Publisert:
24.5.2023
Sist endret:
14.3.2024
Forfatter:
Marthe Aspelund

Hva er phishing og hva gjør du ved et angrep?

Når en tilsynelatende kjent avsender ber om sensitiv informasjon med svindelintensjon, kaller vi det phishing.

Phishing er nettfisking på norsk

Phishing er en engelsk betegnelse som kan oversettes til nettfisking på norsk. Det er en form for sosial manipulering, hvor en angriper og svindler ønsker å lure deg til å blant annet klikke på usikre lenker eller betale falske regninger.

Phishing-metoder kommer via både e-post, telefon og sosiale medier

De fleste angrepene skjer via e-post og telefon. Du kan for eksempel motta en e-post som forteller deg at det er oppdaget uvanlig aktivitet på din konto, hvor e-posten oppfordrer deg til å logge inn og sjekke. Det kan også være en SMS som oppfordrer deg til å logge inn på bestemte nettsider.

E-poster kan utgi seg for å være bekjente som sier de har funnet bilder av deg som du bare se. En mindre gjennomskubar forespørsel kan for eksempel være beskjed om en kansellasjon av en ordre som du må logge inn for å fikse. Du kan også oppleve forsøk på phishing via apper, sosiale medier og nettsider.

Gjennomfører du handlingen du blir oppfordret til går du rett i fella. Da vil angriperen installere skadevirus, få tilgang til brukernavn og passord og stjele dine sensitive opplysninger.

Skytjenester er et uunnværlig verktøy

Bedrifter er ekstra sårbare for dataangrep. Skytjenester bidrar til at bedriften din bevarer sin egen IT-sikkerhet og samtidig følger lover og regler. Den enorme fordelen med en skytjeneste, er at det er leverandøren og ikke du som har ansvaret for dette. Stadig flere norske bedrifter velger nå skybaserte systemer for både lønn, HR, ERP eller CRM, nettopp på grunn av datasikkerheten de innebærer. Da får du nemlig automatiske oppdateringer og vedlikehold.

Slik unngår du å gå i fella

Du kan avsløre tvilsomme kilder ved å blant annet:

  • Holde pilen over URLen uten å trykke på den og se om den inneholder det henvendelsen gjelder eller om den for eksempel stemmer overens med avsenderens opprinnelige url til deres hjemmeside.  Er adressen feilstavet  på den måtem at den ender med .com der det burde vært .no for eksempel?
  • Dersom det er en https-adresse er dette noe som også enkelt manipuleres av svindlere og det er ikke lenger en indikator på at URLen er trygg.
  • Ikke glem at verken Politiet eller andre offentlige og seriøse aktører sender ut linker som er knyttet til formelle prosesser.
  • Du kan også se i adressefeltet fra avsenderen om det er en manipulert e-postadresse. Navnet virker kanskje kjent ved første øyekast, men ser du nærmere kan du se stavefeil eller noe annet der det skulle stått .no eller .com
  • Språket kan avsløre om det er en seriøs henvendelse eller ikke. Flere av angrepene er godt formulert, men både stavefeil og flyt kan avsløre om det er en masseutsendelse.

Samme prinsipp gjelder for sosiale medier, SMS og apper. Dobbeltsjekk informasjonen og ta en ekstra runde med deg selv på om avsender virkelig ville sendt eller oppfordret deg til det du blir bedt om.

Les mer: Slik styrker etiske hackere forretningssystemene gjennom vårt Bug bounty-program.


Hva gjør jeg når jeg har gått i fella ved et phishing angrep?

Hvis angriperne får tak i innloggingsinformasjonen er uhellet allerede ute og de har tilgang til kontoer og data. Neste skritt fra angriperen vil som regel være å be om løsepengevirus, noe som ikke anbefales å betale, da du ikke er sikret å få data tilbake, selv ved betaling.

Les mer: Hva er løsepengevirus og hvordan beskytte deg mot det?

Det viktigste er at du allerede har tatt alle forholdsregler i forkant av et mulig angrep. Hvis du er forberedt, vet du hvordan det oppdages og hvordan det stoppes før de kriminelle i det hele tatt kommer så langt at de får tak i kritisk data. Ha en systemleverandør som tar seg av IT-sikkerheten i systemene dine.

Les mer: Gratis sjekkliste på krav og spørsmål du bør stille til systemleverandøren din.

Du kan forberede deg ved å gjøre enkle grep som for eksempel:

Les mer: Sjekkliste på enkle IT-sikkerhetstiltak du som bedriftsleder gjøre i bedriften din.

Vishing er phishing via telefon

Manipulasjonsforsøk kan også gjennomføres ved å ringe opp på telefon (Vishing), sende meldinger på SMS eller andre meldingsløsninger (SMhing). Ved disse manipulasjonsformene fremstår angriperen ofte som en reell virksomhet. Dette kan være offentlige etater, finansinstitusjoner eller butikker, eller butikkkjeder.

Les mer: Slik gikk det da Visma ble rammet av dataangrep.

Kilder: nettvett.no, YouGov

Siste artikler