefonsystem, växlar och telenät. Ordet phreaking är en kombination av phone och hacking eller cracking.

Olagligt - men inte ovanligt

Nätfiske är olagligt i såväl Sverige som övriga världen. Trots det är den här typen av bedrägerier dessvärre frekvent förekommande. Men varför är phishing så vanligt? Har det inte gjorts tillräckliga framsteg inom cybersäkerhet för att komma åt bedragarna?

Svårigheterna att få stopp på nätfiske ligger framförallt i det faktum att kriminella aktiviteter på nätet tyvärr är mycket svåra att spåra. Internetsäkerheten har tveklöst blivit bättre på senare år - men så har även bedragarna. 

Personer som sysslar med phishing och andra typer av bedrägerier kan med hjälp av kapade konton, kryptering och falska identiteter gömma sig undan polis och rättsväsende under lång tid. 

Under 2020-2021 har antalet nätfiskeattacker ökat kraftigt både i Sverige och utomlands. Dels till följd av digitaliseringens snabba framfart, men också på grund av att närvaron på nätet ökat under pandemin med covid-19.

Eftersom förekomsten av phishing är svår att råda bot på, blir det förebyggande arbetet desto viktigare. Har man en digital närvaro är det bra att känna till hur man kan identifiera ett misstänkt meddelande samt vad man kan göra för att skydda sig mot en attack. Om detta kan ni läsa mer lite längre ned i artikeln. 

Svårt att se skillnad på ett vanligt mail och ett phishingmail

Hur går phishing till?

Nätfiske kan bedrivas på ett par olika sätt, men alla syftar egentligen till samma sak - att komma över känsliga uppgifter genom att utge sig för att vara någon annan.

En phishingattack är oftast konstruerad på något av nedanstående två sätt. Ibland kan även en kombination av bägge tillvägagångssätten användas. 

  • Ni luras att själva dela känsliga uppgifter
    Förövaren skickar ut ett mail som är konstruerat så att det ser ut att komma från en betrodd aktör - till exempel en bank eller ett välkänt företag. I meddelandet uppmanas ni dela med er av lösenord, kontonummer eller annan känslig information, antingen genom att svara på det mail ni mottagit eller genom att klicka på en länk som finns bifogad. Länken leder till en hemsida som, precis som meddelandet, är designad för att se legitim ut men som i själva verket är falsk.
  • Uppgifter stjäls med spionprogram
    Även här börjar det ofta med att ni får ett meddelande som ser ut att komma från ett företag, en känd aktör. Designen och utformningen kan se mycket proffsig och äkta ut, men avsändaradressen är falsk. Meddelandet innehåller vanligen information om ett förmånligt erbjudande samt en länk ni uppmanas klicka på för att ta del av erbjudandet. Klickar ni på länken installeras ett spionprogram på er enhet, vilket i hemlighet samlar in lösenord, inloggningsuppgifter, personnummer och annan känslig information och skickar till de som utför attacken. 

Hur känner man igen ett nätfiske-mail?

Phishing-mail kan se mycket proffsiga ut och att syna en bluff kan därför vara lättare sagt än gjort. 

Följande är sådant som är bra att vara uppmärksam på i meddelanden: 

  • Bristfällig grammatik och märkliga rubriker i meddelandet.
  • Ni ombeds verifiera konto- eller kortuppgifter alternativt dela med er av lösenord.
  • Generösa erbjudanden som finns tillgängliga via en extern länk.
  • Varningar om nedstängning av konto om ni inte vidtar vissa åtgärder.
  • Påståenden om att ni blivit felaktigt krediterade för något och att ni kan skicka in era konto- eller kortuppgifter för att få återbetalning.
  • Avsändaradressen ser konstig ut.

Viktigt att belysa här är att seriösa företag och organisationer mycket sällan - eller aldrig - ber om känslig information via e-post eller sms. Får ni ett meddelande med en sådan uppmaning kan ni således anta att det rör sig som en phishingattack.

Olika typer av phishing

På senare år har phishing utvecklats till ett paraplybegrepp som inkluderar flera olika typer av bedrägerimetoder. Metoder som i grund och botten handlar om samma sak – att stjäla känsliga uppgifter och/eller sabotera – men med hjälp av olika tillvägagångssätt. Nedan hittar du kortfattade beskrivningar av olika typer av bedrägerimetoder som också faller under begreppet phishing. 

  • Spoofing
    Spoofing är när en illvilliga aktör använder sig av en falsk eller kapad identitet – exempelvis en förfalskad webbplatsadress eller en kapad e-postadress – för kontakt med företag eller privatpersoner. Offren luras att lämna ifrån sig känsliga uppgifter i tron om att det är till en legitim aktör.
  • Vishing
    Vishing är telefonbaserade bedrägerier där bedragare ringer privatpersoner eller företag och utger sig för att vara från en myndighet eller annan betrodd organisation. Syftet är att få offret att lämna ut känsliga uppgifter som exempelvis kontonummer.
  • Smishing
    Vid en smishingattack skickar bedragare ut bluff-sms avsedda att lura mottagare att klicka på en länk med skadlig kod, alternativt att lämna ifrån sig känslig information. Sms:en ser ut att komma från en känd och betrodd källa.
  • Spear phishing
    Spear phishing är en riktad nätfiskeattack designad för att användas mot en specifik individ eller organisation. Spear phishing-attacker utförs vanligen via mail och syftar antingen till att plantera skadlig kod hos mottagaren, eller stjäla uppgifter som denne besitter.
  • Cybersquatting
    Cybersquatting innebär att bedragare registrerar en domän i en etablerad och välkänd aktörs namn. Besökare luras sedan att besöka en falsk sida som ofta är infekterad med skadad kod.
  • Typosquatting
    Typosquatting är en form av cybersquatting eller URL-kapning som utnyttjar felstavade URL-adresser för att lura besökare till falska sidor.

Ovanstående bedrägerimetoder kan användas enskilt, men det är även vanligt att förövare använder sig av fler än ett tillvägagångssätt i en attack.

Så kan ni skydda er mot phishing

Internets enorma arkitektur och oändliga möjligheter gör det svårt att helt eliminera förekomsten av phishingattacker. Lyckligtvis finns det åtgärder ni kan vidta för att skydda er från att bli utsatta. 

Följande är några konkreta tips på hur ni effektivt kan minska risken för att drabbas av phishingattacker och de konsekvenser som följer:

  1. Simulerade phishingattacker
    Phishingtester är ett mycket bra sätt att öka medvetenheten och kunskapen om nätfiske. Testerna går ut på att simulera attacker och skicka ut mail eller andra digitala meddelanden som uppmanar till att klicka på bifogade länkar. Klickar man på en länk omdirigeras man till en sida med information om nätfiske och hur man kan minska risken för att drabbas.

    Regelbundna tester med simulerade phishingattacker är ett bra verktyg för att kunna mäta huruvida utbildning om nätfiske leder till en bättre medvetenhet. 

  2. Filtrering av e-post
    Ett e-postfilter rensar bort mail som bedöms vara spam och förhindrar att de levereras till mottagaren. De flesta mailtjänster har idag inbyggda skräppostfilter, vilka även kan kompletteras med ytterligare filter skapade utifrån egna kriterier. Vissa spamfilter kan genom krav på autentisering även stoppa inkommande e-post från förfalskade adresser. 
  3. Blockera skadliga webbsidor
    Genom att blockera hemsidor som misstänks sprida virus kan ni skydda ert företag från att drabbas av så kallade drive by-attacker. En drive by-attack innebär att skadlig kod laddas ned till en enhet bara av att man besöker en viss hemsida. 

    Blockering av potentiellt skadliga hemsidor kan göras med hjälp av speciella mjukvaror särskilt avsedda för ändamålet. De flesta webbläsare har också inbyggda administratörsverktyg som kan användas för att spärra vissa typer av sidor.

  4. Begränsa administratörsrättigheterna
    Ju fler anställda som har administratörsrättigheter i ett visst program eller system, desto större är risken att drabbas av en phishingattack. Att begränsa rättigheterna till så få som möjligt minskar inte bara risken för att bli utsatta för nätfiske, utan även konsekvenserna av en eventuellt fullbordad attack. 
  5. Förebygg med utbildning
    Arbeta proaktivt med att utbilda era anställda i vad nätfiske är, hur det fungerar samt vad man kan göra för att undvika en attack. Viktigt är också att skapa rutiner för vad som gäller om man ändå blir utsatt. Ett snabbt agerande är mycket viktigt för att kunna stoppa attacken så snabbt som möjligt och begränsa skadorna. 
  6. Täpp igen säkerhetshål
    Nätfiskare utnyttjar ofta säkerhetshål som uppstår mellan olika system och applikationer för att utföra en attack. Ju fler komponenter ert företag använder, desto fler är utrymmena där potentiella säkerhetshål kan uppstå. 

    För att kunna upptäcka eventuella sårbarheter i olika integrationer är det viktigt att kontinuerligt kontrollera och uppdatera säkerhetsrutiner - att jobba med så kallad patch management. Detta är särskilt viktigt för vissa utsatta komponenter - till exempel webbläsare, mailklienter och plugins. 

  7. Se till att ha komplett klientskydd
    Ett fungerande klientskydd är på många sätt kärnan i all IT-säkerhet. Varje anställd bör ha en härdad klient anpassad efter de individuella behoven, och skyddet bör ha en kapacitet som är kompatibel med er verksamhet. 

    Viktigt är också att klientskyddet regelbundet uppdateras - allra helst automatiskt för att eliminera risken att det glöms bort.

Maximera säkerheten med Abion

Abion är vi specialister på digital säkerhet för företag, myndigheter och organisationer i olika storlekar. Hos oss kan ni få hjälp med ett flertal smarta tjänster som hjälper till att skydda ert företag mot phishing - däribland:

ansökan

S/MIME

S/MIME är certifikatet som ger en digital signatur för dina utgående mail och säkerställer även att inget i mailet har ändrats under färden.
VMC - Verified Mark Certifikate hos Abion

VMC-certifikat

Ett VMC-certifikat låter dig visa upp logotypen i kundens inkorg, säkrar din verksamhet mot bedrägerier och ökar öppningsgraden på skickad e-post.
Bild på klocka med säker e-post i

Säker e-post, ECP

Teknologin bakom säker e-post skyddar organisationer mot e-postbedrägerier, både internt och externt för kunder och leverantörer.
partnerprogrammet Internetselskab Abion

Domänbevakning

Domänbevakning säkerställer att ingen bedragare kan sätta upp en identisk eller liknande lydelse som ditt domännamn och lura dina kunder.

Sammanfattning

Förekomsten av phishing och andra liknande bedrägerier är utbredd och varje år drabbas många företag, myndigheter och privatpersoner. Ökad digitalisering, mer digital närvaro och bedragare som blir allt skickligare är några av de bidragande orsakerna. 

Dessvärre är nätfiske mycket svårt att eliminera, varför lösningen istället är att vidta förebyggande åtgärder för att skydda sig mot hotet det utgör. Genom att vara medvetna om vilka tecken ni bör vara uppmärksamma på, känna till hur phishing fungerar samt använda tjänster likt de vi erbjuder här på Abion kan ni effektivt minska risken för att drabbas.  

Abion hjälper ditt företag mot Phishing

Vanliga frågor om phishing

Varför sysslar folk med phishing?

Syftet med phishing är ofta att komma åt finansiella medel genom att stjäla inloggning till bankkonton och kortuppgifter.

Vad händer om man trycker på en bluff-länk?

Trycker ni på en bluff-länk finns risk att nätbedragare får tillgång till lösenord och andra känsliga uppgifter. Datorn kan även drabbas av virus eller gå sönder.

Vem kan råka ut för phishing?

Alla som har en digital närvaro kan råka ut för phishing, men det går att skydda sig genom att arbeta förebyggande, vara påläst och vidta säkerhetsåtgärder.

Är phishing olagligt?

Ja, phishing är olagligt. I Sverige klassas det som databedrägeri eller dataintrång.

Fick du inget svar på din fråga? Kontakta oss så hjälper vi dig.

Insikt och support

Populära bloggposter

Introducing Abion

Introducing Abion: The Bold Pioneers of Brand Freedom

Pressmeddelande
Svenska
pll_64f043f5b579a
1 november 2023
Signing_pic_1

Hello mate! Träffa kollegorna i London

Pressmeddelande
Svenska
pll_6447d114cf029
28 september 2023
ai purple 1080×811

Ökat hot från AI-genererade webbutiker: Så skyddar du ditt företag

Startsida
Varumärkesskydd
Svenska
pll_6509839d68734
19 september 2023