Fem luskede phishing-kneb: Disse svindelnumre hopper vi på igen og igen

Her er fem af spam-slynglernes yndlings-svindelnumre, når du skal snydes til at klikke dig ind i en online-fælde. Du kan også læse tips til, hvordan du undgår at ryge i fælderne.

Sikkerhedsfolkenes vedvarende råd gennem mange år har været: Klik aldrig på en spam-besked.

Men det er som om, at vi ikke rigtig kan forstå budskabet, for vi klikker af hjertets lyst, hvilket igen betyder, at spam-folkene bliver ved med at sende nye beskeder.

Ifølge sikkerhedsfirmaet Verizon åbnes cirka 30 procent af alle de fremsendte phishing-beskeder, og omkring 12 procent af modtagerne klikker også på et bilag eller et link, som de absolut ikke burde klikke på.

Læs også: Disse danskere klikker mest på phishing-beskeder

Disse tal er fra 2016, men året før så det faktisk bedre ud. Her var det, ifølge Verizon, kun 23 procent, der åbnede fuskerbeskederne.

Med andre ord ser det ikke ud til at sikkerhedseksperternes anbefalinger trænger ind.

Når de it-kriminelle sætter spam-beskederne i den rigtige sammenhæng, så klikker vi.

Læs eksempelvis denne historie: 25.000 danskere gået i kuponsvindel-fælde på Facebook på blot seks timer: "Det spredte sig som en steppebrand"

Og det er faktisk ganske skidt at åbne spam-beskeder, hvilket de seneste års mange ransomware-angreb er helt klokkeklare eksempler på.

Læs også: Danmark er blevet ramt af ransomware-angreb 150.000 gange siden nytår

Og: Ramt af ransomware: Den dag hackere krypterede 8.000 dokumenter på Aage Krogsdams computer

"Vi kunne undgå en masse problemer med eksempelvis ransomware, der låser computere eller telefoner," siger sikkerhedsekspert i firmaet Knowbe4, Stu Sjouwerman, til vores amerikanske søsterside.

Han taler om de syv dødssynder, som gør, at vi klikker og lader os snyde: Nysgerrighed, høflighed, godtroenhed, grådighed, tankeløshed, generthed og apati.

Dem tager de it-kriminelle med i overvejelserne, når der skal udformes phishing- og spam-beskeder, og her er fem beskidte kneb, der ifølge sikkerhedsmanden går rent ind.

1. Den officielle mail
Net-brugerne er mere agtpågivende, når de modtager en mail, hvor emnelinjen indeholder ord som "gavekort" eller har relation til sociale medier, end hvis emnelinjen er forsynet med jobrelaterede ord, viser en undersøgelse fra virksomheden Wombat Technologies.

Paraderne sænkes, når en mail ser officiel og arbejdsrelateret ud. Emneordene kunne være "Faktura" eller "Tag et kig på dette cv".

Ifølge undersøgelsen åbnede 28 procent af brugerne også en mail, hvor der i emnefeltet blev beskrevet, at et password havde behov for at blive skiftet.

Mails, der udgiver sig for at være fra banker eller eksempelvis omhandler NemID, er ligeledes effektive. Ofte anvendes disse etablerede institutioner som fluepapir.

Læs eksempelvis: Nets: I øjeblikket er vi ramt af en phishing-bølge

Beskeder, der er målrettet til tjenester som eksempelvis din Apple-konto, er et andet meget benyttet kneb.

"De fleste nærlæser ikke, hvor mailen kommer fra, de klikker, før de tænker," siger sikkerhedsekspert Ronald Nutter til Computerworld i USA. Han har skrevet bogen 'The Hackers Are Coming, How to Safely Surf the Internet'.

Han anbefaler alle, der sender filer til partnere eller underleverandører til at benytte et sikkert filoverførselssystem, så modtageren kan være sikker på, hvor filen kommer fra.

Kommer filen fra en ukendt modtager, skal alle advarselslamperne blinke, lyder det fra ham.

2. Du har en voice-besked
De sidste par år har bluffmagere forsøgt at installere ondsindet malware gennem mails, der ligner interne talebeskeder, der er blevet misset.

"Ved at forfalske afsenderen kan lang de fleste lokkes til at åbne en besked om en misset voice-mail i indbakken," siger Stu Sjouwerman.

3. Gratis er (ikke) godt
Rigtig mange har svært ved at modstå et gratis tilbud, ligegyldigt om det handler om et gavekort til dagligvarebutikken Fakta eller gratis software.

Her er der næsten klikgaranti.

Læs også: 25.000 danskere gået i kuponsvindel-fælde på Facebook på blot seks timer: "Det spredte sig som en steppebrand"

Specielt websteder, hvor man kan hente 'gratis' software kan være luskede. Ofte følger der mere med i den downloade fil, du vælger at klikke på, end du har lyst til at modtage.

Det gode råd fra sikkerhedseksperterne er, at du først og fremmest skal kontrollere, om din arbejdsplads har en licens til et program, der kan anvendes til opgaven.

Hvis du har behov for at hente gratis software, så gå til producentens officielle webside, når du vil downloade.

4. Falske indbydelser
Sikkerhedsfirmaet Proofpoint advarer mod forfalskede konti på eksempelvis LinkedIn, som en smutvej ind på din maskine.

Det kan eksempelvis handle om en konto, der udgives sig for at være en relevant person i din virksomhed eller i dit arbejdsnetværk, der sender en kontaktanmodning.

"En medarbejder kan blive glad, smigret og stolt over, at et medlem af ledelsen eller en agtet samarbejdspartner vil kommunikere. Derved kan vedkommende - uden at tænke over det - udlevere følsomme oplysninger om personer eller om organisationen," siger Devin Redmond, der er ansvarlig for digital sikkerhed i Proofpoint.

Det gode råd i denne sammenhæng er at kontakte personen, der vil være LinkedIn-venner, via arbejdspladsens mail og kontrollere, at de virkelig har spurgt om forbindelsen til dig.

5. Sociale medier - den nye vej ind
Surf på Facebook, Twitter og andre sociale medier på arbejdet kan være en anden vej ind i sikkerhedsproblemer.

Læs også: Fem råd: Sådan skal du bare IKKE gøre på Facebook

Det er således et andet område, hvor bevidstheden ikke er så høj blandt medarbejderne.

"Husk altid på, at skurken har et formål om at tjene penge," siger Devin Redmond til Computerworld i USA.

"I stedet for at sende 1.000 spammails for at få bid kan det være langt mere effektivt med et enkelt opslag på de sociale medier," siger han.

Læs også: 25.000 danskere gået i kuponsvindel-fælde på Facebook på blot seks timer: "Det spredte sig som en steppebrand"

De sociale medier bruges også til dataindsamling om virksomheder ansatte, hvilket kan give bagslag på chefgangene i form at CEO Fraud, der blandt andet har ramt to danske virksomheder, som blev forsøgt snøret for 140 millioner kroner.

De udmønter sig typisk i målrettede mails, til eksempelvis regnskabsafdelingen, hvor det er chefen i firmaet, der står som afsender.

Her forsøger de kriminelle så at få overført penge til deres egne konti i udlandet.

Læs mere her: To danske virksomheder snøret for 140 millioner gennem direktør-phishing

Du kan få gode råd til at undgå denne type mails her: Svindlere automatiserer målrettet phishing - dette skal du passe på

Læs også:
Sådan træner banken ansatte mod social engineering




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Så mange vilde ting accepterer du ved at klikke 'accept' til brugerbetingelserne på dit nye fjernsyn
Massiv data-indsamling over alle sete programmer, anvendelse af optagelser af din stemme og ok til at andre kan indsamle data er blot nogle af de ting, som du siger ja til for at anvende dit nye smart-tv.
CIO
Dansk it-kæmpe omskoler 400 it-udviklere og 50 teams i stort projekt
Interview: Jan Peter Larsen står som udviklingsdirektør i BEC i spidsen for et agilt transformationsprojekt, der ikke bare inkluderer 400 udviklere fordelt på 50 teams, men også topledelsen i BEC. Her fortæller han om arbejdet med at blive mere agil.
Comon
Anmeldelse: Nintendos nye Zelda-spil overrasker som det stærkeste åben-verdens eventyr i år
Nintendo kigger mod fremtiden og byder på fabelagtig eventyr med The Legend of Zelda: Breath of the Wild.
Channelworld
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.