Sikkerhed
Grundlæggende
Beskyttelse af personlige oplysninger
Hvad er phishing, og hvordan fungerer det?
Hjem
Artikler
Hvad er phishing, og hvordan fungerer det?

Hvad er phishing, og hvordan fungerer det?

Begynder
Offentliggjort Nov 28, 2018Opdateret May 29, 2024
7m

TL;DR

  • Phishing er en ondsindet praksis, hvor angribere udgiver sig for at være troværdige enheder for at narre enkeltpersoner til at afsløre følsomme oplysninger.

  • Vær på vagt over for phishing ved at genkende almindelige tegn som mistænkelige webadresser og presserende anmodninger om personlige oplysninger.

  • Forstå forskellige phishing-teknikker, fra almindelig e-mailsvindel til sofistikeret spear-phishing, for at styrke cybersikkerhedsforsvaret.

Introduktion

Phishing er en skadelig taktik, hvor ondsindede aktører foregiver at være pålidelige kilder for at narre folk til at dele følsomme data. I denne artikel vil vi kaste lys over, hvad phishing er, hvordan det fungerer, og hvad du kan gøre for at undgå at blive offer for sådanne svindel.

Sådan fungerer phishing

Phishing er primært baseret på social engineering, som er en metode, hvor hackere manipulerer personer til at videregive fortrolige oplysninger. Angribere indsamler personlige oplysninger fra offentlige kilder (såsom sociale medier) for at lave tilsyneladende autentiske e-mails. Ofre modtager ofte ondsindede meddelelser, der ser ud til at være fra velkendte kontakter eller velrenommerede organisationer.

Den mest almindelige form for phishing forekommer via e-mails, der indeholder ondsindede links eller vedhæftede filer. Ved at klikke på disse links kan der installeres malware på brugerens enhed eller føre dem til forfalskede websites, der er designet til at stjæle personlige og økonomiske oplysninger.

Selvom det er lettere at få øje på dårligt skrevne phishing-e-mails, anvender cyberkriminelle avancerede værktøjer som f.eks. chatbots og AI-stemmegeneratorer for at forbedre ægtheden af deres angreb. Det gør det svært for brugerne at skelne mellem ægte og svigagtig kommunikation.

Genkendelse af phishing-forsøg

Det kan være svært at identificere phishing-mails, men der er nogle tegn, du kan holde øje med.

Almindelige tegn

Vær forsigtig, hvis meddelelsen indeholder mistænkelige webadresser, bruger offentlige e-mailadresser, fremkalder frygt eller haster, anmoder om personlige oplysninger eller har stavefejl og grammatiske fejl. I de fleste tilfælde bør du være i stand til at holde musen over linksene for at kontrollere webadresserne uden faktisk at klikke på dem.

Digital betalingsbaseret svindel

Phishere udgiver sig ofte for at være pålidelige online betalingstjenester såsom PayPal, Venmo eller Wise. Brugere modtager falske e-mails, der opfordrer dem til at verificere loginoplysninger. Det er vigtigt at være på vagt og rapportere mistænkelig aktivitet.

Finansbaserede phishing-angreb

Svindlere udgiver sig for at være banker eller finansielle institutioner og hævder sikkerhedsbrud for at få fat i personlige oplysninger. Almindelige taktikker omfatter vildledende e-mails om pengeoverførsler eller svindel med direkte indbetaling rettet mod nye medarbejdere. De kan også hævde, at der er en presserende sikkerhedsopdatering.

Arbejdsrelateret svindel-phishing

Denne personlige svindel involverer angribere, der udgiver sig for at være ledere, administrerende direktører eller økonomidirektører og anmoder om bankoverførsler eller falske køb. Stemme-phishing ved hjælp af AI-stemmegeneratorer over telefonen er en anden metode, der anvendes af svindlere.

Sådan forhindres phishing-angreb

For at forhindre phishing-angreb er det vigtigt at anvende flere sikkerhedsforanstaltninger. Undgå at klikke direkte på links. Gå i stedet til virksomhedens officielle website eller kommunikationskanaler for at kontrollere, om de oplysninger, du har modtaget, er legitime. Overvej at bruge sikkerhedsværktøjer såsom antivirussoftware, firewalls og spamfiltre. 

Derudover bør organisationer bruge standarder for e-mailgodkendelse til at verificere indgående mails. Almindelige eksempler på e-mailgodkendelsesmetoder omfatter DKIM (DomainKeys Identified Mail) og DMARC (Domain-based Message godkendelse, Reporting and Conformance).

For enkeltpersoner er det afgørende at informere deres familie og venner om risikoen ved phishing. For virksomheder er det vigtigt at uddanne medarbejderne om phishing-teknikker og tilbyde regelmæssig bevidstgørende undervisning for at reducere risici.

Hvis du har brug for yderligere hjælp og oplysninger, skal du kigge efter regeringsinitiativer som f.eks. OnGuardOnline.gov og organisationer såsom Anti-phishing Working Group Inc. De indeholder mere detaljerede ressourcer og vejledning i, hvordan man opdager, undgår og rapporterer phishingangreb.

Typer af phishing

Phishing-teknikker udvikler sig, hvor cyberkriminelle bruger forskellige metoder. Der er mange forskellige typer phishing, og disse klassificeres normalt efter mål- og angrebsvektoren. Lad os se nærmere på det.

Klon-phishing

En hacker vil bruge en tidligere sendt, legitim e-mail og kopiere dens indhold til en lignende, der indeholder et link til et ondsindet website. Hackeren kan også hævde, at dette er et opdateret eller nyt link, der angiver, at det forrige var forkert eller udløbet.

Spear-phishing

Denne type angreb er fokuseret på en person eller institution. Et angreb med spear-phishing er mere sofistikeret end andre typer phishing, fordi det er profileret. Det betyder, at hackeren først indsamler oplysninger om offeret (f.eks. navne på venner eller familiemedlemmer) og bruger disse data til at lokke offeret til en ondsindet websitefil.

Pharming

En angriber vil forgifte en DNS-post, som i praksis vil omdirigere besøgende på et legitimt website til et bedragerisk, som angriberen har lavet på forhånd. Dette er det farligste af angrebene, fordi DNS-poster ikke er inden for brugerens kontrol, hvilket gør brugeren hjælpeløs til at forsvare sig.

Whaling

En form for spear-phishing, der er målrettet mod velhavende og vigtige personer såsom administrerende direktører og embedsmænd.

Mail-spoofing

Phishing-mails forfalsker typisk kommunikation fra legitime virksomheder eller personer. Phishing-mails kan præsentere uvidende ofre for links til ondsindede websites, hvor hackere indsamler brugerens legitimationsoplysninger og PII ved hjælp af snedigt forklædte loginsider. Siderne kan indeholde trojanske heste, keyloggers og andre ondsindede scripts, der stjæler personlige oplysninger.

Omdirigeringer af website

Omdirigeringer af website sender brugere til andre webadresser end den, brugeren havde til hensigt at besøge. Aktører, der udnytter sårbarheder, kan indsætte omdirigeringer og installere malware på brugernes computere.

Typosquatting

Typosquatting dirigerer trafik til forfalskede websites, der bruger stavemåder på fremmedsprog, almindelige stavefejl eller subtile variationer i topdomænet. Phishere bruger domæner til at efterligne legitime websitegrænseflader og drage fordel af brugere, der indtaster eller fejllæser webadressen.

Falske betalte annoncer

Betalte reklamer er en anden taktik, der bruges til phishing. Disse (falske) reklamer bruger domæner, som hackere har typosquatted og betalt for at have skubbet op i søgeresultaterne. Websitet kan endda vises som et topsøgeresultat på Google.

Vandhulsangreb

I et vandhulsangreb analyserer phishere brugere og fastslår de websites, de ofte besøger. Phisherne scanner disse websites for sårbarheder og injicerer om muligt ondsindede scripts, som er designet til at målrette mod brugere, næste gang de besøger dette website.

Personefterligning og falske giveaways

Efterligning af indflydelsesrige personer på sociale medier. Phishere kan udgive sig for at være nøgleledere i virksomheder og annoncere gaveuddelinger eller deltage i anden vildledende praksis. Ofre for dette trick kan endda målrettes individuelt gennem social engineering-processer med det formål at finde godtroende brugere. Aktører kan hacke verificerede konti og ændre brugernavne for at udgive sig for at være en rigtig person, mens de opretholder en status som verificeret bruger.

For nylig er phishere stærkt målrettet mod platforme såsom Slack, Discord og Telegram til de samme formål, nemlig at forfalske chats, udgive sig for at være personer og udgive sig for at være legitime tjenester.

Ondsindede applikationer

Phishere kan også bruge ondsindede apps, der overvåger din adfærd eller stjæler følsomme oplysninger. Apps kan omfatte prissporingsprogrammer, wallets og andre kryptorelaterede værktøjer (som har en base af brugere, der er disponeret for handel og besiddelse af kryptovaluta).

Sms- og stemme-phishing

En sms-baseret form for phishing, der normalt udføres via sms'er eller talebeskeder, der opfordrer brugerne til at dele personlige oplysninger.

Phishing vs. pharming

Selvom nogle anser pharming for at være en type phishing-angreb, er det afhængig af en anden mekanisme. Den største forskel mellem phishing og pharming er, at phishing kræver, at offeret begår en fejl. I modsætning hertil kræver pharming kun, at offeret forsøger at få adgang til et legitimt website, hvis DNS-post blev kompromitteret af hackeren.

Phishing i blockchain- og kryptorummet

Selvom blockchain-teknologi giver stærk datasikkerhed på grund af dens decentraliserede karakter, bør brugere i blockchain-rummet være på vagt over for social engineering og phishing-forsøg. Cyberkriminelle forsøger ofte at udnytte menneskelige sårbarheder til at få adgang til private nøgler eller legitimationsoplysninger. I de fleste tilfælde er svindel afhængig af menneskelige fejl.

Svindlere kan også forsøge at narre brugere til at afsløre deres seed-fraser eller overføre midler til falske adresser. Det er vigtigt at udvise forsigtighed og følge anbefalede fremgangsmåder praksis for sikkerhed.

Sammenfatning

En forståelse af phishing og det at holde sig informeret om nye teknikker er afgørende for at beskytte personlige og økonomiske oplysninger. Ved at kombinere robuste sikkerhedsforanstaltninger, uddannelse og bevidsthed kan enkeltpersoner og organisationer styrke sig mod den allestedsnærværende trussel fra phishing i vores sammenkoblede digitale verden. Hold dig SAFU!

Yderligere læsning

Ansvarsfraskrivelse: Dette indhold præsenteres for dig, "som det er", udelukkende til generel information og uddannelsesmæssige formål, uden nogen form for erklæring eller garanti. Det skal ikke opfattes som finansiel, juridisk eller anden professionel rådgivning, og det er heller ikke hensigten at anbefale køb af et bestemt produkt eller en bestemt tjeneste. Du bør søge din egen rådgivning hos relevante professionelle rådgivere. Hvis artiklen er skrevet af en tredjepart, skal du være opmærksom på, at de synspunkter, der kommer til udtryk, tilhører den pågældende tredjepart og ikke nødvendigvis afspejler Binance Academy. Læs vores fulde ansvarsfraskrivelse her for yderligere oplysninger. Priserne på digitale aktiver kan være ustabile. Værdien af din investering kan falde eller stige, og det er ikke sikkert, at du får det investerede beløb tilbage. Du er eneansvarlig for dine investeringsbeslutninger, og Binance Academy er ikke ansvarlig for eventuelle tab, du måtte lide. Dette materiale skal ikke opfattes som finansiel, juridisk eller anden professionel rådgivning. For yderligere oplysninger kan du læse vores vilkår for anvendelse og risikoadvarsel.

Del opslag
Introduktion
Sådan fungerer phishing
Genkendelse af phishing-forsøg
Sådan forhindres phishing-angreb
Typer af phishing
Phishing vs. pharming
Phishing i blockchain- og kryptorummet
Sammenfatning
Yderligere læsning
Relaterede artikler
En introduktion for begyndere til kryptoøkonomi
Krypto vs. aktier: Hvad er forskellen?
Hvad er symmetrisk nøglekryptografi?
Registrer en konto
Omsæt din viden til praksis ved at åbne en Binance-konto i dag.