Sådan undgår du phishing

Hacking er blevet hverdag for både private og virksomheder. Med denne serie artikler vil vi sætte fokus på nogle af de mest udbredte trusler for private danskere – og gode råd til, hvordan du undgår at blive ramt. Serien af artikler kommer til at handle om bl.a. phishing, ransomware, malware, passwords, identitets-tyveri mm.

I denne omgang tager vi fat på begrebet ”phishing”, som især foregår via e-mail. Målet er at stjæle penge fra dig, fx ved at få adgang til din netbank eller sælge personlige oplysninger som cpr-nummer eller passwords videre.

”Mange bliver med rette utrygge, hvis nogen stjæler 200 kroner inde i deres netbank. Selv ved små beløb må man naturligt overveje, hvad hackeren ellers kunne have foretaget sig” siger Benjamin Nordentoft Vejgaard, som er chef for Security Systems i it-virksomheden KMD.

”Phishing er blevet en voldsomt stor forretning og kan ramme alle. Hackerne er blevet så gode, at deres falske e-mails og beskeder er blevet meget troværdige. Det kan være næsten umuligt at kende forskel for de fleste mennesker, inklusive mig selv. Så det er en god ide at tænke sig grundigt om, før du klikker på et link i en mail eller en besked,” siger Benjamin Nordentoft Vejgaard.

Hvad er phishing?

Phishing er en type it-kriminalitet, hvor hackere prøver at lokke dig til at give dem fortrolige oplysninger. Det kan være alt fra navn og adresse over passwords til din Facebook-side eller e-mail og til oplysninger om dit kreditkort. Målet er at stjæle penge eller oplysninger fra dig.

Phishing foregår primært ved at sende millioner af e-mails ud til uskyldige personer, men du kan også blive ramt af phishing i form af fx sms’er (også kaldet ”smishing”) eller beskeder på Facebook.

Når hackere sender dig en phishing-mail, vil de typisk lokke dig til at klikke på et link til en hjemmeside. Den hjemmeside vil se ægte og autentisk ud og kan til forveksling ligne en tjeneste, som du kender. Her vil du blive bedt om at indtaste forskellige oplysninger. Så snart du trykker OK, bliver dine oplysninger sendt direkte videre til de kriminelle, som kan misbruge dem.

En typisk phishing-mail kan ligne en rigtig e-mail fra din chef (også kaldet ”whaling”) eller en officiel e-mail fra en tjeneste, som du allerede bruger. Det kan være din netbank, Skat, din email-leverandør, andre betalingsløsninger som Paypal eller en konto på et socialt medie. I den falske e-mail får du fx besked på, at

  • Du skal aktivere din konto ved at trykke på et link
  • Du skal overføre penge for en faktura
  • Der er et problem med din konto
  • Din konto vil blive spærret, hvis du ikke reagerer med det samme
  • Du har vundet en præmie – fx et gavekort, jetoner eller point i et spil
  • Du skal validere login- eller kreditkort-oplysninger

Du kan se et tidligere eksempel på en falsk mail, som skal forestille at komme fra Skat herunder – eller se flere eksempler på skat.dk.

Eksempel på falsk email fra SKAT

Hvordan kan du beskytte dig mod phishing?

”Hvis nogen kræver personlige informationer, bør du stoppe op og tænke dig grundigt om, før du klikker på noget eller indtaster dine oplysninger. Din bank eller offentlige myndigheder vil for eksempel aldrig bede dig om den slags oplysninger,” siger Benjamin Nordentoft Vejgaard.

”Det handler mest af alt om at ændre adfærd og lade være med at acceptere alt for pålydende. Eller som de siger i USA: Stop og tænk, før du går videre,” siger han.

Gode råd til at undgå phishing:

1. Har du fået en mail fra en ukendt person eller virksomhed?

Hvis du ikke kender afsenderen, og du heller ikke har ventet at få denne mail, bør du undgå at klikke på links i mailen eller åbne en vedhæftet fil. Mailen kan sagtens indeholde dit navn og andre korrekte oplysninger, men det giver ingen garanti for, at det ikke er svindel. Markér mailen som spam og/eller slet den.

2. Bliver du bedt om personlige eller følsomme oplysninger?

Her bør en advarselslampe tændes. Din bank, offentlige myndigheder, virksomheder og etablerede digitale tjenester vil aldrig bede dig om den slags oplysninger i en mail – heller ikke om det til forveksling ligner en mail fra din bank eller Skat. Der er stor risiko for, at det er phishing, og du bør aldrig klikke på links eller åbne vedhæftede filer.

3. Hvis du i er tvivl, så kontakt afsenderen

Phishing-mails kan i dag se meget troværdige ud. Kriminelle kan have opsnuset informationer om dig, din familie eller dit arbejde, som får deres henvendelse til at se ægte ud. Hvis du fx bliver bedt om oplysninger eller at overføre penge, bør du kontakte afsenderen for at bekræfte ønsket. Du skal ikke kontakte afsenderen ved at svare på mailen. I stedet bør du finde et telefonnummer eller en officiel email-adresse via en søgemaskine.

4. Tast adresser ind i stedet for at klikke på links

Hvis du ikke har tillid til en e-mail eller en hjemmeside, så lad være med at klikke på links. I stedet kan du indtaste fx skat.dk i browseren og finde det område, som mailen handler om.

5. Undgå at downloade vedhæftede filer automatisk

I nogle email-programmer er det muligt at sætte programmet til automatisk at åbne vedhæftede filer eller afvikle JavaScript. Det bør du slå fra, for du risikerer at afvikle indhold fra ukendte kilder.

6. Opdater og brug dit antivirus-program

Selv om du har tillid til en e-mail, bør du få din computer til at scanne vedhæftede filer, før du åbner dem.

Hvorfor hedder det egentlig ”phishing” med ph?

Man kan næsten høre på ordet phishing, at det hænger tæt sammen med det engelske ord for at fiske – fishing – for med phishing kaster de kriminelle deres net i form af millioner af e-mails ud over uskyldige personer.

Den alternative staveform med ph kommer fra tidlige hackere i 1950erne i USA. Her kunne hackere fx undgå at betale for langdistance-opkald ved at udnytte telefonnetværket. De blev kaldt for ”phreaks”, som er en kombination af phone (ph-) og freaks (-reaks). Staveformen phishing er dermed en reference til nogle af de første hackere.