Sikkerhedsfolkenes vedvarende råd gennem mange år har været: Klik aldrig på en spam-besked.
Men det er som om, at vi ikke rigtig kan forstå budskabet, for vi klikker af hjertets lyst, hvilket igen betyder, at spam-folkene bliver ved med at sende nye beskeder.
Ifølge sikkerhedsfirmaet Verizon åbnes cirka 30 procent af alle de fremsendte phishing-beskeder, og omkring 12 procent af modtagerne klikker også på et bilag eller et link, som de absolut ikke burde klikke på.
Læs også: Disse danskere klikker mest på phishing-beskeder
Disse tal er fra 2016, men året før så det faktisk bedre ud. Her var det, ifølge Verizon, kun 23 procent, der åbnede fuskerbeskederne.
Med andre ord ser det ikke ud til at sikkerhedseksperternes anbefalinger trænger ind.
Når de it-kriminelle sætter spam-beskederne i den rigtige sammenhæng, så klikker vi.
Læs eksempelvis denne historie: 25.000 danskere gået i kuponsvindel-fælde på Facebook på blot seks timer: "Det spredte sig som en steppebrand"
Og det er faktisk ganske skidt at åbne spam-beskeder, hvilket de seneste års mange ransomware-angreb er helt klokkeklare eksempler på.
Læs også: Danmark er blevet ramt af ransomware-angreb 150.000 gange siden nytår
Og: Ramt af ransomware: Den dag hackere krypterede 8.000 dokumenter på Aage Krogsdams computer
"Vi kunne undgå en masse problemer med eksempelvis ransomware, der låser computere eller telefoner," siger sikkerhedsekspert i firmaet Knowbe4, Stu Sjouwerman, til vores amerikanske søsterside.
Han taler om de syv dødssynder, som gør, at vi klikker og lader os snyde: Nysgerrighed, høflighed, godtroenhed, grådighed, tankeløshed, generthed og apati.
Dem tager de it-kriminelle med i overvejelserne, når der skal udformes phishing- og spam-beskeder, og her er fem beskidte kneb, der ifølge sikkerhedsmanden går rent ind.
1. Den officielle mail
Net-brugerne er mere agtpågivende, når de modtager en mail, hvor emnelinjen indeholder ord som "gavekort" eller har relation til sociale medier, end hvis emnelinjen er forsynet med jobrelaterede ord, viser en undersøgelse fra virksomheden Wombat Technologies.
Paraderne sænkes, når en mail ser officiel og arbejdsrelateret ud. Emneordene kunne være "Faktura" eller "Tag et kig på dette cv".
Ifølge undersøgelsen åbnede 28 procent af brugerne også en mail, hvor der i emnefeltet blev beskrevet, at et password havde behov for at blive skiftet.
Mails, der udgiver sig for at være fra banker eller eksempelvis omhandler NemID, er ligeledes effektive. Ofte anvendes disse etablerede institutioner som fluepapir.
Læs eksempelvis: Nets: I øjeblikket er vi ramt af en phishing-bølge
Beskeder, der er målrettet til tjenester som eksempelvis din Apple-konto, er et andet meget benyttet kneb.
"De fleste nærlæser ikke, hvor mailen kommer fra, de klikker, før de tænker," siger sikkerhedsekspert Ronald Nutter til Computerworld i USA. Han har skrevet bogen 'The Hackers Are Coming, How to Safely Surf the Internet'.
Han anbefaler alle, der sender filer til partnere eller underleverandører til at benytte et sikkert filoverførselssystem, så modtageren kan være sikker på, hvor filen kommer fra.
Kommer filen fra en ukendt modtager, skal alle advarselslamperne blinke, lyder det fra ham.
2. Du har en voice-besked
De sidste par år har bluffmagere forsøgt at installere ondsindet malware gennem mails, der ligner interne talebeskeder, der er blevet misset.
"Ved at forfalske afsenderen kan lang de fleste lokkes til at åbne en besked om en misset voice-mail i indbakken," siger Stu Sjouwerman.
3. Gratis er (ikke) godt
Rigtig mange har svært ved at modstå et gratis tilbud, ligegyldigt om det handler om et gavekort til dagligvarebutikken Fakta eller gratis software.
Her er der næsten klikgaranti.
Specielt websteder, hvor man kan hente 'gratis' software kan være luskede. Ofte følger der mere med i den downloade fil, du vælger at klikke på, end du har lyst til at modtage.
Det gode råd fra sikkerhedseksperterne er, at du først og fremmest skal kontrollere, om din arbejdsplads har en licens til et program, der kan anvendes til opgaven.
Hvis du har behov for at hente gratis software, så gå til producentens officielle webside, når du vil downloade.
4. Falske indbydelser
Sikkerhedsfirmaet Proofpoint advarer mod forfalskede konti på eksempelvis LinkedIn, som en smutvej ind på din maskine.
Det kan eksempelvis handle om en konto, der udgives sig for at være en relevant person i din virksomhed eller i dit arbejdsnetværk, der sender en kontaktanmodning.
"En medarbejder kan blive glad, smigret og stolt over, at et medlem af ledelsen eller en agtet samarbejdspartner vil kommunikere. Derved kan vedkommende - uden at tænke over det - udlevere følsomme oplysninger om personer eller om organisationen," siger Devin Redmond, der er ansvarlig for digital sikkerhed i Proofpoint.
Det gode råd i denne sammenhæng er at kontakte personen, der vil være LinkedIn-venner, via arbejdspladsens mail og kontrollere, at de virkelig har spurgt om forbindelsen til dig.
5. Sociale medier - den nye vej ind
Surf på Facebook, Twitter og andre sociale medier på arbejdet kan være en anden vej ind i sikkerhedsproblemer.
Læs også: Fem råd: Sådan skal du bare IKKE gøre på Facebook
Det er således et andet område, hvor bevidstheden ikke er så høj blandt medarbejderne.
"Husk altid på, at skurken har et formål om at tjene penge," siger Devin Redmond til Computerworld i USA.
"I stedet for at sende 1.000 spammails for at få bid kan det være langt mere effektivt med et enkelt opslag på de sociale medier," siger han.
De sociale medier bruges også til dataindsamling om virksomheder ansatte, hvilket kan give bagslag på chefgangene i form at CEO Fraud, der blandt andet har ramt to danske virksomheder, som blev forsøgt snøret for 140 millioner kroner.
De udmønter sig typisk i målrettede mails, til eksempelvis regnskabsafdelingen, hvor det er chefen i firmaet, der står som afsender.
Her forsøger de kriminelle så at få overført penge til deres egne konti i udlandet.
Læs mere her: To danske virksomheder snøret for 140 millioner gennem direktør-phishing
Du kan få gode råd til at undgå denne type mails her: Svindlere automatiserer målrettet phishing - dette skal du passe på
Læs også:
Sådan træner banken ansatte mod social engineering
