Hvad er vishing, og hvordan beskytter du dig mod det?

Hvad er vishing egentlig, når alt kommer til alt? Selve ordet er en sammentrækning af de engelske termer ‘voice’ og ‘phishing’. Det er en type af social engineering-angreb, som minder en hel del om phishing, fordi det bedrager det udsete offer og spiller på følelser som frygt, grådighed eller panik for at franarre folk penge eller vigtige oplysninger.

Man kan på sin vis godt kalde vishing for en slags ‘phone vishing’, for det er reelt det, der foregår. Hvor phishing-angreb udføres på diverse platforme via SMS, e-mail og hjemmesider, udføres vishing-angreb udelukkende via telefonen. Men missionen er stadig den samme, om så der er tale om vishing eller phishing: Offeret skal franarres penge eller anden for form vigtig oplysning, der senere kan benyttes til at hacke eller stjæle fra den pågældende person.

Vishing-angreb udføres via telefonen, og de pågældende opkald kan se ud som om, de kommer fra enten din bank, Skat, det lokale politi, et fragtselskab eller sågar fra en ven eller et familiemedlem. Nogle gange taler du med en rigtig person, andre gange er der lagt en besked på din telefonsvarer, der beder dig ringe tilbage på et bestemt nummer. Her vil du oftest blive mødt af en bot, der beder dig indtaste dine personlige oplysninger for at kunne blive omstillet. Det bliver du imidlertid ikke. Men i stedet sender du dine oplysninger direkte til en hacker.

Vishing-angreb bliver hele tiden forfinet og stadig mere sofistikeret, da hackere i højere grad er begyndt at implementere AI og deep fake i deres angreb. På den måde er det blevet langt sværere at kende forskel på virkelighed og fiktion. Din chefs stemme kan således imiteres og sågar din vens stemme eller nogen fra din familie.

Folk, der udfører vishing-angreb, kan benytte sig af flere forskellige indgangsvinkler som platform for deres angreb. Vi ser her på de væsentligste af slagsen:

Denne type vishing-angreb vil foregive at være fra en virksomhed, du enten er kunde hos, eller som du kender godt i forvejen. Det kan også være en virksomhed, der ringer med gode tilbud. Det kan tage sig ud som følger:

• Et bilforsikringsselskab, der tilbyder dig forlængelse af din forsikring.
• Et kreditkortselskab, som ringer med fantastiske tilbud.
• Et rejsebureau, der ringer for at tilbyde et gratis ophold med alt betalt.
• Et lotteri, der fortæller dig, at du har vundet en præmie, selvom du aldrig har deltaget.

Eneste krav er altid, at du enten skal betale en sum penge eller opgive dine personlige oplysninger for at få det, der bliver tilbudt. Så vær forberedt på udsagn som: ‘Du vil dog kun kunne få fingre i dette tilbud, hvis du betaler administrationsgebyret’ eller noget tilsvarende.

Der kan også være tale om vishing-angreb, som giver sig ud for at være fra højtstående offentlige instanser eller myndigheder, der spiller på din frygt. Der kan være tale om et opkald fra politiet eller fra Skat, som meddeler dig om, at du har et udestående i form af restskat eller en bøde, der skal betales. Du vil ofte blive bedt om at betale øjeblikkeligt for at undgå yderligere straf og bøde. Der kan i visse tilfælde også være tale om fup med dit CPR-nummer, hvor hele scammet udelukkende handler om at få dig til at oplyse dit personlige CPR-nummer.

Denne form for vishing-angreb tager form af at være tech-support, som kontakter dig for at advare dig om, at dit system eller din enhed skal sikkerhedsopdateres. De kan anmode om fjernadgang til din enhed, hvormed de får fuld kontrol til at kunne stjæle oplysninger eller inficere enheden med malware under dække af, at de er ved at sikkerhedsopdatere systemet.

Det kan også være dig, der kontakter dem. Eventuelt i form falske pop up-beskeder på din enhed, der advarer dig om at kontakte support, fordi din enhed er inficeret. På den måde ender mange mennesker med at gå i panik og kontakte den pågældende support. Når du så ringer, vil de forsøge at franarre dig yderligere personlige oplysninger eller bede dig om at betale for den pågældende service.

Vishing-angreb kan også foregive at være fra din bank. Her vil du eksempelvis blive mødt af en stemme, der advarer dig om, at der er foregået ukendte transaktioner på dit kreditkort, og at du derfor opfordres til at opgive dine personlige oplysninger, så de kan logge ind og tage hånd om problemet. Det, du reelt gør, er blot at aktivere det svindelnummer, som opkaldet ironisk nok har advaret dig imod.

Vishing-angreb kan også tage form af opkald fra familie eller venner. Disse angreb er ofte stilet mod den ældre befolkning, som kan have sværere ved at dechifrere fupnummeret. Det kan tage form af en ‘svigersøn’ eller en ‘svigerdatter’, som ringer for at fortælle, at han eller hun har været involveret i et uheld og har brug for hjælp. Oftest skal den nævnte hjælp bestå af en overførsel af penge, som kan hjælpe den uheldige svigersøn- eller svigerdatter ud af kniben. I stedet ender bedsteforælderen med at sende penge direkte til en vishing-hacker.

Præcist som med phishing-angreb, så handler det fremfor alt om at værne sig med sund fornuft, skepsis og en hel opmærksomhed, hvis man skal vishing-angreb til livs:

1. Hav kendskab til hvad vishing er og hvilke metoder, disse scammere tager i brug. Hvis du har læst denne artikel, er du allerede godt klædt på.
2. Buk ikke under for pres. Vishing-angrebet handler ofte om at stresse dig mest muligt og skabe en følelse af tidspres. Modtager du et opkald, du ikke kender til eller har bedt om, og bliver presset af stemmen i røret, så tøv ikke med en lægge på.
3. Besvar ikke anonyme opkald. Tag ikke imod anonyme opkald, uanset hvor nysgerrig eller presset du er. Husk på, at enhver, der ringer til dig i nød, oftest vil skrive til dig eller lægge en besked samtidig, hvis de ikke kan få fat i dig.
4. Vær skeptisk. Hvis du har en mistanke om, at nummeret der har ringet til dig er et scam, så find nummeret på den pågældende person, virksomhed, bank, instans eller andet og ring nummeret op for at høre, om det nu engang er dem, der lige har kontaktet dig.
5. Begræns det, du deler på sociale medier. Ligesom med cyberstalking kan en vishing-hacker udnytte alt, hvad du deler på dine SoMe-profiler. Her kan hackeren på forhånd få skabt sig et tilstrækkeligt billede af dig og derigennem skabe mere pålidelighed, når han eller hun ringer for at narre dig. Sørg derfor for at dele mindst muligt på sociale medier. Eller gør dine konti så private som overhovedet muligt.
6. Træn dine ansatte i sikkerhedsanliggender. Hvis du har en virksomhed, bør du lære dine ansatte om de forskellige typer af vishing- og phishing-angreb. På den måde er de på forkant med truslen, hvis den opstår.
7. Vær opmærksom på almindelig praksis. Husk altid, at hverken din bank eller andre offentlige instanser vil bede dig oplyse dine personlige oplysninger over telefonen.
8. Benyt en VPN. Hackere, der gør brug af vishing-metoder, vil også ofte kunne tracke dig online. Din IP-adresse afslører i den forbindelse meget om din geografiske placering, så hackeren kan se, hvor du er på ethvert givent tidspunkt. Med en VPN vil du derimod kunne maskere din IP-adresse, således at hackeren ikke længere kan afkode din geografiske placering.