Vad är vishing och hur skyddar man sig mot det?

Vad är vishing?

Vishing bygger på någonting som kallas för social ingenjörskonst, vilket är ett samlingsbegrepp för manipulationsstrategier. Angriparen samlar information om offret och använder sedan det han hittar för att få åtkomst till ytterligare känslig information. Det kan leda till att bedragaren får tillgång till ett konto, en plats, en privat tjänst eller personliga uppgifter. Bedragare av denna sorten utger sig ofta för att vara betrodda personer med auktoritet, till exempel anställda på en bank, kundtjänst på ett företag och i vissa fall även anhöriga.

Hur fungerar vishing?

Alla vishing-attacker följer ett snarlikt mönster. Det börjar med att angriparen kontaktar offret via telefonsamtal och försöker skapa förtroende. Detta är det viktigaste steget i attacken eftersom hela konceptet bygger på att offret är övertygat om att angriparen är en legitim aktör. För att försöka framstå som institutionen eller företaget de försöker efterlikna kan de bland annat förfalska sitt nummer, använda personlig information som offret antar enbart pålitliga aktörer har tillgång till eller få ärendet att verka brådskande.

När förtroendet är etablerat manipulerar angriparen offret ytterligare för att han eller hon ska avslöja värdefull information, föra över pengar, eller logga in via BankID. Just BankID används ofta som attackvektor här i Sverige. Se till att alltid kontrollera vad det är du signerar över BankID och signera aldrig någonting om du blir ombedd över telefon, såvida du inte på egen hand tog kontakt med banken.

Exempel på vishing

Det finns många olika metoder som hackare kan använda. Dessa är de mest vanligt förekommande vishing-bedrägerierna som du bör känna till:

Telefonförsäljning

Bedrägerier som kontaktar offer via telefonförsäljning använder ofta attraktiva erbjudanden, investeringsmöjligheter eller priser som lockbete. Bedragarna sätter press på offret, försöker skynda på processen och lockar med erbjudanden för att försöka få offret att lämna ifrån sig kreditkortsuppgifter, göra betalningar eller investera i erbjudanden som de annars inte hade varit intresserade av. Denna typ av vishing betyder inte nödvändigtvis att offret får känslig information stulen. Det kan helt enkelt handla om att bli övertygad att köpa någonting man annars inte varit intresserad av till ett orimligt pris.

Utger sig för att vara teknisk support eller kundtjänst

Ett vanligt knep inom vishing är att låtsas vara kundtjänst eller teknisk support. Angriparen utger sig för att vara en representant för ett välkänt programvaruföretag, en organisation, myndighet eller internetleverantör för att sedan använda denna identitet för att bygga förtroende hos offret.

Vanligt är att angriparen övertygar offret att denne utsatts för intrång eller att deras dator har skadlig mjukvara installerad. Därefter försöker bedragaren övertala offret att få fjärråtkomst till enheten så att de kan installera sin egen programvara eller få tag på känslig information. Denna typ av vishing-bedrägerier behöver dock inte alltid bestå av fjärråtkomst, utan ibland räcker det att övertyga offret genom social ingenjörskonst att överföra pengar eller ge ut information.

Utger sig för att vara en bank eller annan finansiell institution

Vishing där pengar är inblandade är ofta mer effektiva. Detta beror på att offer är mer benägna att reagera känslomässigt om det till exempel påstås att man missat en betalning, blivit bestulen eller fått böter. En vanlig metod bedragare ofta använder är att utge sig för att vara bankanställda som påstår att ett visst konto befinner sig i fara för intrång och att det är brådskande. Angriparen frågar ofta efter kortnummer, inloggningsuppgifter eller signering med BankID. Detta kan leda till att angriparen får tillgång till offrets konto och fritt kan överföra pengar. Som alltid när det gäller vishing, är det väsentligt att du inte ger ut känslig information på måfå!

Utger sig för att vara en myndighet

Vishing där bedragaren utger sig för att vara myndighet som Skatteverket eller liknande följer i stort sett samma mönster som föregående variant. Bedragaren försöker stressa offret genom att påstå att myndigheten snabbt behöver åtkomst till någonting eller att det finns en missad betalning. Om vi nu tar just Skatteverket som exempel försöker kanske bedragaren övertyga dig om att du inte betalat din skatt eller att du gjort någonting fel i deklarationen.

Utger sig för att vara en anhörig

Vishing-bedrägerier kan ibland vara väldigt kreativa. En strategi som bedragare ibland tar till är att låtsas vara en anhörig, vän eller släkting. Bedragaren försöker manipulera offrets känslor genom att utnyttja deras kärlek för familjemedlemmar och oro över deras välbefinnande. De kan till och med använda AI för att ändra sin röst så att den låter mer som personen de påstår sig vara. Bedragaren ber sedan om ekonomiskt stöd, vanligtvis i form av pengar. Målet kan också vara att helt enkelt få fram information om offret. Hursomhelst är det en effektiv strategi som man måste vara på sin vakt emot.

Skillnaden mellan vishing, phishing och smishing

Vishing, smishing och phishing (nätfiske) är likartade typer av cyberattacker där bedragare försöker lura sina offer att ge ifrån sig känslig information. Vad som skiljer metoderna åt är kommunikationskanalerna som används för att kontakta offret. Phishing utförs huvudsakligen via e-post. Angriparen skickar riktade e-postmeddelanden som ser ut att komma från legitima källor och lurar mottagarna att avslöja personlig information eller att klicka på skadliga länkar. Smishing är helt enkelt en förkortning för phishing-attacker som sker via SMS, och på liknande vis är vishing en förkortning av phishing-attacker som använder röstkommunikation för att lura offret. I grund och botten är alltså vishing, phishing och smishing samma typ av attack.

Så skyddar du dig mot vishing

Det finns många nackdelar med sociala medier. En av dem är att man potentiellt kan råka ut för cyberattacker av olika slag. För att skydda dig mot just vishing-attacker krävs det att du är på din vakt. Behandla alltid oönskade samtal med skepsis, särskilt de som ber om personlig och känslig information. Tänk också på att företag och myndigheter sällan ber dig om information via telefon. Om någon ringer och ber dig göra någonting, är det väsentligt att du tänker efter först och inte låter dig stressas av påtryckningar. Du bör vara på din vakt så fort någon påstår sig ringa från en bank, myndighet, företag eller organisation, men varningssignalerna borde tjuta på högsta volym om de därtill försöker sätta press på dig.

Om du får ett samtal från någon som utger sig för att vara från en pålitlig organisation, myndighet eller företag ska du inte känna press att agera hastigt. kontrollera istället personens identitet. Be om namn, organisation och kontaktuppgifter. Använd officiella kontaktuppgifter från organisationens webbplats eller betrodda källor för att bekräfta uppringarens legitimitet självständigt.

Vad ska man göra om man råkar ut för vishing?

Om du får ett samtal som du misstänker är vishing, ska du först och främst försöka ta reda på så mycket som möjligt om bedragaren. Detta är viktigt eftersom du efteråt bör rapportera incidenten till polisen eller den organisation som uppringaren påstår sig tillhöra. Om du då har mer information att ge dem beträffande bedragaren, är det lättare för dem att vidta effektiva åtgärder. Bedragare ger dock sällan ifrån sig information som kan röja deras identitet, men det är alltid värt ett försök.

Om du inte har lust att leka detektiv, är allt du behöver göra att lägga på luren så fort du inser att det rör sig om bedrägeri. Att rapportera incidenter av vishing bidrar till att öka medvetenheten och gör det smidigare för brottsbekämpande myndigheter att spåra och bekämpa bedrägerier, men det är såklart ingenting du är tvingad att göra. Om du är säker på att du inte gett ut personlig information kan du vara lugn.

För att vara helt säkert kan det dock vara en bra idé att byta lösenord och dubbelkolla så att bedragaren inte gjort intrång någon annanstans. Om du är målet för en attack, är risken att angriparna attackerar från olika håll samtidigt. Kontakta din bank, ändra din PIN-kod och se till så att du har tvåfaktorsautentisering aktiverat där det finns tillgängligt. Om du känner att det behövs, kontakta också polisen.