Till innehållet
Svensk Försäkring varnar för nätfiske.
Läs mer
PrivatFöretag
5 min lästid

Avslöja nätfiskewebbplatser

Publicerad: 2024-12-11

Senast ändrad: 2024-12-19

Webben är full av falska webbplatser. Här försöker bedragare lura besökarna att avslöja lösenord, betalkortsuppgifter eller annan känslig information. På vissa sidor sprids trojaner, det vill säga infekterade appar. I den här guiden går vi igenom hur du avslöjar falska webbplatser och undviker att hamna på dem från första början.

Angripare klonar webbplatser

När angripare vill attackera ett företag börjar de ofta med att skicka ett mejl. I mejlet kan det exempelvis stå att lösenordet till mottagarens jobbmejl behöver bytas ut (läs mer i vår guide om att känna igen nätfiskemejl ). Mejlet innehåller också en länk som tar mottagaren till en nätfiskewebbplats (phishing-webbplats) med en falsk inloggningssida. Om mottagaren försöker logga in skickas lösenordet till angriparna.

Nätfiskewebbplatser kan vara direkta kloner av etablerade och seriösa webbplatser. Inloggningssidan på en nätfiskewebbplats kan, rent av, vara utseendemässigt identisk med en inloggningssida på den riktiga webbplatsen. Det kan därmed vara omöjligt att se skillnad på en falsk och en äkta inloggningssida.

Skärmavbild av två Google Chrome-fönster, sida vid sida. Vänstra fönstret visar Googles äkta inloggningssida på huvuddomänen ”google.com”. Högra fönstret visar en identisk nätfiskeklon på huvuddomänen ”verifiedsecurity.net”.

Bedragare kan klona en äkta inloggningssida (vänster) så att deras nätfiskande inloggningssida (höger) ser identisk ut.

Huvuddomänen avslöjar nätfiskewebbplatser

Bedragare kan enbart klona utseendet från den riktiga inloggningssidan, men aldrig webbadressen. Den falska inloggningssidan kommer alltid att ligga på en annan webbadress än den riktiga inloggningssidan. Nätfiskeversionens webbadress kan påminna om den riktiga webbsidans webbadress, men den är aldrig identisk.

När du granskar webbadressen i adressfältet är huvuddomänen avgörande. Huvuddomänen är den del av webbadressen som webbplatsägaren har köpt och registrerat. Den är alltid uppbyggd enligt ”namn.toppdomän” och är den sista delen av webbadressen före det första eventuella enskilda snedstrecket.

Alla länder har en egen toppdomän (till exempel .se, .dk, .no). Därutöver finns det finns en mängd generiska toppdomäner (till exempel .com, .net, .shop och .site) som inte är kopplade till något speciellt land.

Huvuddomänen utgörs av toppdomänen och namnet som står precis före toppdomänen. Denna webbplats ligger exempelvis på huvuddomänen sakerhetskollen.se. Stöldskyddsföreningens webbplats ligger på huvuddomänen stoldskyddsforeningen.se.

Skärmavbild av adressfältet i Google Chrome. Webbadressen som visas är sakerhetskollen.se/foretag. Huvuddomänen (”sakerhetskollen.se”) är markerad.

Den här webbplatsen ligger på huvuddomänen ”sakerhetskollen.se” (se markering).

Bedragare försöker ofta få nätfiskewebbplatsernas webbadresser att påminna om de riktiga webbadresserna. Detta kan bedragarna göra på flera olika sätt. Bedragarna kan till exempel registrera en felstavad version av den riktiga huvuddomänen eller registrera samma namn under en annan toppdomän.

Om bedragarna vill sätta upp en falsk version av sakerhetskollen.se kan de köpa och registrera namnet ”sakerhetskollen” under någon av de över 1 500 toppdomäner som är lediga. Men det är bara sakerhetskollen.se som är den riktiga huvuddomänen och på den kan bedragarna omöjligtvis publicera några nätfiskesidor.

Subdomäner kan luras

Den som äger en huvuddomän kan lägga till hur många subdomäner som helst. Google äger huvuddomänen google.com och de har valt att lägga sin inloggningsportal på subdomänen accounts.google.com.

Bedragare kan dra nytta av subdomäner för att skapa en webbadress som påminner om den riktiga webbadressen för Googles inloggningssida. Om en bedragare äger huvuddomänen verifiedsecurity.net kan bedragaren lägga till subdomäner som gör att webbadressen, vid en snabb anblick, ser ut som den rätta, till exempel accounts.google.com.verifiedsecurity.net.

Skärmavbild av adressfältet i Google Chrome. Webbadressen som visas är ”accounts.google.com/v3/signin”. Huvuddomänen (”google.com”) är markerad.

Google Workspaces riktiga inloggningsportal ligger på subdomänen ”accounts” under huvuddomänen ”google.com” (se markering).

Skärmavbild av adressfältet i Google Chrome. Webbadressen som visas är ”accounts.google.com.verifiedsecurity.net/v3/signin”. Huvuddomänen (”verifiedsecurity.net”) är markerad.

Bedragare kan publicera en falsk inloggningsportal på subdomänerna ”accounts.google.com” under huvuddomänen ”verifiedsecurity.net” (se markering).

Det är av detta skäl som det är så viktigt att kontrollera huvuddomänen. Det är bara huvuddomänen som det finns kontroll över. Allt som står före och efter huvuddomänen (före och efter verifiedsecurity.net) kan bedragaren som äger huvuddomänen själv välja.

Exempel på bedrägliga webbadresser

Om en bedragare vill sätta upp en falsk version av Säkerhetskollen kan bedragaren dra nytta av följande knep för att få en misstänkt snarlik webbadress.

  • Bedragaren kan registrera en felstavad version av den riktiga huvuddomänen, till exempel sakerhetskolllen.se.
  • Bedragaren kan registrera namnet ”sakerhetskollen” under en annan toppdomän, till exempel sakerhetskollen.nu.
  • Bedragaren kan lägga till sakerhetskollen.se som subdomäner under en annan huvuddomän, till exempel sakerhetskollen.se.verksamhet.org.
  • Bedragaren kan lägga till sakerhetskollen.se som en sida på en annan huvuddomän, till exempel verksamhet.org/sakerhetskollen.se.

I samtliga fall kan bedrägeriförsöket avslöjas av att huvuddomänen är fel.

Hitta rätta huvuddomänen

Det enklaste sättet att hitta den rätta huvuddomänen är att söka efter företagsnamnet eller varumärket på valfri sökmotor. Om du söker efter ”Stöldskyddsföreningen” på Google eller Duckduckgo kommer det första sökresultatet utan annonsmärkning alltid att visa den rätta huvuddomänen.

Skärmavbild av Googles sökresultat vid en sökning efter ”Stöldskyddsföreningen”. Stöldskyddsföreningens webbplats på huvuddomänen stoldskyddsforeningen.se visas överst.

Det första sökresultatet utan annonsmärkning som visas på Google och Duckduckgo är den rätta webbplatsen med den rätta huvuddomänen.

För att en webbplats ska komma högt upp i sökresultatet måste webbplatsen ha många andra trovärdiga webbplatser som länkar till den. Eftersom den äkta webbplatsen alltid har fler sådana länkar än eventuella bedrägliga webbplatser kommer den äkta webbplatsen alltid att hamna överst.

Undvik sökmotorsannonserna

Tänk på att aldrig klicka på eventuella annons- eller sponsormärkta sökresultat. Google har vid upprepade tillfällen låtit bedragare köpa annonser som lett till falska webbplatser. Problemet har blivit så stort att FBI rekommenderar alla att använda annonsblockerare för att dölja sökmotorsannonserna (se varning på FBI:s webbplats ).

Med sökmotorn Duckduckgo kan du stänga av annonserna utan att behöva använda någon annonsblockerare (se annonsinställningar på Duckduckgos inställningssida ).

Vissa storföretag har gjort ett misstag och spridit ut delar av verksamheten på olika huvuddomäner. Microsoft har exempelvis valt att ha sin huvudsakliga webbplats på microsoft.com men har samtidigt lagt inloggningssidan för Microsoft 365 på microsoftonline.com. Förvirringen som detta orsakar spelar angriparna rakt i händerna och Microsoft har meddelat att de ska åtgärda sin domänmässiga identitetskris (läs mer på Microsofts webbplats ).

Avslöja med lösenordshanterare

Det finns många skäl att använda en lösenordshanterare (läs mer i vår guide om lösenordshanterare ). Ett av huvudskälen är att upptäcka falska webbplatser. Lösenordshanterare sparar inloggningsuppgifterna så att de är kopplade till huvuddomänen där de sparades. Det är den kopplingen som gör att lösenordshanteraren kan föreslå rätt inloggningsuppgifter för rätt webbplats.

Om du skulle råka hamna på en nätfiskewebbplats kommer du att få ett tydligt varningstecken från din lösenordshanterare. Den kommer nämligen inte ha några inloggningsuppgifter att föreslå. Oavsett vilket trick som bedragarna använder för att imitera den rätta webbadressen kommer huvuddomänen alltid att vara fel. Lösenordshanteraren kommer därmed se webbplatsen som en helt okänd webbplats och vägra föreslå sparade lösenord.

Undvik att hamna på falska webbplatser

Det finns ett enkelt sätt att minimera risken för att hamna på falska webbplatser: klicka aldrig på annonser och låt bli att följa uppmaningar om att klicka på länkar som skickas till dig.

Problemet med falska annonser är inte unikt för Google. Många sociala medie-plattformar, inklusive Facebook och X, är fulla av bluffannonser. Facebook gör det till och med möjligt för bedrägliga annonsörer att fejka huvuddomänerna som står i annonserna, så att det ser ut som att annonserna leder till andra huvuddomäner än de som annonserna faktiskt går till.

Skärmavbild av Facebooks tidslinje. Tre annonser syns varav två är bluffannonser. Ena bluffannonsen utnyttjar Ulf Kristersson och antyds leda till svd.se (Svenska dagbladets webbplats). Den andra bluffannonsen utnyttjar Jimmie Åkesson och antyds leda till expressen.se.

Facebook gör det möjligt för annonsörer att fejka huvuddomänerna som annonser påstås leda till. Bluffannonserna på bilden påstås leda till svd.se respektive expressen.se.

Om du får upp en lockande annons bör du motstå frestelsen att klicka på den. Gå i stället själv till webbplatsen som annonsen ser ut att komma från och leta upp produkten eller tjänsten på egen hand.

Samma sak gäller om du får ett mejl, sms eller chattmeddelande med en länk. Gå själv till webbplatsen som länken påstås leda till. Då riskerar du inte att hamna på någon klonad nätfiskewebbplats med missledande snarlik webbadress.

Sammanfattning

  • Falska webbplatser kan vara utseendemässigt identiska med originalwebbplatserna, men huvuddomänerna i adressfältet skiljer sig alltid.
  • Huvuddomänen är uppbyggd enligt ”namn.toppdomän” och är den sista delen av webbadressen före det första eventuella enskilda snedstrecket.
  • Du kan undersöka vilken huvuddomän som är den rätta genom att söka på Google eller Duckduckgo efter företaget eller varumärket. Det första sökresultatet som inte är annonsmärkt är det rätta.
  • Du undviker att hamna på falska webbplatser genom att själv söka upp webbplatserna i stället för att klicka på länkar som påstås leda dit.