Fem luskede phishing-kneb: Disse svindelnumre hopper vi på igen og igen

Her er fem af spam-slynglernes yndlings-svindelnumre, når du skal snydes til at klikke dig ind i en online-fælde. Du kan også læse tips til, hvordan du undgår at ryge i fælderne.

Sikkerhedsfolkenes vedvarende råd gennem mange år har været: Klik aldrig på en spam-besked.

Men det er som om, at vi ikke rigtig kan forstå budskabet, for vi klikker af hjertets lyst, hvilket igen betyder, at spam-folkene bliver ved med at sende nye beskeder.

Ifølge sikkerhedsfirmaet Verizon åbnes cirka 30 procent af alle de fremsendte phishing-beskeder, og omkring 12 procent af modtagerne klikker også på et bilag eller et link, som de absolut ikke burde klikke på.

Læs også: Disse danskere klikker mest på phishing-beskeder

Disse tal er fra 2016, men året før så det faktisk bedre ud. Her var det, ifølge Verizon, kun 23 procent, der åbnede fuskerbeskederne.

Med andre ord ser det ikke ud til at sikkerhedseksperternes anbefalinger trænger ind.

Når de it-kriminelle sætter spam-beskederne i den rigtige sammenhæng, så klikker vi.

Læs eksempelvis denne historie: 25.000 danskere gået i kuponsvindel-fælde på Facebook på blot seks timer: "Det spredte sig som en steppebrand"

Og det er faktisk ganske skidt at åbne spam-beskeder, hvilket de seneste års mange ransomware-angreb er helt klokkeklare eksempler på.

Læs også: Danmark er blevet ramt af ransomware-angreb 150.000 gange siden nytår

Og: Ramt af ransomware: Den dag hackere krypterede 8.000 dokumenter på Aage Krogsdams computer

"Vi kunne undgå en masse problemer med eksempelvis ransomware, der låser computere eller telefoner," siger sikkerhedsekspert i firmaet Knowbe4, Stu Sjouwerman, til vores amerikanske søsterside.

Han taler om de syv dødssynder, som gør, at vi klikker og lader os snyde: Nysgerrighed, høflighed, godtroenhed, grådighed, tankeløshed, generthed og apati.

Dem tager de it-kriminelle med i overvejelserne, når der skal udformes phishing- og spam-beskeder, og her er fem beskidte kneb, der ifølge sikkerhedsmanden går rent ind.

1. Den officielle mail
Net-brugerne er mere agtpågivende, når de modtager en mail, hvor emnelinjen indeholder ord som "gavekort" eller har relation til sociale medier, end hvis emnelinjen er forsynet med jobrelaterede ord, viser en undersøgelse fra virksomheden Wombat Technologies.

Paraderne sænkes, når en mail ser officiel og arbejdsrelateret ud. Emneordene kunne være "Faktura" eller "Tag et kig på dette cv".

Ifølge undersøgelsen åbnede 28 procent af brugerne også en mail, hvor der i emnefeltet blev beskrevet, at et password havde behov for at blive skiftet.

Mails, der udgiver sig for at være fra banker eller eksempelvis omhandler NemID, er ligeledes effektive. Ofte anvendes disse etablerede institutioner som fluepapir.

Læs eksempelvis: Nets: I øjeblikket er vi ramt af en phishing-bølge

Beskeder, der er målrettet til tjenester som eksempelvis din Apple-konto, er et andet meget benyttet kneb.

"De fleste nærlæser ikke, hvor mailen kommer fra, de klikker, før de tænker," siger sikkerhedsekspert Ronald Nutter til Computerworld i USA. Han har skrevet bogen 'The Hackers Are Coming, How to Safely Surf the Internet'.

Han anbefaler alle, der sender filer til partnere eller underleverandører til at benytte et sikkert filoverførselssystem, så modtageren kan være sikker på, hvor filen kommer fra.

Kommer filen fra en ukendt modtager, skal alle advarselslamperne blinke, lyder det fra ham.

2. Du har en voice-besked
De sidste par år har bluffmagere forsøgt at installere ondsindet malware gennem mails, der ligner interne talebeskeder, der er blevet misset.

"Ved at forfalske afsenderen kan lang de fleste lokkes til at åbne en besked om en misset voice-mail i indbakken," siger Stu Sjouwerman.

3. Gratis er (ikke) godt
Rigtig mange har svært ved at modstå et gratis tilbud, ligegyldigt om det handler om et gavekort til dagligvarebutikken Fakta eller gratis software.

Her er der næsten klikgaranti.

Læs også: 25.000 danskere gået i kuponsvindel-fælde på Facebook på blot seks timer: "Det spredte sig som en steppebrand"

Specielt websteder, hvor man kan hente 'gratis' software kan være luskede. Ofte følger der mere med i den downloade fil, du vælger at klikke på, end du har lyst til at modtage.

Det gode råd fra sikkerhedseksperterne er, at du først og fremmest skal kontrollere, om din arbejdsplads har en licens til et program, der kan anvendes til opgaven.

Hvis du har behov for at hente gratis software, så gå til producentens officielle webside, når du vil downloade.

4. Falske indbydelser
Sikkerhedsfirmaet Proofpoint advarer mod forfalskede konti på eksempelvis LinkedIn, som en smutvej ind på din maskine.

Det kan eksempelvis handle om en konto, der udgives sig for at være en relevant person i din virksomhed eller i dit arbejdsnetværk, der sender en kontaktanmodning.

"En medarbejder kan blive glad, smigret og stolt over, at et medlem af ledelsen eller en agtet samarbejdspartner vil kommunikere. Derved kan vedkommende - uden at tænke over det - udlevere følsomme oplysninger om personer eller om organisationen," siger Devin Redmond, der er ansvarlig for digital sikkerhed i Proofpoint.

Det gode råd i denne sammenhæng er at kontakte personen, der vil være LinkedIn-venner, via arbejdspladsens mail og kontrollere, at de virkelig har spurgt om forbindelsen til dig.

5. Sociale medier - den nye vej ind
Surf på Facebook, Twitter og andre sociale medier på arbejdet kan være en anden vej ind i sikkerhedsproblemer.

Læs også: Fem råd: Sådan skal du bare IKKE gøre på Facebook

Det er således et andet område, hvor bevidstheden ikke er så høj blandt medarbejderne.

"Husk altid på, at skurken har et formål om at tjene penge," siger Devin Redmond til Computerworld i USA.

"I stedet for at sende 1.000 spammails for at få bid kan det være langt mere effektivt med et enkelt opslag på de sociale medier," siger han.

Læs også: 25.000 danskere gået i kuponsvindel-fælde på Facebook på blot seks timer: "Det spredte sig som en steppebrand"

De sociale medier bruges også til dataindsamling om virksomheder ansatte, hvilket kan give bagslag på chefgangene i form at CEO Fraud, der blandt andet har ramt to danske virksomheder, som blev forsøgt snøret for 140 millioner kroner.

De udmønter sig typisk i målrettede mails, til eksempelvis regnskabsafdelingen, hvor det er chefen i firmaet, der står som afsender.

Her forsøger de kriminelle så at få overført penge til deres egne konti i udlandet.

Læs mere her: To danske virksomheder snøret for 140 millioner gennem direktør-phishing

Du kan få gode råd til at undgå denne type mails her: Svindlere automatiserer målrettet phishing - dette skal du passe på

Læs også:
Sådan træner banken ansatte mod social engineering




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Harddiske: Så meget er prisen for lagerplads pr. gigabyte faldet
Tilbage i midten af 90’erne kostede en enkelt gigabyte 4.200 kroner. I dag ser prisen helt anderledes ud, men udviklingen er gået i stå.
CIO
Global it-boss: Du kan ikke lede en tech-virksomhed gennem et regneark - fornemmelse for teknologien er afgørende
Interview: Ledelsesgangen i en techvirksomhed må ikke være et gemmested for chefen. Hvis du vil have succes som leder i dag, skal du have hænderne nede i skidtet. Den amerikanske tech-topchef Pat Gelsinger guider dig her til succes som leder.
Comon
Skræmmende dokumentarfilm fremstiller berømt it-sikkerhedsekspert som skingrende sindsyg og farlig
En amerikansk dokumentarfilm der i øjeblikket kan ses på Netflix tegner et uhyggeligt billede af den mand, som millioner af computerbrugere over hele verden har lagt deres cybersikkerhed i hænderne på.
Job & Karriere
Se listen: Disse it-folk bliver ansat på stedet - cheferne skriger efter helt bestemte it-kompetencer
Der er en markant mangel på it-folk med helt bestemte kompetencer samtidig med, at it-cheferne er i gang med at øge bemandingen i it-organisationerne. Se listen med de mest efterspurgte it-kompetencer netop nu.
White paper
Sådan vælger du business intelligence-løsning
I dette whitepaper undersøger vi, hvilke faktorer du skal være opmærksom på, når du vælger din kommende BI-løsning