Sådan beskytter du penge og personlige data på internettet

2024 Forfatter: Malcolm Clapton | [email protected]. Sidst ændret: 2023-12-17 03:51

Jo bedre informeret du er, jo sværere er det at bedrage dig. Her er alt, hvad du behøver at vide om phishing med Microsoft.

Find endnu flere tips til, hvordan du beskytter dig selv mod digitale trusler.

Hvad er phishing, og hvor farligt er det

Phishing er en almindelig form for cybersvindel, hvis formål er at kompromittere og kapre konti, stjæle kreditkortoplysninger eller enhver anden fortrolig information.

Oftest bruger cyberkriminelle e-mail: for eksempel sender de breve på vegne af en velkendt virksomhed og lokker brugere til deres falske hjemmeside under påskud af en rentabel kampagne. Offeret genkender ikke det falske, indtaster login og adgangskode fra sin konto, og dermed overfører brugeren selv dataene til svindlerne.

Enhver kan lide. Automatiserede phishing-e-mails er oftest rettet mod et bredt publikum (hundredetusinder eller endda millioner af adresser), men der er også angreb rettet mod et specifikt mål. Oftest er disse mål topledere eller andre medarbejdere, der har privilegeret adgang til virksomhedens data. Denne personlige phishing-strategi kaldes hvalfangst, hvilket oversættes som "fange hvaler".

Konsekvenserne af phishing-angreb kan være ødelæggende. Svindlere kan læse din personlige korrespondance, sende phishing-beskeder til din kontaktkreds, hæve penge fra bankkonti og generelt handle på dine vegne i bred forstand. Hvis du driver en virksomhed, er risikoen endnu større. Phishere er i stand til at stjæle virksomhedshemmeligheder, ødelægge følsomme filer eller lække dine kunders data, hvilket skader virksomhedens omdømme.

Ifølge rapporten om phishing-aktivitetstendenser fra Anti-Phishing Working Group opdagede cybersikkerhedseksperter alene i sidste kvartal af 2019 mere end 162.000 svigagtige websteder og 132.000 e-mail-kampagner. I løbet af denne tid er omkring tusind virksomheder fra hele verden blevet ofre for phishing. Det er stadig uvist, hvor mange angreb der ikke blev opdaget.

Evolution og typer af phishing

Udtrykket "phishing" kommer fra det engelske ord "fishing". Denne type fidus ligner virkelig fiskeri: Angriberen kaster agnen i form af en falsk besked eller et link og venter på, at brugerne bider.

Men på engelsk staves phishing lidt anderledes: phishing. Digrafen ph bruges i stedet for bogstavet f. Ifølge en version er dette en henvisning til ordet falsk ("bedrager", "svindler"). På den anden side - til subkulturen af tidlige hackere, som blev kaldt phreakers ("phreakers").

Det menes, at udtrykket phishing først blev brugt offentligt i midten af 1990'erne på Usenet-nyhedsgrupper. På det tidspunkt lancerede svindlere de første phishing-angreb rettet mod kunder hos den amerikanske internetudbyder AOL. Angriberne sendte beskeder og bad om at bekræfte deres legitimationsoplysninger og udgav sig for at være virksomhedens ansatte.

Med udviklingen af internettet er der dukket nye typer af phishing-angreb op. Svindlere begyndte at forfalske hele websteder og mestrede forskellige kanaler og kommunikationstjenester. I dag kan der skelnes mellem sådanne typer phishing.

• E-mail-phishing. Svindlere registrerer en postadresse svarende til adressen på et velkendt firma eller en bekendt til det udvalgte offer og sender breve fra det. Samtidig kan et falsk brev ved navn på afsender, design og indhold være næsten identisk med originalen. Kun inde er der et link til et falsk websted, inficerede vedhæftede filer eller en direkte anmodning om at sende fortrolige data.
• SMS-phishing (smishing). Denne ordning ligner den forrige, men SMS bruges i stedet for e-mail. Abonnenten modtager en besked fra et ukendt (normalt kort) nummer med en anmodning om fortrolige data eller med et link til et falsk websted. For eksempel kan en hacker præsentere sig selv som en bank og anmode om den bekræftelseskode, som du modtog tidligere. Faktisk har svindlere brug for koden for at hacke sig ind på din bankkonto.
• Phishing på sociale medier. Med udbredelsen af instant messengers og sociale medier har phishing-angreb også oversvømmet disse kanaler. Angribere kan kontakte dig gennem falske eller kompromitterede konti fra velkendte organisationer eller dine venner. Ellers adskiller angrebets princip sig ikke fra de foregående.
• Telefon phishing (vishing). Svindlere er ikke begrænset til tekstbeskeder og kan ringe til dig. Oftest bruges internettelefoni (VoIP) til dette formål. Den, der ringer op, kan for eksempel udgive sig for at være en medarbejder i dit betalingssystems supporttjeneste og anmode om data for at få adgang til tegnebogen - angiveligt til verifikation.
• Søg efter phishing. Du kan støde på phishing direkte i søgeresultaterne. Det er nok at klikke på linket, der fører til det falske websted og efterlade personlige data på det.
• Pop-up phishing. Angribere bruger ofte pop-ups. Besøger du en tvivlsom ressource, kan du se et banner, der lover nogle fordele - for eksempel rabatter eller gratis produkter - på vegne af en velkendt virksomhed. Ved at klikke på dette link vil du blive ført til et websted, der kontrolleres af cyberkriminelle.
• Landbrug. Ikke direkte relateret til phishing, men landbrug er også et meget almindeligt angreb. I dette tilfælde forfalsker angriberen DNS-dataene ved automatisk at omdirigere brugeren i stedet for de originale websteder til de falske. Offeret ser ingen mistænkelige beskeder og bannere, hvilket øger effektiviteten af angrebet.

Phishing fortsætter med at udvikle sig. Microsoft talte om nye teknikker, som Microsoft 365 Advanced Threat Protection anti-phishing-tjeneste opdagede i 2019. For eksempel har svindlere lært at skjule ondsindet materiale bedre i søgeresultater: legitime links vises øverst, som fører brugeren til phishing-websteder gennem flere omdirigeringer.

Derudover begyndte cyberkriminelle automatisk at generere phishing-links og nøjagtige kopier af e-mails på et kvalitativt nyt niveau, som giver dem mulighed for mere effektivt at bedrage brugere og omgå sikkerhedsforanstaltninger.

Til gengæld har Microsoft lært at identificere og blokere nye trusler. Virksomheden har brugt al sin viden om cybersikkerhed til at skabe pakken Microsoft 365. Den leverer de løsninger, du har brug for til din virksomhed, samtidig med at den sikrer, at dine oplysninger er effektivt beskyttet, herunder mod phishing. Microsoft 365 Advanced Threat Protection blokerer ondsindede vedhæftede filer og potentielt skadelige links i e-mails, registrerer ransomware og andre trusler.

Sådan beskytter du dig selv mod phishing

Forbedre dine tekniske færdigheder. Som man siger, er den, der er advaret, bevæbnet. Undersøg informationssikkerhed på egen hånd eller rådfør dig med eksperter. Selv blot det at have et solidt kendskab til det grundlæggende i digital hygiejne kan spare dig for mange problemer.

Vær forsigtig. Følg ikke links eller åbne vedhæftede filer i breve fra ukendte samtalepartnere. Tjek venligst omhyggeligt kontaktoplysningerne på afsenderne og adresserne på de websteder, du besøger. Svar ikke på anmodninger om personlige oplysninger, selv når beskeden ser troværdig ud. Hvis en repræsentant for virksomheden beder dig om oplysninger, er det bedre at ringe til deres callcenter og rapportere situationen. Klik ikke på pop-ups.

Brug adgangskoder klogt. Brug en unik og stærk adgangskode til hver konto. Abonner på tjenester, der advarer brugere, hvis adgangskoder til deres konti vises på nettet, og skift straks adgangskoden, hvis den viser sig at være kompromitteret.

Konfigurer multifaktorgodkendelse. Denne funktion beskytter desuden kontoen, for eksempel ved at bruge engangsadgangskoder. I dette tilfælde skal du, hver gang du logger ind på din konto fra en ny enhed, ud over adgangskoden, indtaste en kode på fire eller seks tegn, der sendes til dig via SMS eller genereres i en speciel applikation. Det virker måske ikke særlig bekvemt, men denne tilgang vil beskytte dig mod 99% af almindelige angreb. Når alt kommer til alt, hvis svindlere stjæler adgangskoden, vil de stadig ikke være i stand til at komme ind uden en bekræftelseskode.

Brug adgangskodeløse login-faciliteter. I disse tjenester bør du, hvor det er muligt, helt opgive brugen af adgangskoder, erstatte dem med hardwaresikkerhedsnøgler eller autentificering gennem en applikation på en smartphone.

Brug antivirussoftware. Opdateret antivirus vil delvist hjælpe med at beskytte din computer mod malware, der omdirigerer til phishing-websteder eller stjæler logins og adgangskoder. Men husk, at din primære beskyttelse stadig er overholdelse af digitale hygiejneregler og overholdelse af anbefalinger om cybersikkerhed.

Hvis du driver en virksomhed

Følgende tips vil også være nyttige for virksomhedsejere og virksomhedsledere.

Uddanne medarbejdere. Forklar til underordnede, hvilke beskeder der skal undgås, og hvilke oplysninger der ikke bør sendes via e-mail og andre kommunikationskanaler. Forbyd medarbejdere at bruge firmapost til personlige formål. Instruer dem i, hvordan man arbejder med adgangskoder. Det er også værd at overveje en politik for opbevaring af meddelelser: For eksempel kan du af sikkerhedsmæssige årsager slette meddelelser, der er ældre end en vis periode.

Udfør træning af phishing-angreb. Hvis du vil teste dine medarbejderes reaktion på phishing, så prøv at fake et angreb. Registrer f.eks. en postadresse, der ligner din, og send breve fra den til underordnede og beder dem om at give dig fortrolige data.

Vælg en pålidelig posttjeneste. Gratis e-mail-udbydere er for sårbare over for forretningskommunikation. Virksomheder bør kun vælge sikre virksomhedstjenester. For eksempel har brugere af Microsoft Exchange-mailtjenesten, som er en del af Microsoft 365-pakken, omfattende beskyttelse mod phishing og andre trusler. For at imødegå svindlere analyserer Microsoft hundredvis af milliarder af e-mails hver måned.

Hyr en cybersikkerhedsekspert. Hvis dit budget tillader det, skal du finde en kvalificeret professionel, der vil yde løbende beskyttelse mod phishing og andre cybertrusler.

Hvad skal du gøre, hvis du er et offer for phishing

Hvis der er grund til at tro, at dine data er faldet i de forkerte hænder, skal du handle med det samme. Tjek dine enheder for virus, og skift kontoadgangskoder. Informer bankpersonalet om, at dine betalingsoplysninger kan være blevet stjålet. Informer om nødvendigt kunderne om den potentielle lækage.

For at forhindre sådanne situationer i at gentage sig, skal du vælge pålidelige og moderne samarbejdstjenester. Produkter med indbyggede beskyttelsesmekanismer er bedst egnede: det vil fungere så bekvemt som muligt, og du behøver ikke at risikere digital sikkerhed.

For eksempel indeholder Microsoft 365 en række smarte sikkerhedsfunktioner, herunder beskyttelse af konti og logins mod kompromis med en indbygget risikovurderingsmodel, adgangskodeløs eller multifaktorgodkendelse, der ikke kræver yderligere licenser.

Derudover giver tjenesten dynamisk adgangskontrol med risikovurdering og under hensyntagen til en lang række forhold. Microsoft 365 indeholder også indbygget automatisering og dataanalyse, og giver dig også mulighed for at kontrollere enheder og beskytte information mod lækage.