Till innehållet
Svensk Försäkring varnar för nätfiske.
Läs mer
PrivatFöretag
5 min lästid

Se upp för nätfiskemejl

Publicerad: 2024-11-27

Senast ändrad: 2024-12-11

Så kallade nätfiskeattacker (även kallat phishing-attacker) är ett ständigt återkommande problem för alla företag. Angripare skickar mejl med länkar till bedrägliga webbplatser eller bilagor som visar sig vara skadliga trojaner. I den här guiden går vi igenom hur du avslöjar nätfiskeattacker och minskar risken att drabbas.

Inga filter kan stoppa alla attacker

Mejlsystemet är ett öppet kommunikationssystem. Vem som helst får mejla till vem som helst. Detta är både den största fördelen och den största nackdelen.

För att minska mängden nätfiske- och skräppostmejl har alla företag någon form av mejlfilter som blockerar oönskade mejl. Tyvärr finns det inga mejlfilter som kan blockera samtliga nätfiske- och skräppostmejl. De automatiserade filtren kan bara göra bedömningar av sannolikheten för att inkommande mejl är oönskade. Om filtren vore för aggressiva i sin blockering hade de också blockerat helt legitima mejl.

Lita aldrig på avsändarnamnet

Varje gång du får ett mejl ska du alltid kontrollera vem som egentligen har skickat det. Men du behöver undersöka avsändaren närmare än själva avsändarnamnet, eftersom personen som skickar mejlet kan välja avsändarnamn på egen hand. Bedragare kan skicka mejl med avsändarnamnet ”Stöldskyddsföreningens kundtjänst” även om mejladressen i själva verket är helt orelaterad.

Skärmavbild av notis för mejl som påstås komma från ”Stöldskyddsföreningens kundtjänst”.

Avsändaren kan själv välja avsändarnamnet som ska visas i mejlappar och i notiser. Lita därför aldrig på avsändarnamnet.

Inte heller användarnamnet

Användarnamnet, det vill säga den första delen av mejladressen som står före @-tecknet, kan du inte heller lita på. Bedragare kan utan hinder registrera användarnamnet ”stoldskyddsforeningen” på någon av världens alla publika mejltjänster, till exempel Outlook eller Gmail. Mejltjänsterna kontrollerar aldrig om användarnamnen inkräktar på varumärken eller företagsnamn. Så länge användarnamnet är ledigt är det fritt fram för vem som helst att registrera det.

Det finns inte heller något som hindrar en bedragare som äger en egen domän att skicka mejl som börjar på ”stoldskyddsforeningen”. Om bedragaren äger huvuddomänen verksamhet.org kan bedragaren skicka mejl från stoldskyddsforeningen@verksamhet.org.

Skärmavbild av nätfiskemejl som kommer från avsändaren ”Stöldskyddsföreningens kundtjänst” med adressen ”stoldskyddsforeningen@verksamhet.org”.

Bedragare kan skicka nätfiskemejl som kommer från en avsändare med namnet ”Stöldskyddsföreningens kundtjänst” och en mejladress som börjar på ”stoldskyddsforeningen”.

Du kan lita på huvuddomänen

Medan det är fritt fram för bedragare att förfalska både avsändarnamn och användarnamn finns det lyckligtvis en del av mejladressen som bedragarna inte kan förfalska: huvuddomänen. Det är den sista delen av mejladressen: orden som står före och efter den sista punkten, till exempel stoldskyddsforeningen.se, gmail.com eller outlook.com. Läs mer om huvuddomäner i vår guide om att avslöja nätfiskewebbplatser .

Stöldskyddsföreningen har registrerat och äger huvuddomänen stoldskyddsforeningen.se. Det är enbart Stöldskyddsföreningens godkända servrar som får skicka mejl som slutar på den huvuddomänen. Om en bedragare skulle försöka skicka mejl från en adress som slutar på stoldskyddsforeningen.se hade mejlen antingen avvisats eller fastnat i skräppostkorgen hos mottagarna.

När du får ett mejl från ett annat företag kan du därför, baserat på huvuddomänen, avgöra om mejlet verkligen kommer från det påstådda företaget. Vilken företagets riktiga huvuddomän är hittar du med hjälp av din sökmotor och instruktionerna i vår guide om att avslöja nätfiskewebbplatser . Microsoft mejlar exempelvis från microsoft.com medan Adobe mejlar från adobe.com och Google mejlar från google.com.

Undantag förekommer

Det finns tyvärr undantag. Några företag mejlar från andra domäner än sina webbplatsers huvuddomäner. Ett sådant exempel är Facebook som inte bara mejlar från facebook.com utan också från facebookmail.com och fb.com. När Facebook mejlar från någon av de två andra huvuddomänerna gör de det omöjligt för mottagarna att veta om mejlen är äkta mejl eller bluffmejl.

Många företag begår ett liknande misstag när de skickar ut fakturor eller kundundersökningar. Om företagen använder tredjepartstjänster för att skicka sådana mejl händer det ofta att mejlen kommer från tredjepartstjänsternas huvuddomäner i stället för från företagens egna huvuddomäner. Då är det återigen helt omöjligt för mottagarna att veta om mejlen är äkta mejl eller bluffmejl.

Subdomäner ger luriga adresser

Ibland drar bedragare nytta av så kallade subdomäner för att skapa avsändaradresser som ser trovärdiga ut. Subdomäner är punktseparerade ord som står mellan @-tecknet och huvuddomänen.

Den som äger en huvuddomän kan lägga till vilka subdomäner som helst. Om en bedragare vill utge sig för att vara Stöldskyddsföreningen kan bedragaren registrera en orelaterad huvuddomän (till exempel verksamhet.org) och lägga till ”stoldskyddsforeningen” som en subdomän. Då kan bedragaren skicka nätfiskemejl från adresser i stil med kundtjanst@stoldskyddsforeningen.verksamhet.org.

Skärmavbild av nätfiskemejl som kommer från avsändaren ”Stöldskyddsföreningens kundtjänst” med adressen ”kundtjanst@stoldskyddsforeningen.verksamhet.org”.

Bedragare kan lägga till förvirrande subdomäner för att skapa extra vilseledande avsändaradresser.

Subdomäner används ofta av helt legitima skäl. Stöldskyddsföreningen kan exempelvis använda subdomänen för ”verksamhet” för mejl som är riktade till företag. Du måste därför granska ordningen på delarna av avsändaradressen. kundtjanst@stoldskyddsforeningen.verksamhet.org är en bedräglig adress medan kundtjanst@verksamhet.stoldskyddsforeningen.se är en helt legitim adress. Det är den sista delen (huvuddomänen) som är avgörande.

I och med att subdomänerna alltid står före huvuddomänen kan bedragare utnyttja dem för att försöka dölja huvuddomänen. Om en bedragare skickar mejl från adresser med tillräckligt många och långa subdomäner blir avsändaradressen för lång för att hela avsändaradressen ska synas i mejlappen. Eftersom huvuddomänen är den sista delen av avsändaradressen är det olyckligtvis den som döljs först. Detta orsakar framför allt problem på små mobilskärmar.

Var uppmärksam på skräppostklassade mejl

Så kallad ”spoofing” innebär att en bedragare försöker skicka mejl från någon annans riktiga mejladress. Bedragaren skickar alltså inte mejl från en mejladress som påminner om den riktiga utan från den faktiskt riktiga mejladressen. Ditt nätfiskefilter kan i de allra flesta fall upptäcka när ett mejl är ”spoofat” men beroende på avsändaren är det inte säkert att nätfiskefiltret avvisar mejlet. Det kan hända att nätfiskefiltret i stället lägger mejlet i din skärppostkorg.

Om ett mejl hamnar i skräppostkorgen är det stor risk att avsändaradressen som visas är spoofad. När du gallrar din skräppostkorg är det därför viktigt att du inte litar på avsändaradresserna som visas.

Qr-koder i mejl är nätfiskeförsök

Bedragarna är uppfinningsrika i sina försök att kringgå nätfiskefiltren. En metod som de har börjat använda på senare tid är att inte skriva webbadresserna till nätfiskesidorna i själva mejlen. Webbadresser är nämligen lätta för nätfiskefiltren att upptäcka. Bedragarna gömmer i stället webbadresserna i qr-koder som de uppmanar mottagarna att skanna.

Det finns inget skäl till att ett riktigt mejl skulle uppmana dig att skanna en qr-kod. Om du får ett mejl som uppmanar dig att skanna en qr-kod kan du därför vara säker på att det är ett nätfiskeförsök.

Krypterade bilagor är nätfiskeförsök

Bedragare kan också försöka kringgå nätfiskefiltren med hjälp av krypterade (lösenordsskyddade) bilagor. Nätfiskefiltren kan nämligen inte skanna innehållet i sådana bilagor.

Krypterade bilagor används inte bara för bedrägerier. Det händer att medarbetare behöver mejla känsliga uppgifter till varandra. Eftersom de flesta företag fortfarande saknar stöd för att skicka och ta emot totalsträckskrypterade mejl måste medarbetarna ta till nödlösningar. En sådan nödlösning är att lägga informationen i en krypterad bilaga och ringa till mottagaren för att berätta det rätta lösenordet.

Det är just sättet som lösenordet kommuniceras som avslöjar bedrägeriförsöken. Om lösenordet till bilagan står i mejltexten fyller krypteringen bevisligen ingen funktion bortsett från att kringgå nätfiskefilter.

Om du får ett mejl som innehåller både en krypterad bilaga och lösenordet som behövs för att låsa upp bilagan kan du därför vara säker på att det är ett nätfiskeförsök.

Undvik att följa uppmaningar

Ett enkelt sätt att minska risken för att falla offer för nätfiskeattacker är att undvika att följa uppmaningar, som att klicka på en länk eller öppna en bilaga. Om du aldrig följer sådana uppmaningar riskerar du heller inte att bli lurad.

I stället för att klicka på en länk i ett mejl kan du själv söka upp webbplatsen i fråga. Läs mer om detta i vår guide om att avslöja nätfiskewebbplatser . En bra tumregel är att endast klicka på länkar när du själv har beställt mejlet, exempelvis när du har begärt en återställningslänk för att återställa ditt lösenord.

Var även vaksam på mejl med bilagor. Om bilagan är en faktura eller en beställningsbekräftelse kan du ofta ladda ned bilagan från avsändarens kundportal. Ibland måste bilagor öppnas. Kontrollera alltid avsändaren och fundera över hur sannolikt det är att avsändaren skulle skicka just en sådan bilaga till dig.

För att minska problematiken med tveksamma bilagor är det bäst att undvika att mejla bilagor. Använd i stället företagets samarbetslösning (till exempel Microsoft Teams, Google Workspace eller Nextcloud Hub) för att dela bilagor på ett säkert sätt.

Sammanfattning

  • Lita aldrig på avsändarnamnet eller användarnamnsdelen av en mejladress.
  • Kontrollera alltid huvuddomänen i avsändaradressen. Huvuddomänen är uppbyggd enligt ”namn.toppdomän” (till exempel stoldskyddsforeningen.se) och är den sista delen av mejladressen.
  • Tänk på att subdomäner kan användas för att skapa långa och vilseledande mejladresser. Var noga med att undersöka ordningen på delarna av domänen. stoldskyddsforeningen.verksamhet.org är en bedräglig domän medan verksamhet.stoldskyddsforeningen.se är en legitim domän. Detta eftersom stoldskyddsforeningen.se är den rätta huvuddomänen.
  • Qr-koder i mejl är alltid bedrägeriförsök. Samma sak gäller krypterade mejlbilagor om lösenorden till bilagorna står i mejlen.
  • Du undviker att falla offer för nätfiskeattacker om du aldrig följer uppmaningar i mejl.
  • Det bästa sättet att minska problemet med nätfiskemejl är att helt enkelt mejla mindre.