Hopp over innhold

Phishing, Smishing og Vishing | Beste Praksis

Phishing, smishing og vishing er sosiale ingeniørangrep som brukes av nettkriminelle i forsøk på å skaffe personlig informasjon eller installere skadelig programvare for å tillate dem å utføre svindel, ofte økonomisk svindel.

Til det formålet bruker angriperen et elektronisk middel til å sende innhold som lar hen for eksempel simulere et ekte merke, utgi seg for å være en pålitelig kilde i et forsøk på å få offeret til å gi sensitiv informasjon eller plante skadevare, i dette tilfellet ved å bruke ondsinnede vedlegg. Når denne teknikken brukes via SMS kalles det smishing. På telefon (stemme) kalles det vishing. Denne teknikken kan også brukes gjennom direktemeldinger på sosiale medier som WhatsApp.

Å vite hvilke metoder nettkriminelle bruker og hvordan du kan identifisere dem, kan hjelpe deg å unngå å bli et offer.

Tre ulike metoder for nettsvindel med mål om å skaffe personlig informasjon eller installere skadelig programvare

Phishing er en metode for nettangrep som prøver å lure ofre til å klikke på falske lenker sendt via e-post. Koblingen fører vanligvis til en tilsynelatende legitim nettside som ber om sensitiv informasjon eller fører til nedlastning av en fil som inneholder skadevare.

Smishing er en type svindel som ligner på phishing, bortsett fra at det kommer i form av en tekstmelding. En smishing tekst inneholder vanligvis en falsk lenke. Ved å følge koblingen og instruksjonene som er gitt, ender offeret opp med å installere skadevare, som vanligvis vil tjene til å lette angriperen i å oppnå ulovlig økonomisk vinning over offeret.

Falske anrop eller talemeldinger faller inn under kategorien «vishing». Nettkriminelle ringer mulige ofre, ofte ved hjelp av forhåndsinnspilte robocall, og utgir seg for å være et legitimt selskap for å be om personlig informasjon fra et offer.

Hva er phishing?

Phishing er en metode for nettangrep som prøver å lure ofre til å klikke på falske lenker sendt via e-post. Koblingen fører vanligvis til en tilsynelatende legitim nettside som ber om sensitiv informasjon eller fører til nedlastning av en fil som inneholder skadevare.

Et klassisk eksempel er å motta en e-post som informerer deg om at bankkontoen din er blokkert og ber deg klikke på en leke for å få tilgang igjen. Koblingen fører til et falskt skjema som samler inn informasjonen din, og derfra kan de få tilgang til kontoen og stjele pengene dine.

Hva er smishing?

Smishing er en type svindel som ligner på phishing, bortsett fra at det kommer i form av en tekstmelding. En smishing tekst inneholder vanligvis en falsk lenke. Ved å følge koblingen og instruksjonene som er gitt, ender offeret opp med å installere skadevare, som vanligvis vil tjene til å lette angriperen i å oppnå ulovlig økonomisk vinning over offeret.

Disse smishing tekstmeldingene kan se ut som hasteforespørsler sendt fra en bank eller pakkeleveringstjeneste. Det kan være lett å falle for denne svindelen hvis du tror du må handle raskt for å løse et presserende problem og ikke tar skritt for å bekrefte sannheten til meldingen.

Hva er vishing?

Falske anrop eller talemeldinger faller inn under kategorien «vishing». Nettkriminelle ringer mulige ofre, ofte ved hjelp av forhåndsinnspilte robocall, og utgir seg for å være et legitimt selskap for å be om personlig informasjon fra et offer.

For eksempel for å bekrefte opplysningene dine med banken eller for å utvide bilforsikringsdekningen. Hvis du svarer, kan du bli betjent av en antatt agent og kan bli bedt om å oppgi personlig informasjon.

Hvordan forhindre phishing, smishing og vishing-angrep

For å unngå å bli et offer for phishing, smishing eller vishing, er det noen få regler du bør følge. Disse kan direkte beskytte deg mot svindel og redusere sannsynligheten for å bli et mål.

  • Ikke klikk på vedlegg eller lenker i e-poster, uønskede meldinger eller mistenkelige SMS.
  • Når du blir kontaktet, bekreft legitimiteten til den opprinnelige e-postadressen, profilen eller telefonnummeret.
  • Vurder alltid aktualiteten, eller timingen av innholdet i e-poster, direktemeldinger, SMS eller telefonsamtaler.
  • Ikke del personopplysninger eller følg instruksjoner uten å bekrefte sannheten av forespørselen fra andre kilder – for eksempel fra bankens kontoansvarlige eller en linjeleder.
  • Vær forsiktig med meldinger med formelle språkfeil, men stol heller ikke på alle meldinger bare fordi de ikke har formelle språkfeil.
  • I organisasjoner, utfør simulerte phishing- og smishing-angrep, og muligens vishing, for å øke bevisstheten og oppmerksomhetsnivået til disse angrepene.
  • Ikke del sensitive data på sosiale nettverk, da dette kan gi informasjon til mulige angripere som ønsker å drive spear phishing (phishing rettet mot en bestemt person).
  • Rapporter til organisasjonens IT- sikkerhetsansvarlige eller til myndighetene når du er et mål eller offer for et slikt angrep.
  • Vær oppmerksom og ikke la deg overtale uten ettertanke av autoritære forespørsler, løfter eller pressende forespørsler.