Vad är phishing? Se upp för falska mejl och andra bedrägerier!

Cos'è il phishing
Klicka här för en sammanfattning av denna artikel
Sammanfattning: Vad är phishing?

Phishing (nätfiske) är en form av nätbrott där ovetande offer ger brottslingar tillgång till sina bankkonton eller personlig information.

Phishing-meddelanden – ofta i form av ett e-postmeddelande, är svåra att skilja från riktiga. Dessa meddelanden verkar komma från en officiell institution, men avsändaren är i verkligheten en brottsling. Att klicka på en skadlig länk kan få obehagliga konsekvenser.

Vi har några tips om hur du undviker att bli offer för phishing:

  • Använd tvåfaktorsautentisering på alla dina konton.
  • Konfigurera skräppostfiltret korrekt.
  • Lämna bara ut dina uppgifter nätet på säkra webbplatser.
  • Vet hur du använder internet på ett säkert sätt och skyddar dig online.

För mer information om hur du känner igen phishing och vad du ska göra om du blivit offer för det: läs vår fullständiga artikel nedan.

Du har förmodligen hört talas om phishing (ung. “fiske”, på svenska ibland kallat nätfiske) tidigare. Nästan hela tiden försöker företag, nyhetskanaler och andra organisationer att varna för detta. Men vad är phishing exakt? Den här artikeln kommer att berätta allt om denna form av cyberbrott. Vi pratar om vad det är, hur man känner igen det och hur du kan skydda dig mot det. Vi visar dig också vad du ska göra om du är offer för en phishing-attack.

Vad är phishing?

Phishing fiskekrok med lösenord Phishing är ett slags cyberbrott vars offer omedvetet ger brottslingar tillgång till deras personliga information eller bankkonto.

Vanligtvis händer detta på grund av att ett phishing-e-postmeddelande skickas till offret. Det här e-postmeddelandet verkar komma från en officiell organisation eller ett företag men skickades faktiskt av en brottsling.

Dessa angripare gör vad som helst för att få sina e-postmeddelanden att verka så autentiska som möjligt. De använder till exempel logotyper för officiella webbplatser och företag. I dessa e-postmeddelanden ombeds offren ofta att klicka på en länk eller öppna en bifogad fil.

Om du klickar på en länk i ett phishing-e-postmeddelande så kan du komma till en sida som ser ut som en officiell webbplats, men som är bara en falsk kopia. Brottslingen hoppas att du anger dina personuppgifter och känslig information på den här sidan genom att till exempel fylla uppgifter på en inloggningsskärm. När du gör detta kommer brottslingen att få tillgång till denna information.

Att öppna en bifogad fil i ett phishing-e-postmeddelande kan också orsaka många problem. Du kanske omedvetet installerar skadlig kod, till exempel en virus eller spionprogram, på datorn. Detta kan i sin tur leda till att brottslingen får tag på all slags personlig information om dig, exempelvis dina bankuppgifter. Ibland installerar de till och med robotar för att skapa ett ”botnet” och utför DDOS-attacker.

Det slutmålet för en phishing-brottsling är att gynna sig genom att stjäla dina pengar eller personuppgifter. Det är här namnet “phishing” kommer ifrån. Cyberbrottslingar “fiskar” efter din information: de kastar ut sitt digitala fiskespö (e-postmeddelandet) och väntar tills ett offer hugger.

De använder en mottagares rädslor och känslor för att få sin bluff att fungera. De kan till exempel låtsas att du har en obetald räkning som väntar på dig och säger att du riskerar böter om du inte betalar direkt. Offren får ofta panik när de läser detta och gör som de blir ombedda, och faller för brottslingens trick.

Känn dig inte dum om det här har hänt dig. Det kan vara otroligt svårt att skilja ett falskt budskap från ett verkligt.

Olika typer av phishingattacker

I allmänhet är e-post ett mycket effektivt medium för angripare, eftersom det gör det möjligt för dem att nå tusentals människor på en gång. Genom att spendera så lite tid som möjligt kan de stjäla mycket pengar, så länge en liten del av mottagarna faller för bedrägeriet.

Det slutar dock inte med e-postmeddelanden. Här är några andra typer av phishing-attacker som du bör se upp för, oavsett om det handlar om bedrägerier på sociala medier eller via traditionell post.

Phishing-bedrägerier via WhatsApp

Whatsapp logoypCyberbrottslingar fortsätter att hitta på nya sätt att stjäla pengar från sina offer. Dessa tekniker kan vara mer effektiva och lukrativa eftersom människor helt enkelt inte vet om dem ännu.

En text från din bank kanske inte alltid är värd ditt förtroende. Detsamma gäller för ett SMS- eller WhatsApp-meddelande från en officiell organisation som ber dig att betala en faktura som du inte minns något om. Under de senaste åren har särskilt WhatsApp använts mer och mer i phishing-attacker.

Har du fått ett misstänkt meddelande? Det kan vara mycket svårt att säga om en faktura verkligen måste betalas eller helt enkelt är ett försök att stjäla dina pengar. Det bästa är att kontakta organisationen som ska ha skickat meddelandet. Gå till deras officiella webbplats genom att leta upp rätt kontaktinformation online, utan att klicka på några länkar i meddelandet eller använda informationen däri.

Phishing-brottslingar är ofta smarta nog att ändra företagets kontaktinformation till sin egen. Om företaget inte vet något om meddelandet kontrollerar du att de vet att någon skickar ut phishing-meddelanden i deras namn.

Falska fakturor

Inte bara sociala medier, utan också mer traditionella kommunikationsformer missbrukas av cyberbrottslingar. Ett av de vanligare bedrägerierna, särskilt för dem som har sitt eget företag, är falska fakturor. Bedragare skickar över en falsk men mycket verklighetstrogen faktura som säger att du ska betala snabbt eller drabbas av konsekvenserna.

Du blir ofta tillsagd att skicka pengarna till ett specifikt bankkonto. Ibland hävdar de till och med att du är skuldsatt och de skickar en inkasserare om du inte överför pengarna snabbt. Även om det är möjligt att få ett sådant brev från officiella institutioner (under extrema omständigheter), kan det också vara ett fall av phishing. Detta innebär att hoten vanligtvis är falska. Om du överför pengarna hamnar de i fickorna på bedragarna.

Om du vill kontrollera om en faktura eller betalningspåminnelse är legitim så ringer du företaget som skickade den. Återigen, använd dock inte kontaktinformationen som anges på fakturan. Gå alltid till företagets officiella webbplats som visas på fakturan och ring eller maila dem. Be om bekräftelse av fakturan, det belopp som nämns och kontot som den ska överföras till innan du betalar något.

Spearphishing

I motsats till phishing riktar sig spearphishing (spjutfiske) mot individuella offer. Hackare låtsas känna dig och meddelandena kan tyckas komma från någon du känner.

Om en brottsling har fått tillgång till ett offers e-postkonto eller sociala medier (till exempel genom en tidigare phishing-attack) kan detta användas för att hitta nya offer.

En brottsling kan försöka få andra att skicka pengar till honom genom att skicka ut meddelanden till vänner till det hackade kontot. Ofta börjar dessa meddelanden med en enkel “Hi, how are you?“. När folk reagerar kommer brottslingen att be om pengar.

Här är ett exempel på ett sådant spearphishing-meddelande, där Johns konto har hackats och cyberbrottslingarna närmar hans Matthew via Facebook:

Facebook phishingmeddelande

Spearphishing-bedrägerier skapar förtroende genom att använda personlig information om mottagarens vänner eller familj. När du hör att en vän är i knipa är du förmodligen angelägen om att hjälpa hen. Cyberbrottslingar missbrukar denna tendens genom att skapa en känsla av brådska: John är fast utomlands och måste komma hem så snart som möjligt. Om Matthew bestämmer sig för att hjälpa honom, kommer han omedvetet att överföra pengar till ett bankkonto som inte är Johns, utan en cyberbrottslings.

Brottslingen kan begära att pengarna överförs via PayPal, Western Union, Moneygram eller Bitcoin. I vissa fall kommer angripare att anstränga sig för att kartlägga hela vännätverket för det hackade kontot och till och med läsa tidigare meddelanden. De kommer att använda den här informationen för att få sitt phishing-försök att se så övertygande ut som möjligt.

Har du fått ett meddelande via e-post, Facebook eller en annan social medieplattform från någon vän som ber om pengar? Var försiktig. Ta kontakt med personen du tror att du pratar med genom att till exempel ringa hen. På så sätt kan du kontrollera om de verkligen är i trubbel. Om inte, så har hens konto hackats.

Phishingbedrägerier via telefon

Smartphone med bild på öraIbland sker phishing via telefon. Detta kan hända när brottslingarna redan har tillgång till offrets bankkonto, men behöver också annan information.

Om offret samarbetar, kommer hen omedvetet att föra över pengar till brottslingarna. Detta kan hända på följande sätt:

  1. Brottslingen är inloggad i offrets bankmiljö och börjar överföra pengar till sitt eget konto.
  2. Brottslingen ringer offret, låtsas vara en bankanställd, och ber om koden som offret har fått (till exempel via text).
  3. Om offret meddelar koden (som faktiskt har skickats för att verifiera en betalning) använder brottslingen den för att slutföra transaktionen till sitt eget bankkonto.

Phishingbrottslingar kan också låtsas vara anställda i Windows eller tillverkaren av din dator eller smartphone. De gör anspråk på att ringa för att lösa ett tekniskt problem. Istället får de dig att logga in på en falsk webbplats, vilket ger dem tillgång till din dator och personlig information.

I vissa fall installerar de till och med ransomware på din enhet. Detta innebär att alla dina filer kommer att krypteras och tas som gisslan: du kan inte komma åt dem om du inte betalar. Om du har blivit offer för ransomware så kontakta polisen.

På senare tid har det rapporterats om en annan typ av phishing via telefon. En brottsling ringer dig från ett konstigt, vanligtvis utländskt, nummer. När du svarar, så hör du ingenting. Först senare visar din telefonräkning att telefonsamtalet har kostat dig en stor summa pengar. För att skydda dig mot den här typen av bedrägerier: svara inte på vilka samtal som helst.

Om du någonsin blir uppringd av en anställd från en viss bank eller ett visst företag så ska du inte direkt lämna ut dina personuppgifter, till exempel adress eller bankkontonumme. Se alltid till att du använder det rätta, officiella telefonnumret för ett företag och kontrollera om du verkligen ringer en representant för det företaget.

Så här känner du igen och förhindrar phishingattacker

Har du fått ett e-postmeddelande, SMS eller annat meddelande från en officiell institution eller en vän som ber om pengar? Tänk en extra gång innan du gör något! Oavsett om det ser ut som ett meddelande från regeringen, en webbshop, Skatteverket, din bank, ett försäkringsbolag eller en webbplats som Amazon, så kanske du har med en brottsling att göra istället.

Andra typer av phishing är det välkända e-postmeddelandet som skickas av en “nigeriansk prins” eller en avlägsen släkting som låtsas att de har tillgång till en stor summa pengar. Innan de kan skicka dig något så behöver de dock ha dig att överföra något till dem. Fall inte för den här typen av fällor. De är inte verkliga.

Eftersom phishing kan vara svårt att upptäcka är det viktigt att veta vad du ska leta efter när du kontrollerar om ett meddelande är legitimt eller inte. Här är några tips som hjälper dig att känna igen ett phishing-försök.

Tips 1: Hälsning, språk, stavning och grammatikfel

Vanligtvis skickas phishing-e-postmeddelanden ut till många människor på en gång. Det betyder att de inte alltid är personliga. Istället får du ett e-postmeddelande med en standard “Kära mr/mrs” eller något liknande i toppen. Fundera alltid på om det är konstigt att inte bli ordentligt behandlad av till exempel din bank innan du gör något annat med e-postmeddelandet.

Du kan vanligtvis känna igen falska e-postmeddelanden när det innehåller många stavnings- eller grammatikfel. Oftast är cyberbrottslingarna som skickar ut posten inte de bästa på engelska och gör uppenbara fel. En annan teknik som ofta används i phishing-meddelanden är att skapa en känsla av brådska. Språk som “BRÅDSKANDE”, “VIKTIGT” eller “SLUTMEDDELANDE” kan indikera att du har att göra med ett phishing-e-postmeddelande.

Men så är det inte alltid. Det finns phishing-e-postmeddelanden och webbplatser som inte innehåller några fel, och till och med börjar med någon form av personlig hälsning. Lyckligtvis finns det andra saker du kan se upp för, som vi berättar i våra andra tips.

Tips 2: Titta på e-postmeddelandets avsändare

List med förstoringglassPhishing-e-postmeddelanden skickas ofta ut via bedrägliga e-postadresser. Titta alltid på avsändarens e-postadress och kontrollera om den är legitim.

Om du till exempel är kund hos Bank of America kan du få officiella e-postmeddelanden från adresser som slutar på @bankofamerica.com. Eftersom cyberbrottslingar inte äger den här domänen kan de inte använda dessa e-postadresser. Istället försöker de skicka det från en mycket liknande domän eller använda en allmän e-postleverantör. De kan till exempel använda bankofamerica@gmail.com eller något som slutar på @americanbank.com.

Även avsiktliga stavfel är inte ovanliga: genom att lägga till bokstav eller två till den ursprungliga domänen försöker brottslingar lura dig att tro att meddelandet trots allt är legitimt. Ibland består phishing-e-postadresser av slumpmässiga siffror och bokstäver. Dessa är lätta att upptäcka och bör aldrig litas på.

I vissa fall verkar ett phishing-meddelande ha en pålitlig avsändare. Ibland verkar det till och med skickas från din egen e-postadress. Detta kallas “e-postförfalskning” och förekommer mycket inom phishing och hackande av företagsmejl.

Gå inte på det. Om du är osäker: kontakta alltid avsändaren genom att leta upp rätt kontaktinformation på deras officiella webbplats. Om det är ett e-postmeddelande från din egen adress så ignorerar du det helt enkelt.

Tips 3: Dela inte personlig information

Om du får ett e-postmeddelande, SMS eller annat meddelande som ber om personuppgifter, till exempel dina inloggningsuppgifter, så kan detta vara ett dåligt tecken. Dela aldrig din personliga information eller kontoinformation via e-post (eller ett annat textmedium) om du inte är säker på att det är helt säkert.

Många legitima företag ber aldrig om din information direkt. Detta gäller särskilt när det gäller lösenord, PIN-koder och annan kontospecifik information. Oavsett hur legitimt ett e-postmeddelande eller meddelande kan se ut, så håll din information privat.

Om du är osäker på om ett meddelande är legitimt eller inte så kontaktar du den faktiska organisationen via deras officiella webbplats eller ringer dem. Svara aldrig på skumma meddelanden och klicka inte på länkar du inte litar på.

Tips 4: Se upp för misstänkta bilagor

Blott ett enkelt klick på en bifogad fil i ett phishing-meddelande kan installera spionprogram som tangentloggare och trojaner på din enhet. Öppna bara filer som du helt litar på och som du förväntat dig. Var på din vakt mot alla filnamn och filtyper som verkar ha utöver det vanliga.

Filer som slutar på .zip eller .exe bör inte lita på rakt av. Inte heller PDF-filer är alltid säkra. Du hittar en översikt över filtillägg som kan användas i phishing-e-postmeddelanden nedan.

  • .bat (Batch)
  • .com (Kommandofil)
  • .cpl (Kontrollpanelen)
  • .docm (Microsoft Word med makro)
  • .exe (Windows körbara fil)
  • .jar (Java)
  • .js (JavaScript)
  • .pif (Program Information File)
  • .pptm (Microsoft PowerPoint med makro)
  • .ps1 (Windows PowerShell)
  • .scr (Skärmsläckarfil)
  • .vbs (Visual Basic Script)
  • .wsf (Windows Script File)
  • .xlsm (Microsoft Excel med makro)
  • .zip (Komprimerad)

Om du vill veta vilken typ av fil en viss bifogad fil är så kontrollerar du bara bokstäverna i filnamnet efter sista punkten.

Cyberbrottslingar kan försöka lura dig genom att lägga till filtillägget i filnamnet. De kan till exempel försöka få dig att tro att du har att göra med en PDF-fil genom att kalla den “InvoicePDF.exe”. Istället är det en .exe som används för att installera skadlig programvara.

Tips 5: Se upp för misstänkta länkar

Datorvirus LaptopHar du sett en länk i ett e-postmeddelande som du inte litar på? Klicka inte på den. Inte varje länk leder till platsen den säger att den kommer att leda dig. Lyckligtvis kan du enkelt kontrollera detta genom att hovra markören över länken (utan att klicka på den!) och kontrollera länknamnet i nedre vänstra hörnet av din webbläsare.

En liten vit stapel visas med exakt den webbplats som länken leder till. Är detta en webbplats som du inte känner igen eller litar på? Då har du förmodligen att göra med ett phishing-försök.

Adressen kan till och med se ut som en pålitlig webbplats, men ha gjorts för att lura dig. Kontrollera alltid om allt är stavat på rätt sätt och domänen är korrekt (till exempel bankofamerica.com/info istället för bankofamerica.officialwebsite.com/info). Var extra försiktig när du använder din smartphone eller surfplatta, eftersom det är mycket enkelt att oavsiktligt klicka på något.

Tips 6: Håll dig uppdaterad

Teknik och IT-brottslighet utvecklas ständigt. Nya sätt att skydda dig mot phishing och andra former av onlinebrott dyker upp, precis som nya sätt för brottslingar att försöka lura sina offer. Det är därför det är viktigt att hålla koll på de senaste nyheterna om phishing och allt som är relaterat till det. Om du läser den här artikeln, så är du redan på god väg.

Tips 7: Lita på din intuition

Om du inte är helt säker på om du kan lita på ett meddelande, e-postmeddelande eller en webbplats, så gör inte det. Det är bättre att vara på säkra sidan. Ser ett budskap konstigt och för bra ut för att vara sant? Klicka inte på länken.

Ta kontakt med den faktiska organisationen och fråga dem om detta. Om det inte är möjligt, så kan du också slå upp e-postadressen till avsändaren online.

Om det är ett phishing-försök som har använts ett tag, så har andra människor förmodligen redan hanterat det och kan berätta om det är säkert eller inte.

Så här undviker du phishing

Det finns många sätt att känna igen ett phishing-e-postmeddelande, men det är ännu bättre om du inte stöter på dem från början. Här är några knep som hjälper dig att stoppa phishing.

  • Använd två-faktorsautenticering på ditt konto: om du behöver gå igenom två steg när du loggar in på viktiga konton (till exempel med en verifieringskod) så är risken för att cyberbrottslingar får full tillgång till ditt konto mycket mindre.
  • Aktivera ditt skräppostfilter: din e-postleverantör har förmodligen ett par inställningar som du kan använda för att hålla skräpposten borta från inkorgen. Detta kanske inte hindrar alla phishing-e-postmeddelanden från att nå dig, men ger dig ett extra lager av säkerhet, så att du stöter på skadliga e-postmeddelanden mindre ofta. Se till att alla viktiga e-postadresser som du kan få e-postmeddelanden från har placerats på en vitlista, så att de inte oavsiktligt hamnar i din skräppostmapp.
  • Dela endast din data på säkra webbplatser: Adressfältet talar om för dig om anslutningen mellan dig och webbplatsen du besöker är säker. Om det är det så ser du ett litet, stängt lås på vänster sida av webbadressen samt “https://” (inklusive “s”) i länken. Om detta saknas bör du inte dela känslig information på den sidan. Många phishing-webbplatser har också börjat använda HTTPS, så den här lilla kontrollen kommer inte att kunna rädda dig från alla bedrägerier. Men det är en viktig början.

Arbeta som en penningkurir (”money mule”) – oavsiktligt kriminell

Penningpåse med dollartecken på en dator Vissa phishing-attacker är samarbeten mellan över hundra personer. Den största delen av en sådan grupp består av så kallade “penningkurirer”. Dessa personer (ofta studenter) öppnar tillfälligt sina bankkonton för phishing-pengar.

På så sätt kan stulna pengar skickas från konto till konto snabbt och enkelt, så det blir mycket svårare för myndigheterna att spåra pengarna tillbaka till den faktiska hjärnan bakom operationen. Som kompensation får penningkurirerna behålla en liten del av pengarna.

Penningkurirer rekryteras ofta av en “herde”. Detta händer antingen online, med annonser om lediga jobb som verkar lagliga men inte är det, eller i verkliga livet. En herde kan gå till skolgårdar och andra offentliga platser för att fråga människor om de vill tjäna lite extra pengar. Många penningkurirer är inte medvetna om det faktum att det de gör är olagligt. De är medskyldiga till cyberbrott utan att ens veta om det.

Risken att bli påkommen av polisen är mycket större för penningkurirer än för personen bakom attacken. Vägen för de stulna pengarna går trots allt först genom alla penningkurirens konton.

Vi avråder alla från att delta i sådana metoder. Om någon erbjuder dig ett jobb som kräver att du ger dem tillgång till ditt bankkonto, så är något “phishy” definitivt på gång.

Vad ska du göra när du är offer för phishing?

Har du fallit offer för phishing? De säkerhetsåtgärder du bör vidta, beror på vilken typ av bedrägeri det gäller. Här är vad du kan göra om du har fallit offer för ett phishing-bedrägeri:

  • När du gav någon din bankinformation så blockera ditt kort och ring din bank.
  • Om det är ett konto för en onlinetjänst, ändra snabbt ditt lösenord och annan avgörande information.
  • När du klickat på en misstänkt länk eller laddat ned skadlig programvara så använder du ett antivirusprogram för att skanna datorn och sätta virus i karantän.
  • Alltid kontakta faktiska företaget eller personen och berätta vad som hänt. De kanske kan hjälpa dig eller åtminstone varna andra.
  • Rapportera phishing hos lämpliga myndigheter, till exempel polisen.
  • Informera dina (nät-)vänner om bedrägeriet. Brottslingen kan använda dina uppgifter för att göra fler till offer.

Slutsats

Phishing är en otäck typ av onlinebrott. Att klicka på en skadlig länk eller logga in på fel webbplats kan få katastrofala konsekvenser. För att säkerställa att du inte faller offer för detta är det viktigt att hålla dig informerad. Lär dig känna igen ett phishing-meddelande och veta vad du ska göra när du får ett.

Håll phishing på avstånd genom att ställa in dina konton på rätt sätt. Har något hänt oavsett? Se till att kontakta rätt organisationer och vidta åtgärder för att hålla skadan på minimum.

Vad är phishing? Vanliga frågor

Har du en specifik fråga om phishing? Våra vanliga frågor nedan kan hjälpa dig att hitta svaret. Klicka bara på en fråga för att se svaret.

Phishing är en form av onlinebrott där brottslingar försöker stjäla personlig information eller pengar genom olika knep och kanaler. Offren kontaktas ofta via e-post eller sms. Brottslingen låtsas vara någon annan. Detta kan vara en officiell organisation, men också en nära vän.

Det finns olika former av phishing:

  • Bedrägerier via WhatsApp eller SMS.
  • Falska fakturor.
  • E-postmeddelanden eller meddelanden på sociala medier från bekanta.
  • Phishing via telefon.

Tipsen nedan hjälper dig att känna igen phishing:

  1. Var uppmärksam på hälsning, språkanvändning och stavfel.
  2. Kontrollera avsändaren.
  3. Se upp för misstänkta bilagor.
  4. Klicka inte på en länk rakt av.
  5. Håll dig informerad om den senaste utvecklingen inom området phishing.
  6. Följ dina instinkter.

Om du har fallit offer för phishing, så vänligen vidta följande steg:

  1. Kontakta din bank omedelbart för att få ditt konto blockerat.
  2. Ändra ditt lösenord om det är ett konto för en onlinetjänst.
  3. Använd antivirusprogram för att skanna datorn.
  4. Rapportera phising-angreppet till lämpliga myndigheter, exempelvis till polisen.
  5. Informera dina (nät-)vänner om bedrägeriet.
Tech journalist
Nathan är en internationellt erfaren journalist som har ett speciellt intresse för bekämpandet av cyberbrottslighet, särskilt när det är sårbara grupper som drabbas. Han gör research för VPNoverview.com inom områdena cybersäkerhet, censur på Internet och integritet online.