Tenk deg at du plutselig mottar en e-post fra banken din som ber deg klikke på en lenke for å bekrefte kontoinformasjonen din.
Du har ikke gjort noe som skulle kreve denne bekreftelsen, men alt i e-posten ser autentisk ut – språket, bankens logo og alt annet.
Men er det virkelig banken din som har sendt den?
Du har nok blitt utsatt for phishing - en av de mest utbredte formene for cyberangrep i dag.
Ifølge en rapport fra Cofense, starter hele 90% av datainnbrudd med phishing. Denne rapporten legger også til at helse- og finanssektoren er spesielt utsatt, sannsynligvis fordi de håndterer svært sensitiv informasjon.
Nesten 1,2% av alle sendte e-poster er skadelige. Dette betyr at hele 3,4 milliarder phishing-e-poster sendes ut hver eneste dag.
Med andre ord: Det er kritisk å være ekstra oppmerksom på phishing-angrep som kan ramme hvem som helst.
I denne artikkelen går vi gjennom hvordan phishing fungerer, de ulike typene og hvordan man kan avsløre slike angrep.
Hva er phishing?
Phishing, også kalt nettfisking, er en teknikk hackere bruker for å lure deg til å gi bort personlig informasjon. Man kan si at disse svindlerne prøver å “fiske” etter informasjonen din.
Målet deres er å samle så mye informasjon som mulig, slik at de kan logge seg på dine systemer og kontoer.
Det finnes flere ulike metoder for å oppnå dette, men de fleste blir lurt ved å trykke på en phishing-lenke de har fått tilsendt.
Verdt å få med seg er at hele 35% av løsepengevirus-angrep starter med phishing-e-poster. Det er derfor lurt å være på vakt med hva som renner inn i innboksen.
Vekst i phishing-angrep per år:
Det er derfor lurt å være på vakt med hva som renner inn i innboksen.
Hvordan fungerer phishing?
Phishing innebærer at angriperen sender falske lenker eller skadelige vedlegg for å lure deg til å utføre en handling. For å være overbevisende, utgir de seg ofte for å være noen du stoler på, som en kollega eller et troverdig selskap som Skatteetaten, DNB eller Telenor.
Hvordan klarer de å overbevise deg?
De finner noe du ikke kan motstå, som troverdige fildelingstjenester som bedrifter ikke blokkerer, eller skreddersyr teksten med en vanskelig avslørbar avsender.
Eksempel: Du mottar en e-post fra "IT-avdelingen" med emnet "Viktig sikkerhetsoppdatering" og en lenke til en troverdig nettside for passordoppdatering.
Når du klikker på lenken og skriver inn påloggingsdetaljene dine, sendes denne informasjonen direkte til angriperen, som får tilgang til sensitive systemer.
Grunner til at phishing kan være katastrofalt for bedriften din
Phishing kan ha alvorlige konsekvenser for bedrifter. Ta en titt på de tre av de verste konsekvensene:
- Økonomisk tap
Phishing-angrep kan føre til store økonomiske tap for bedriften din.
Hva inkluderer dette?
Jo, direkte tap fra stjålne midler, bøter og erstatning og kostnader for å gjenopprette systemer og data. Ifølge IBM er gjennomsnittskostnaden for et datainnbrudd på hele 4,45 millioner dollar, det vil si cirka 47 615 000 norske kroner.
- Det kan skade bedriftens omdømme
Et phishing-angrep kan alvorlig skade bedriftens omdømme.
Hvis det kommer ut offentlig at bedriften har gått gjennom et phishing-angrep, kan kunder og partnere miste tilliten til bedriften. Nettopp fordi de kan begynne å tvile på bedriftens evne til å beskytte deres informasjon.
- Tap av konfidensiell informasjon
Til slutt kan phishing føre til at man mister store mengder av sensitiv eller personlig informasjon, som for eksempel kundeopplysninger, bedriftsstrategier eller forretningshemmeligheter.
På den måten kan bedriften settes i en svært sårbar posisjon, både på et juridisk nivå og på et konkurransenivå.
Hva er de fem vanligste typene av phishing?
Det finnes flere ulike kommunikasjonsmetoder innenfor phishing som angriperen kan velge å benytte seg av. Metoden de fleste velger å bruke er email phishing, men andre typer kan være via SMS eller telefon.
Her er fem forskjellige typer:
1. E-post phishing
Phishing-angrep via e-post er en av de største truslene mot sensitiv informasjon for både bedrifter og enkeltpersoner.
Visste du at hele 81% av organisasjoner verden over har opplevd en økning i phishing-angrep via e-post siden mars 2020?
Kort fortalt handler e-post-phishing om at angriperen sender en e-post med infiserte vedlegg eller lenker fra en falsk avsenderadresse.
Lenkene leder ofte til usikre sider, og derfor bør du ikke klikke på dem. Til slutt tilbyr angriperen hjelp, slik at du skal være villig til å gi fra deg informasjon eller ta kontakt.
2. SMS phishing
Visste du at mindre enn 35% av befolkningen vet hva smishing er?
SMS-phishing, også kalt smishing, er en annen form for phishing hvor angriperen prøver å lure deg ved bruk av tekstmeldinger.
Tekstmeldingen inneholder ofte en lenke eller et nummer du kan ringe for å løse et problem. Deretter blir du sendt til en nettside hvor svindleren forsøker å få deg til å oppgi sensitiv informasjon.
I USA mistet folk i gjennomsnitt 8 199 dollar hver i 2024 på grunn av skatterelaterte phishing- og smishing-svindler.
Dette betyr at flertallet er sårbare for denne typen svindel og kanskje ikke er i stand til å gjenkjenne eller beskytte seg mot smishing-forsøk.
3. Telefon-phishing
Telefon-phishing, også kalt vishing, er når svindleren utgir seg for å kontakte deg fra et norsk nummer eller IP-adresse.
De bruker en programvare for å skjule det ekte nummeret, slik at det ser ut som om samtalen kommer fra et norsk nummer. Under telefonsamtalen prøver de å få deg til å oppgi privat informasjon som de kan bruke videre.
Ifølge globale data fra Lookout, opplevde 2022 den høyeste andelen mobil phishing-angrep noensinne, med over 30% av både private og bedriftsbrukere utsatt for disse angrepene hvert eneste kvartal.
4. Spear-phishing
Spear phishing er en mer målrettet form for phishing.
I slike tilfeller vil angriperen eller hackeren skreddersy meldingen spesifikt mot en person eller bedrift. De bruker ofte informasjon de har samlet opp på forhånd om offeret for å gjøre meldingen litt mer troverdig.
For eksempel kan de bruke jobbtitler, ekte navn og annen personlig informasjon. Alt med målet om å få personen til å gi fra seg sensitiv informasjon.
5. Whaling
Whaling kan sies å være en underkategori av spear phishing. Det retter seg mot høytstående ledere eller beslutningstakere i en organisasjon, med andre ord de som er 'høyt oppe' i en bedrift.
Det som skiller disse angrepene ut, er at de ofte er svært sofistikerte og kan involvere omfattende research for å etterligne ekte forretningskommunikasjoner.
Målet?
Skaffe seg tilgang til konfidensiell informasjon eller rett og slett stjele penger.
Hvordan avsløre phishing-angrep? 5 grep du kan ta i dag
Det er først og fremst du som har et personlig ansvar for å beskytte deg mot phishing, nemlig ved å være på vakt.
For å styrke evnen din til å avsløre slike angrep, er det flere forhåndsregler du kan ta:
- Vær kritisk til alt innhold du mottar
Det er alltid lurt å sjekke avsenderens e-postadresse nøye, fordi mange phishing-angrep kommer fra adresser som ligner ekte avsendere - men som da har bittesmå forskjeller.
Vi anbefaler å være på vakt mot uvanlige forespørsler, spesielt hvis de haster eller ber om sensitiv informasjon med en gang.
- Unngå å klikke på rare eller mistenkelige lenker
Et tips er å holde musen over lenker for å se hvor de egentlig fører FØR du klikker.
Hvis du da ser noe som ser litt “fishy” eller mistenkelig ut, ikke klikk på den. I tillegg: Hvis en e-post inneholder en lenke som ber om personlig informasjon, kan det være lurt å gå direkte til nettstedet i stedet for å klikke på selve lenken.
- Vurder selve språket og formatet i meldingen
Ved mange phishing-e-poster kan det være lett å se at det er scam - nemlig fordi det inneholder dårlig grammatikk, skrivefeil eller uvanlige formuleringer.
Vær spesielt oppmerksom på feil bruk av navnet ditt eller noen uvanlige hilsener.
- Dobbeltsjekk med avsenderen
Hvis du mottar en e-post fra en kollega eller en kjent avsender med en uvanlig forespørsel, er det lurt å kontakte dem via telefon eller en ny e-post for å verifisere om meldingen er ekte.
- Alltid rapportere mistenkelige meldinger og eposter
Sist men ikke minst: Hvis du får en mistenkelig e-post i innboksen, er det lurt å si ifra til IT-avdelingen.
Dette kan bidra til å beskytte kollegaene dine.
Hva skal du gjøre om du er blitt utsatt for phishing?
Hvis det verst tenkelige scenarioet skjer - og du har faktisk blitt utsatt for et phishingangrep - her er noen tiltak du burde sette i gang med snarest:
- Varsle med en gang
Har du klikket på en mistenkelig lenke og/eller delt sensitive opplysninger?
Da bør du si fra til IT-ansvarlig med en gang! Rask handling kan forhindre at skaden blir større. Hvis du for eksempel mottar en falsk e-post fra 'banken din', ring banken direkte for å informere dem.
- Bytt passord
Endre passordene dine på alle berørte kontoer så raskt som mulig.
Det er en god praksis å bruke sterke, unike passord for hver konto. Hvis for eksempel e-postkontoen din er kompromittert, bør du endre passordet til noe som 'G4u8!n$e7z'.
- Koble fra internett
Dette kan være lurt for å hindre at hackerne får videre tilgang, slik at du stopper pågående angrep.
- Rapporter detaljene
Det er viktig å gi IT-ansvarlig all informasjon du har om phishingangrepet.
Dette kan inkludere kopier av e-poster, lenker og skjermbilder. Saken er: Jo mer de vet, jo bedre kan de beskytte systemene. Send en kopi av den mistenkelige e-posten til IT-avdelingen.
- Skann etter skadelig programvare
Her kan det være lurt å kjøre en omfattende virusskanning på enheten din, enten det er PC eller mobil, for å sjekke etter skadelig programvare.
Alltid sjekk at antivirusprogramvare er oppdatert. For eksempel kan du bruke et verktøy som Windows Defender eller et annet anerkjent antivirusprogram.
- Del erfaringen videre
Sist men ikke minst kan det være fordelaktig at kollegaene dine vet om hva som har skjedd.
Nettopp for å øke bevisstheten og forhindre at andre blir lurt. Alltid del hva du lærte og tips til hvordan du kan unngå lignende feller.
Lær de ansatte hvordan de kan avsløre phishing
I en verden hvor vellykkede phishing-angrep stadig blir mer utbredt, er det avgjørende å øke bevisstheten rundt temaet.
For å beskytte bedriften er det viktig å sikre at de ansatte har tilstrekkelig kunnskap og forståelse rundt phishing.
En effektiv måte for å sikre dette er riktig kunnskap gjennom enkel opplæring.
XtraMile tilbyr blant annet kurs i IT-sikkerhet, som oppdateres årlig med de nyeste truslene for å holde organisasjonen oppdatert. Disse kursene er verdifulle ressurser som hjelper ansatte med å forstå viktigheten av effektive sikkerhetsrutiner.
Klar for å se hvordan kurs hos XtraMile kan hjelpe bedriften din?
Bestill en gratis demo i dag og oppdag hvordan vår plattform for automatisering av opplæring kan gjøre obligatorisk opplæring både mer engasjerende og effektiv.