Slik beskytter du deg mot phishing-angrep via e-post

Hva er en phishing-angrep e-post?

Phishing-angrep e-poster bruker URL-phishing-angrep teknikker for å lure deg til å klikke på skadelige lenker. Svindlere kan lokke deg med en spennende avtale, skremme deg med en falsk trussel eller late som om de er noen du stoler på, for eksempel et familiemedlem eller en kjent tjeneste. Målet deres er å få deg til å klikke på en lenke som virker trygg, men som fører til et ondsinnet nettsted.

Begrepet "phishing" kommer fra "fiske" fordi kriminelle kaster ut falskt "agn" i håp om at du vil "bite" ved å klikke på ondsinnede lenker og oppgi sensitiv informasjon som kredittkortopplysninger, passord eller kontonumre.

Hvordan fungerer phishing-angrep e-poster?

Phishing-angrep Phishing-e-poster fungerer ved å late som om de kommer fra en legitim kilde, for eksempel banken din, arbeidsgiveren din eller til og med en venn eller et familiemedlem. Disse e-postene inneholder ofte en melding designet for å fange oppmerksomheten din – som en falsk advarsel om at kontoen din har blitt kompromittert, et tilbud som er for godt til å gå glipp av, eller en forespørsel om akutt hjelp. Phishing-e-poster kan komme fra ulike kilder og variere i kompleksitet. For eksempel bruker erfarne phishere vanligvis tilleggstaktikker, som e-postforfalskning, mens noen uerfarne svindlere kan prøve å bruke phishing som en tjeneste.

Det er vanligvis en lenke i e-posten som fører deg til et falskt nettsted. På den siden kan du bli lurt til å skrive inn sensitive data, som passordet ditt, kredittkortnummeret eller andre personlige detaljer som svindlerne kan stjele og bruke for egen gevinst.

Tenk deg for eksempel at du mottar en e-postadvarsel som ser ut til å komme fra banken din, og som ber deg klikke på en lenke for å bekrefte identiteten din. Du blir bekymret for pengene dine og klikker på lenken, som tar deg til det som ser ut som bankens nettside. Uten å tenke deg om skriver du inn påloggingsinformasjonen din. Men i stedet for å sikre kontoen din, har du klikket på en phishing-angrep-lenke og gitt informasjonen din til svindlere som nå kan få tilgang til din ekte bankkonto.

Eksempler på phishing-angrep e-post

Phishing-e-poster kan dukke opp i innboksen din forkledd som meldinger fra pålitelige kilder. Å vite hvordan disse e-postene ser ut kan hjelpe deg med å unngå å bli et offer for dem.

Svindel med kryptovaluta

En phishing-e-post med kryptoinnskudd vil prøve å lure deg til å tro at en stor mengde kryptovaluta er lagt til kontoen din. Disse e-postene inkluderer vanligvis detaljer som beløpet som er satt inn, en kunde-ID og et passord for å gjøre meldingen mer overbevisende.

E-posten i skjermbildet er et klassisk eksempel på denne svindelen. Den hevder at 39 Bitcoins har blitt satt inn på kontoen din og inkluderer en lenke til en falsk nettside. Denne phishing-e-posten har som mål å skape spenning og lure deg til å klikke på lenken.

Banksvindel

Det kan hende du mottar en e-post som hevder at du har konfigurert en ny betalingsmottaker eller advarer deg om mistenkelig aktivitet på bankkontoen din. Disse e-postene er ofte en del av en banksvindel og vil oppfordre deg til å klikke på en lenke for å bekrefte detaljer. Vær forsiktig, siden disse lenkene vanligvis fører til uredelige nettsteder designet for å stjele informasjonen din. Nysgjerrighet kan friste deg til å klikke på lenken, men hvis du ikke har en konto hos den banken – ikke klikk på noen lenker.

Sosiale medier phishing-angrep e-post

En phishing-e-post på sosiale medier kan se ut som et sikkerhetsvarsel fra Facebook, Twitter eller Instagram. For å få deg til å få panikk, advarer den om at kontoen din kan bli kompromittert hvis du ikke foretar deg noe umiddelbart. Deretter oppfordres du til å klikke på en lenke for å endre passordet ditt. Hvis du skriver inn passordet ditt, kan svindlere stjele legitimasjonen din og ta kontroll over kontoen din.

Phishing-angrep e-post fra en administrerende direktør

En nettkriminell åpner LinkedIn og legger merke til at administrerende direktør i et selskap er i utlandet. De sender deretter en phishing-e-post til en ansatt, der de utgir seg for å være administrerende direktør eller en leder, og ber dem overføre midler til en utenlandsk partner for å hjelpe den administrerende direktøren. Den ansatte, som stoler på forespørselen, overfører raskt pengene – direkte til hackerens konto.

Dette scenariet er et klassisk selvtillitstriks, der svindleren utnytter offerets tillit til å begå svindel. Det er også kjent som en bedriftssvindel.

Pakkelevering mislyktes

En "pakkelevering mislyktes" phishing-e-post er laget for å lure deg til å klikke på skadelige lenker eller gi bort personlig informasjon. Disse e-postene hevder ofte å være fra PostNord eller andre populære budtjenester som FedEx eller DHL. De oppfordrer deg til å klikke på en lenke for å legge nye planer for leveringen eller se detaljene. Disse e-postene er ofte eksempler på klone phishing-angrep, der angripere kopierer en legitim e-post og erstatter koblingene med ondsinnede.

Lenken fører vanligvis til en falsk leveringstjenesteside som ser nesten identisk ut med den ekte. Når du er der, kan du bli bedt om å angi personlig informasjon, som adresse, telefonnummer eller til og med betalingsdetaljer. Bare å klikke på lenken kan noen ganger installere skadelig programvare på enheten din – et angrep kjent som en drive-by-nedlasting.

Falsk Google Docs-pålogging

I en phishing-angrep  med Google Dokumenter oppretter en nettkriminell en falsk påloggingsside og sender en phishing-angrep e-post for å lure deg til å logge på. E-posten kan se ut som om den er fra noen du kjenner, med en emnelinje som sier: «[Din venn] har delt et dokument på Google Dokumenter med deg.» Når du skriver inn informasjonen din på den falske påloggingssiden, kan nettkriminelle få tilgang til Google-kontoen din.

Gratulerer! Du har vunnet…

Disse og lignende «Gratulerer, du er dagens heldige besøkende»-e-poster er alle forsøk på phishing. Selv om de er lett gjenkjennelige, sender svindlere fortsatt disse phishing-e-postene i håp om at spenningen vil overstyre din vurdering av e-postens legitimitet.

Du har mottatt en betaling på...

En phishing-e-post som hevder at du har mottatt en betaling (når du ikke forventet en) er laget for å lure deg til å klikke på ondsinnede lenker eller gi bort personlig informasjon. Disse e-postene inneholder vanligvis detaljer som beløpet og avsenderens navn for å få betalingen til å virke ekte.

Lenken i e-posten tar deg vanligvis til en falsk, velkjent betalingsplattform som PayPal, som ser ut som den ekte. Når du er der, kan du bli bedt om å logge på eller bekrefte kontodetaljene dine. Hvis du gjør det, kan svindlere stjele legitimasjonen din og få tilgang til kontoen din.

Hvordan oppdage en phishing-angrep e-post

Du kan identifisere phishing-e-poster ved å analysere innholdet. Vær spesielt oppmerksom på dette:

1. 1.Sjekk avsenderens e-postadresse. Svindlere bruker ofte e-postforfalskning  or å få avsenderens adresse til å se legitim ut, men en nærmere titt kan avsløre at noe er feil. E-posten kan etterligne en pålitelig bedriftsadresse med små variasjoner, for eksempel et feilstavet domene ("paypall.com" i stedet for "paypal.com").
2. 2.Vær forsiktig med generiske hilsener. Svindlere bruker ofte generiske hilsener i phishing-e-poster for å nå store grupper raskt. I stedet for å tilpasse e-posten med navnet ditt, kan de bruke en generisk hilsen som "Kjære kunde" for å spare tid og utvide målgruppen.
3. 3.Pass på hastemeldinger. Ingen legitim virksomhet vil noen gang forhaste deg til å ta raske avgjørelser ved å true med å kansellere bestillingene dine eller suspendere kontoen din. Phishing-e-poster (som UPS-phishing-e-poster) skaper ofte en følelse av at det haster og fremkaller panikk, og oppfordrer deg til å handle raskt og ta forhastede beslutninger.
4. 4.Se etter stavefeil og grammatiske feil. Svindlere tar seg vanligvis ikke tid til å sjekke at språket deres er korrekt.
5. 5.Se etter mistenkelige vedlegg. Det er ikke bare mistenkelige filtyper som .zip, .exe eller .scr som skal heve et rødt flagg – selv pålitelige formater som PDF-er og Word-filer kan være risikable. Så ta deg tid til å tenke to ganger før du klikker på et vedlegg.
6. 6.Pass deg for e-poster som tilbyr deg gaver eller penger. E-poster som er for gode til å være sanne, lokker deg ofte inn med løfter om gaver eller penger hvis du klikker på en lenke eller åpner et vedlegg. Hvis avsenderen er ukjent eller du ikke forventet meldingen, er det mest sannsynlig en felle.

Du kan også ta en titt på guiden vår for å lære mer om hvordan du oppdager en phishing-e-post.

Hva bør du gjøre hvis du mottar en phishing-e-post?

Å få en phishing-e-post kan være ubehagelig, spesielt hvis du ikke er sikker på hvordan du skal håndtere det. Men ikke bekymre deg – hvis en slik e-post dukker opp i innboksen din, husk å:

• Unngå å klikke på lenker eller åpne vedlegg. De kan inneholde skadelig programvare.
• Ikke svar eller gå i dialog med avsenderen. Det er best å ignorere e-posten helt.
• Rapporter e-posten og slett den for å unngå å klikke på noe ved en feil.

Hvordan rapportere en phishing-e-post

Hver eneste rapport teller. Når du sier ifra, hjelper du myndighetene med å spore opp svindlere og forhindre at de rammer flere. Du kan rapportere phishing-e-poster fra ukjente avsendere på flere måter:

• Internasjonalt: Videresend e-posten til Anti-Phishing Working Group (APWG) på reportphishing@apwg.org.
• USA: Meld fra til Federal Trade Commission (FTC) via deres nettside.
• Storbritannia: Videresend e-posten til National Cyber Security Centre (NCSC) på report@phishing.gov.uk.
• Australia: Kontakt Australian Competition and Consumer Commission (ACCC).
• Europa: Gå til EUROPOL sine nettsider for å finne rapporteringslenke for ditt land.

Du kan også rapportere phishing direkte til e-postleverandøren din. De fleste har en funksjon som lar deg merke e-posten som "phishing".

Hvordan unngå å bli lurt av phishing-e-poster

De fleste phishing-forsøk er ikke spesielt avanserte, og kan avsløres med sunn fornuft og bruk av SLAM-metoden. Likevel blir svindelmetodene stadig mer sofistikerte. Her er noen ekstra tips for å unngå å bli offer:

Ikke stol kun på søppelpostfilteret

De fleste e-posttjenester sender mistenkelige e-poster rett til søppelpost, men svindlere finner stadig nye måter å komme forbi filtrene på. Bruk gjerne et eget anti-phishing-program for å skanne innkommende e-poster. Du kan også ta en titt på vår guide til hvordan du kan stoppe phishing e-poster.

Sjekk produktet som reklameres for

Får du en e-post med tilbud om gratisbilletter eller luksusreiser, undersøk om tilbudet faktisk finnes. Søk på Google før du klikker, og husk: Hvis det høres for godt ut til å være sant, så er det sannsynligvis det.

Bruk et kredittkort med lav kredittgrense

For netthandel kan det være lurt å bruke et separat kredittkort med lav grense, eller et virtuelt kort for å unngå store tap dersom du skulle bli lurt. Disse er spesielt godt egnet for repeterende betalinger slik at du ikke eksponerer kontoen din. 

Bruk brannmur

En brannmur fungerer som et beskyttende lag mellom enheten din og internett. Den blokkerer mistenkelig trafikk og kan hindre phishing-forsøk i å nå frem. Brannmurer har praktiske funksjoner for å oppdage phishing. 

Unngå pop-up-vinduer

Pop-ups kan virke som en del av nettsiden, men mange er forsøk på phishing. Bruk funksjoner som Threat Protection Pro™ fra NordVPN for å blokkere slike vinduer og annonser.

Aktiver tofaktorautentisering (MFA)

MFA gir en ekstra sikkerhetsbarriere. Selv om noen skulle få tak i passordet ditt, trenger de fortsatt en verifiseringskode – for eksempel sendt til mobilen din – for å få tilgang. Dette gir deg et ekstra lag med sikkerhet dersom du skulle være uheldig nok til å få eksponert passordet ditt.

Unngå å dele personlig informasjon

Jo mindre personlig informasjon du deler, jo mindre kan svindlere utnytte. Mindre info ute på nett gjør det også lettere å avsløre falske e-poster som upersonlige og dermed svindel. Derfor er det lurt å huske at mindre personlig informasjon på nett, kan redusere risikoen for datatyveri. 

Oppdater programvaren jevnlig

Oppdateringer tetter sikkerhetshull som svindlere kan utnytte i phishing eller datainnbrudd. Sørg for at både operativsystem og programmer er oppdatert for best mulig beskyttelse. Dette gjelder alle enheter som er koblet til nettverket ditt, ikke bare PC-er.