Sådan beskytter du dig mod email phishing

Hvad er en phishing-mail?

Phishing-mails bruger URL-phishing-teknikker til at narre dig til at klikke på ondsindede links. Svindlere kan lokke dig med et spændende tilbud, skræmme dig med en falsk trussel eller udgive sig for at være en, du stoler på, f.eks. et familiemedlem eller en velkendt tjeneste. Deres mål er at narre dig til at klikke på et link, der ser sikkert ud, men som fører til en ondsindet hjemmeside.

Udtrykket “phishing” kommer af “fishing”, fordi de cyberkriminelle kaster falsk “madding” ud – e-mails, der ser legitime ud – i håb om, at du “bider på krogen” ved at klikke på ondsindede links og give følsomme oplysninger som dine kreditkortoplysninger, adgangskoder eller kontonumre.

Hvordan fungerer phishing-mails i praksis?

Phishing-mails fungerer ved at udgive sig for at være fra en legitim kilde, f.eks. din bank, arbejdsgiver, en side på et socialt medie eller endda en ven eller et familiemedlem. Disse e-mails indeholder ofte en besked, der er designet til at fange din opmærksomhed – som en falsk advarsel om, at din konto er blevet kompromitteret, et tilbud, der er for godt til at sige nej til, eller en anmodning om akut hjælp. Disse phishing-mails kan også komme fra forskellige kilder. For eksempel kan nogle uerfarne svindlere forsøge at bruge phishing som en service.

Du vil normalt finde et link i e-mailen, der fører til en falsk hjemmeside. På den side kan du blive narret til at indtaste følsomme data som din adgangskode, dit kreditkortnummer eller andre personlige oplysninger, som svindlerne så kan stjæle og bruge til egen vinding.

Forestil dig for eksempel, at du modtager en e-mailadvarsel, der ser ud til at være fra din bank, og som opfordrer dig til at klikke på et link for at bekræfte din identitet. Du er bekymret for dine penge og klikker på linket, som fører dig til noget, der ligner din banks hjemmeside. Uden at tænke dig om indtaster du dine login-oplysninger. Men i stedet for at sikre din konto har du klikket på et phishing-link og givet dine oplysninger til svindlere, som nu kan få adgang til din rigtige bankkonto.

Eksempler på phishing emails

Phishing-mails kan dukke op i din indbakke forklædt som beskeder fra pålidelige kilder. Hvis du ved, hvordan disse e-mails ser ud, kan du undgå at blive offer for dem.

Kryptovaluta-svindel

En phishing-mail med kryptoindbetaling vil forsøge at narre dig til at tro, at en stor mængde kryptovaluta er blevet tilføjet til din konto. Disse e-mails indeholder normalt detaljer som for eksempel det indbetalte beløb, et kunde-id og en adgangskode for at gøre beskeden mere overbevisende.

E-mailen i skærmbilledet er et klassisk eksempel på dette svindelnummer. Den hævder, at der er sat 39 Bitcoins ind på din konto, og indeholder et link til en falsk hjemmeside. Denne phishing-mail har til formål at skabe spænding og narre dig til at klikke på linket.

Banksvindel

Du modtager måske en e-mail, der hævder, at du har oprettet en ny betalingsmodtager, eller som advarer dig om mistænkelig aktivitet på din bankkonto. Disse e-mails er ofte en del af banksvindel og vil opfordre dig til at klikke på et link for at bekræfte eller verificere oplysninger. Vær forsigtig, da disse links typisk fører til falske hjemmesider, der er designet til at stjæle dine oplysninger. Nysgerrighed kan friste dig til at klikke på linket, men hvis du ikke har en konto i den pågældende bank, skal du ikke klikke på nogen links.

Phishing-mails på sociale medier

En phishing-mail fra de sociale medier kan ligne en sikkerhedsadvarsel fra Facebook, X eller Instagram. For at få dig til at gå i panik advarer den om, at din konto kan blive kompromitteret, hvis du ikke handler med det samme. Derefter opfordres du til at klikke på et link for at ændre din adgangskode. Hvis du indtaster din adgangskode, kan svindlere stjæle dine oplysninger og overtage kontrollen over din konto.

Phishing-mails i form af direktørsvindel

En cyberkriminel åbner LinkedIn og ser, at den administrerende direktør for en virksomhed er i udlandet. De sender derefter en phishing-mail til en medarbejder, der udgiver sig for at være direktør eller leder, og beder dem om at overføre penge til en udenlandsk partner for at hjælpe direktøren. Medarbejderen stoler på anmodningen og overfører hurtigt pengene – direkte til hackerens konto.

Dette scenarie er et klassisk tillidstrick, hvor svindleren udnytter offerets tillid til at begå bedrageri. Det er også kendt som et business email compromise.

‘Pakken kunne ikke leveres’

En phishing-mail med “Din pakke kunne ikke leveres” er designet til at narre dig til at klikke på ondsindede links eller udlevere personlige oplysninger. Disse e-mails udgiver sig ofte for at være fra UPS eller andre populære kurertjenester som for eksempel FedEx, GLS, PostNord eller DHL. De opfordrer dig til at klikke på et link for at omlægge leveringen eller se detaljerne. Disse e-mails er ofte eksempler på klon-phishing, hvor angriberne kopierer en legitim e-mail og erstatter linkene med ondsindede.

Linket fører typisk til en falsk hjemmeside for leveringsservice, der ser næsten identisk ud med den rigtige. Her kan du blive bedt om at indtaste personlige oplysninger som adresse, telefonnummer eller endda betalingsoplysninger. Hvis du blot klikker på linket, kan det nogle gange installere malware på din enhed – et angreb, der kaldes en drive-by-download.

Falsk Google Docs-login

I Google Docs-phishing-svindel opretter en cyberkriminel en falsk Google Docs-loginside og sender en phishing-mail for at narre dig til at logge ind. E-mailen kan se ud, som om den kommer fra en, du kender, med en emnelinje, der siger: »[Din ven] har delt et dokument på Google Docs med dig.« Når du har indtastet dine oplysninger på den falske login-side, kan den cyberkriminelle få adgang til din Google-konto.

Tillykke! Du har vundet…

Disse og lignende “Tillykke, du er dagens heldige besøgende”-mails er alle phishing-forsøg. Selv om de er velkendte, sender svindlere stadig disse phishing-mails i håb om, at begejstringen vil overskygge din vurdering af e-mailens legitimitet.

Du har modtaget en betaling…

En phishing-mail, der hævder, at du har modtaget en betaling (når du ikke forventede en), er designet til at narre dig til at klikke på ondsindede links eller udlevere personlige oplysninger. Disse e-mails indeholder normalt detaljer som beløb og afsenderens navn for at få betalingen til at se ægte ud.

Linket i e-mailen fører dig typisk til en falsk, velkendt betalingsplatform som for eksempel PayPal, der ligner den rigtige. Der bliver du måske bedt om at logge ind eller bekræfte dine kontooplysninger. Hvis du gør det, kan svindlere stjæle dine oplysninger og få adgang til din konto.

Sådan spotter du en phishing-mail

Du kan identificere phishing-mails ved at analysere deres indhold. Vær opmærksom på disse advarselstegn:

1. 1.Tjek afsenderens e-mailadresse. Svindlere bruger ofte e-mail-spoofing til at få afsenderens adresse til at se legitim ud, men et nærmere kig kan afsløre, at der er noget galt. E-mailen kan efterligne en pålidelig virksomheds adresse med små variationer, f.eks. et forkert stavet domæne (“paypall.com" i stedet for “paypal.com").
2. 2.Vær på vagt over for generiske hilsner. Svindlere bruger ofte generiske hilsner i phishing-mails for hurtigt at nå ud til store grupper. I stedet for at personliggøre e-mailen med dit navn, bruger de måske en generisk hilsen som “Kære kunde” for at spare tid og udvide deres målgruppe.
3. 3.Vær varsom med presserende haste-beskeder. Ingen legitim virksomhed vil nogensinde presse dig til at træffe hurtige beslutninger ved at true med at annullere dine ordrer eller suspendere din konto. Phishing-mails (som f.eks. UPS' eller PostNord phishing-mails) skaber ofte en følelse af, at det haster, og fremkalder panik ved at opfordre dig til at handle hurtigt og træffe forhastede beslutninger.
4. 4.Se efter grammatiske fejl og stavefejl. Svindlere bruger ofte ikke så lang tid på at tjekke om teksten skrevet på grammatisk korrekt dansk.
5. 5.Hold øje med mistænkelige vedhæftninger. Det er ikke kun mistænkelige filtyper som .zip, .exe eller .scr, der bør vække opsigt – selv pålidelige formater som PDF'er og Word-filer kan være risikable. Så tænk dig om en ekstra gang, før du klikker på en vedhæftet fil.
6. 6.Pas på e-mails, der tilbyder dig gaver eller penge. E-mails, der er for gode til at være sande, lokker dig ofte med løfter om gaver eller penge, hvis du klikker på et link eller åbner en vedhæftet fil. Hvis afsenderen er ukendt, eller du ikke forventede beskeden, er det højst sandsynligt en fælde.

Hvad skal jeg gøre, hvis jeg modtager en phishing-mail?

Det kan være foruroligende at få en phishing-mail, især hvis du er usikker på, hvordan du skal håndtere den. Men bare rolig. Hvis der lander en i din indbakke, skal du bare huske at:

• Undgå at klikke på links eller åbne vedhæftninger. De kan være skadelige.
• Undlade at svare på eller på anden måde involvere dig i afsenderen. Det er simpelthen bedst blot at ignorere dem.
• Anmeld mailen, og slet den derefter for at undgå, at du på et senere tidspunkt kommer til at svare på den eller klikke på en vedhæftning i den.

Sådan anmelder du en phishing-mail

Hver eneste anmeldelse tæller. Ved at dele din oplevelse hjælper du myndighederne med at opspore svindlere og forhindre dem i at ramme flere mennesker. Du kan anmelde phishing-mails fra ukendte afsendere på flere måder.

• Internationalt: Videresend phishingmails til Anti-Phishing Working Group (APWG) på reportphishing@apwg.org.
• I USA: Anmeld phishing-angreb til Federal Trade Commission (FTC) via deres hjemmeside.
• I Storbritannien: Anmeld phishing-angreb til National Cyber Security Centre (NCSC) ved at videresende e-mailen til report@phishing.gov.uk.
• I Australien: Følgende enhed tager sig af disse anmeldelser: The Australian Competition and Consumer Commission (ACCC).
• I Europa: Se EUROPOL for at finde ud af, hvor du skal anmelde mailen i dit land.

Du kan også anmelde phishing-mails direkte til din e-mailudbyder. De fleste e-mailtjenester tilbyder en “Anmeld phishing”-mulighed.

Sådan undgår du at blive offer for svindel med phishing-mails

De fleste phishing-forsøg er ikke særligt sofistikerede, og du kan ofte spotte dem med sund fornuft og SLAM-metoden. Men efterhånden som phishing-mails udvikler sig og bliver mere udfordrende at genkende, kan man komme langt med et par ekstra tips til at undgå dem.

Stol ikke udelukkende på spamfiltre

De fleste e-mailudbydere straffer brugere, der sender phishing-mails, ved at sende deres beskeder direkte til spammappen. Men snedige kriminelle finder ofte nye måder at omgå disse filtre på. Overvej at bruge anti-phishing-software til at scanne indgående e-mails og opdage phishing-forsøg i tide. Du kan også se på vores vejledning til hvordan du stopper phishing-mails.

Dobbelttjek det annoncerede produkt

Hvis du modtager en e-mail med tilbud om billetter til en dyr rejse, skal du dobbelttjekke, om tilbuddet er gyldigt, før du klikker på et link. Nysgerrighed er naturligt, men før du deler følsomme oplysninger, skal du først søge efter tilbuddet på Google. Og husk: Hvis det lyder for godt til at være sandt, så er det sandsynligvis et fupnummer.

Brug kreditkort med lav kreditgrænse

Overvej at bruge et separat kreditkort til onlinekøb for at forhindre en hacker i at tømme din bankkonto. Du kan også bruge et virtuelt kreditkort til enkeltstående eller tilbagevendende betalinger for at beskytte din hovedkonto.

Brug firewalls

En firewall fungerer som en buffer mellem din computer og onlinetrusler og hjælper med at reducere risikoen for, at phishing-angreb når frem til din enhed. Ved at blokere mistænkelig trafik og forhindre adgang til risikable websteder er firewalls et nyttigt værktøj til at opdage phishing.

Undgå pop-ups

Pop-op-vinduer ligner ofte legitime dele af en hjemmeside, men de fleste er phishing-forsøg. Overvej at bruge NordVPNs Threat Protection Pro™-funktion, som blokerer pop op-vinduer, bannerannoncer og videoannoncer.

Brug multifaktorgodkendelse (MFA)

MFA tilføjer et ekstra lag af beskyttelse til dine konti. Selv hvis en phishing-mail narrer dig til at udlevere din adgangskode, skal angriberen stadig bruge et ekstra verifikationstrin – som en kode sendt til din telefon eller genereret af en app – for at få adgang til din konto.

Undgå at dele personlige oplysninger

Jo færre personlige oplysninger du deler, jo færre detaljer kan angribere stjæle og bruge mod dig. At reducere mængden af delte oplysninger hjælper med at beskytte dig mod datatyveri. Det gør også phishing-mails uden personlige oplysninger lettere at spotte som falske, hvilket gør det mindre sandsynligt, at du falder for dem.

Opdater din software regelmæssigt

Softwareopdateringer retter sikkerhedsfejl, som hackere kan bruge i phishing-angreb eller databrud. Hvis du holder din software opdateret, reducerer du risikoen for, at disse sårbarheder bliver udnyttet mod dig.