Telenor varnar för bluff-sms.
5 min lästid
Artikel
Phishing
Nätfiske, även känt som phishing, är en av de vanligaste attack-metoderna cyberkriminella använder idag.

Varje dag skickas 3,4 miljarder falska mejl, vilket gör nätfiske till ett av de vanligaste tillvägagångssätten som bedragare använder för att komma åt lösenord, bank- och kortuppgifter. Eftersom många falska mejl skickas ut varje dag så är det tyvärr alltid någon som blir lurad.

Nätfiske är i grunden en form av identitetsstöld eftersom angriparen utger sig för att vara en person, företag eller en myndighet som mottagaren känner igen. Bedragaren skickar oftast falska meddelanden i form av e-post, sms, eller chattmeddelanden som uppmanar dig som mottagare att klicka på länkar eller ladda ner filer.

Några vanliga exempel:

  • Bedragare utger sig ofta för att vara banker. De kan påstå att du behöver verifiera dina kontokortsuppgifter, annars spärras ditt bankkort eller att ditt konto på grund av en okänd inloggning. En större banks varumärke användes i bedrägliga syften på det här sättet förra året.
  • Telefonoperatörer och andra kända varumärken utsätts ofta för att bedragare försöker utnyttja deras varumärke för att få personer att klicka på länkar. En större telefonoperatör exempelvis för det i februari då nätfiskemejl i deras namn cirkulerade, där bedragare påstod att en faktura betalats två gånger.
  • Bedragare utger sig för att komma från Skatteverket och vill att du ska öppna en bifogad fil eller klicka på en länk där du ska uppge dina kortuppgifter för att få skatteåterbäring. Se exempel på Skatteverkets hemsida .

Tänk efter innan du klickar på oväntade länkar

Var försiktig när du klickar på länkar, bilagor eller laddar ner program som kommer via mejl. Även om det är en avsändare som du känner förtroende för kan denna manipuleras för att lura dig. Klicka bara på länkar när du är säker på vem avsändaren verkligen är.

Om du klickar på en länk i ett mejl kan du hamna på en falsk hemsida som ofta är väldigt lik originalhemsidan.

Genom att hålla muspekaren över länken, utan att trycka på den, kan du se den riktiga hemsidans namn. Om hemsidenamnet inte stämmer med avsändaren eller på annat sätt ser konstigt eller annorlunda ut så ska du inte klicka på länken.

Tänk efter innan du klickar på oväntade länkar

Ge aldrig ut personlig information

Uppmanar meddelandet dig att agera snabbt? Innehåller meddelandet uppmaningar om att du ska lämna ifrån dig kortuppgifter eller lösenord? Lämna aldrig ut personlig information på någon annans begäran.

Säkra dina lösenord

Dina inloggningsuppgifter till en tjänst kan äventyras om du klickar på en länk och sedan loggar in på en falsk hemsida, eller om tjänsten blir hackad och råkar ut för en dataläcka. Undvik att personlig information som inloggningsuppgifter sprids till obehöriga genom att säkra dina lösenord.

Du säkrar dina lösenord genom att:

  • Aldrig lämna ut dina lösenord.
  • Använd unika och starka lösenord med många tecken, siffror och symboler.
  • Om möjligt, använd en lösenordshanterare.
  • Ha olika lösenord till dina viktigaste tjänster, såsom e-post, sociala medier, BankID.
  • Använd flerfaktorinloggning. Flerfaktorinloggning innebär att du verifierar din identitet med ett lösenord i kombination med exempelvis BankID eller en kod du får på sms.

Checklista för att skydda dig mot nätfiske:

  • Granska mejlet noga innan du klickar på en länk eller öppnar en bifogad fil. Kontrollera språk och grammatik.
  • Granska mejlet även utifrån om det ser annorlunda ut än det brukar, då kan det vara ett försök att lura dig.
  • Seriösa företag, myndigheter och organisationer ber dig aldrig lämna ut personliga uppgifter via mejl.
  • Logga aldrig in med BankID på uppmaning av någon som oväntat kontaktar dig.
  • Om det verkar vara för bra för att vara sant är det troligen inte sant

Gör det här om du råkat klicka på en länk

  • Har du efter att du klickat på länken angett inloggningsuppgifter, ändra dem omedelbart. Medan du ändrar lösenord, passa på att skapa unika lösenord för varje konto. Läs mer om lösenord här .
  • Bekräfta att du har flerstegsinloggning (även känt som tvåstegsverifiering) aktiverad för de tjänster som erbjuder det.
  • Har du angett dina bank- eller kortuppgifter? Kontakta din bank eller kreditkortsföretag och spärra ditt kort.
  • Är du anställd i en organisation och har klickat på en länk eller öppnat en bilaga? Rapportera det omedelbart till din it-säkerhetsfunktion.
  • Om du råkat ut för ett utpressningsvirus – betala aldrig kravet på lösensumma utan sök hjälp hos nomoreransom.org.

Stoppa bedragaren

  • Bedrägerier och stölder har ökat de senaste åren. Här är ytterligare tips för att du ska minska risken att bli utsatt för brott.
  • Ring alltid polisen på 114 14 om du misstänker att någon försökt lura dig eller om du är utsatt för ett brott.
  • Lämna aldrig ut lösenord eller koder till någon.
  • Kontakta själv den myndighet, bank eller företag som den som ringer påstår sig komma från.


Hur känner man igen nätfiske?

Granska mejlet noga innan du öppnar en bifogad fil eller klickar på en länk. Är grammatiken korrekt? Är meddelandet förväntat? Om meddelandet innehåller uppmaningar om att du ska lämna ifrån dig kortuppgifter eller personliga uppgifter och agera snabbt bör du vara vaksam.

Seriösa företag och organisationer ber dig aldrig om lösenord, inloggning- eller bankuppgifter via e-post.

Vem är avsändaren?

När du fått e-post som du känner dig osäker på kan du oftast hålla muspekaren på användarens namn för att se e-postadressen. Stämmer den överens med vad du förväntar dig?

Dubbelkolla att e-postadressen som utskicket kom ifrån stämmer överens med de adresser den riktiga avsändaren använder. Fraktbolag och andra välkända företag, som ofta utnyttjas av bedragare, brukar ha sina e-postadresser listade på sin hemsida.

Ibland byter bedragare ut en bokstav i en webbadress eller e-postadressen. Några exempel är att ett gement l byts ut mot ett versalt I, o mot 0 och s mot z. Se exempel på bilden nedan.

Hemsidor som ser äkta ut

Tillvägagångssättet är oftast att den som blir utsatt mottar ett email. I mailet står det ofta att något konto behöver en verifiering eller att du behöver skydda ditt konto mot intrång. Ett annat vanligt exempel är att ett paket ska hämtas och en avgifts ska betalas.

Gemensamt för all typ av ”nätfiske”, är att stressa upp den som kontaktas, till att lämna ut uppgifter. Allt för att bedragare sedan ska kunna tjäna pengar genom att använda uppgifterna.

När du klickar på länken i e-postmeddelandet så skickas du ofta till en hemsida som kan vara väldigt välgjord och där du uppmanas att ge ut privata uppgifter, såsom lösenord eller kredit- och betalkortsnummer.

Det man ska ha i åtanke är det inte finns några seriösa banker, företag eller myndigheter som skulle uppmana sina kunder och användare att ge ut privata uppgifter via e-post.

Exempel på äkta och falska hemsidor och e-postadresser.

Exempel på äkta och falska hemsidor och e-postadresser.

Hur ser man att det är en falsk hemsida?

Ett sätt att se om en länk leder till en falsk hemsida är genom att titta på webbadressen. En webbadress består generellt av följande element:

  • Toppdomän som är slutet av webbadressen, exempelvis .se, .com, .nu.
  • Domän, det vill säga själva adressen till en hemsida.
  • Subdomän, det vill säga en domän som är del av en större domän. Tänksäkert.säkerhetskollen.se är till exempel en subdomän till säkerhetskollen.se.

Ett sätt som bedragare ibland försöker lura människor är genom att skapa en subdomän med samma namn som exempelvis ett fraktbolag. Var vaksam och dubbelkolla att domännamnet stämmer med hemsidan du vill gå till. På bilden nedan finns ett exempel på en falsk hemsida och en riktig hemsida.

Exempelbild på hur man känner igen en riktig och en falsk hemsida.

Exempelbild på hur man känner igen en riktig och en falsk hemsida.

Det nya vanliga är ”riktat nätfiske”

Ett annat populärt sätt för bedragarna är att använda sig av ”spear phishing”, vilket innebär riktade attacker mot enskilda personer, företag eller organisationer. Attackerna är ofta baserade på bakgrundsinformation om det tilltänkta målet för manipulation. Allt för att anpassa lockbeten för varje specifik person, företag eller organisation.

Spear phising

Ett annat sätt använda ”spear phising” är ”whaling”, alltså riktade attacker mot de allra högsta positionerna inom företag, såsom verkställande direktörer eller ekonomichefer alternativt it-chefer.

Att tänka på för att undvika att bli lurad

  • Klicka aldrig på länkar som du inte är helt säker på.
  • Lämna aldrig ut privata uppgifter till någon som du inte känner.
  • Logga aldrig in på ditt BankID efter uppmaning från någon utomstående.
  • Om det verkar för bra för att vara sant är det förmodligen så det är.
  • Var alltid kritisk och skicka aldrig pengar till personer som du inte vet någonting om.
  • Sätt upp tydliga regler att förhålla dig till för att inte låta dig bli lurad.
  • Kontakta själv den myndighet, bank eller företag som avsändaren påstår sig representera.
  • Radera mejlet direkt om du ser att detta inte är ett legitimt mejl.
  • Gör en polisanmälan om du blir drabbad.

För dig som har ett företag

  • Upprätta rutiner, policys för anställda så de är informerade om vilka åtgärder som ska tas om man blir utsatt för ett försök till phishing.
  • Upprätta rutiner som gör det möjligt att nå beslutsfattare för extra verifiering när betalningar överskrider ett visst belopp - till exempel genom att motringa för godkännande utifrån en i förväg upprättad kontaktlista.

Berätta för dina vänner innan de blir lurade:

Var den här sidan till hjälp för dig?

Nej, inte alls
Ja, mycket