Hvad er phishing, og hvordan fungerer det?
Hjem
Artikler
Hvad er phishing, og hvordan fungerer det?

Hvad er phishing, og hvordan fungerer det?

Begynder
Offentliggjort Nov 28, 2018Opdateret Mar 13, 2024
7m

TL;DR

  • Phishing er en ondsindet praksis, hvor angribere udgiver sig for at v√¶re trov√¶rdige enheder for at narre enkeltpersoner til at afsl√łre f√łlsomme oplysninger.

  • V√¶r p√• vagt over for phishing ved at genkende almindelige tegn som mist√¶nkelige webadresser og presserende anmodninger om personlige oplysninger.

  • Forst√• forskellige phishing-teknikker, fra almindelig e-mailsvindel til sofistikeret spear-phishing, for at styrke cybersikkerhedsforsvaret.

Introduktion

Phishing er en skadelig taktik, hvor ondsindede akt√łrer foregiver at v√¶re p√•lidelige kilder for at narre folk til at dele f√łlsomme data. I denne artikel vil vi kaste lys over, hvad phishing er, hvordan det fungerer, og hvad du kan g√łre for at undg√• at blive offer for s√•danne svindel.

Sådan fungerer phishing

Phishing er primært baseret på social engineering, som er en metode, hvor hackere manipulerer personer til at videregive fortrolige oplysninger. Angribere indsamler personlige oplysninger fra offentlige kilder (såsom sociale medier) for at lave tilsyneladende autentiske e-mails. Ofre modtager ofte ondsindede meddelelser, der ser ud til at være fra velkendte kontakter eller velrenommerede organisationer.

Den mest almindelige form for phishing forekommer via e-mails, der indeholder ondsindede links eller vedh√¶ftede filer. Ved at klikke p√• disse links kan der installeres malware p√• brugerens enhed eller f√łre dem til forfalskede websites, der er designet til at stj√¶le personlige og √łkonomiske oplysninger.

Selvom det er lettere at f√• √łje p√• d√•rligt skrevne phishing-e-mails, anvender cyberkriminelle avancerede v√¶rkt√łjer som f.eks. chatbots og AI-stemmegeneratorer for at forbedre √¶gtheden af deres angreb. Det g√łr det sv√¶rt for brugerne at skelne mellem √¶gte og svigagtig kommunikation.

Genkendelse af phishing-fors√łg

Det kan v√¶re sv√¶rt at identificere phishing-mails, men der er nogle tegn, du kan holde √łje med.

Almindelige tegn

V√¶r forsigtig, hvis meddelelsen indeholder mist√¶nkelige webadresser, bruger offentlige e-mailadresser, fremkalder frygt eller haster, anmoder om personlige oplysninger eller har stavefejl og grammatiske fejl. I de fleste tilf√¶lde b√łr du v√¶re i stand til at holde musen over linksene for at kontrollere webadresserne uden faktisk at klikke p√• dem.

Digital betalingsbaseret svindel

Phishere udgiver sig ofte for at være pålidelige online betalingstjenester såsom PayPal, Venmo eller Wise. Brugere modtager falske e-mails, der opfordrer dem til at verificere loginoplysninger. Det er vigtigt at være på vagt og rapportere mistænkelig aktivitet.

Finansbaserede phishing-angreb

Svindlere udgiver sig for at v√¶re banker eller finansielle institutioner og h√¶vder sikkerhedsbrud for at f√• fat i personlige oplysninger. Almindelige taktikker omfatter vildledende e-mails om pengeoverf√łrsler eller svindel med direkte indbetaling rettet mod nye medarbejdere. De kan ogs√• h√¶vde, at der er en presserende sikkerhedsopdatering.

Arbejdsrelateret svindel-phishing

Denne personlige svindel involverer angribere, der udgiver sig for at v√¶re ledere, administrerende direkt√łrer eller √łkonomidirekt√łrer og anmoder om bankoverf√łrsler eller falske k√łb. Stemme-phishing ved hj√¶lp af AI-stemmegeneratorer over telefonen er en anden metode, der anvendes af svindlere.

Sådan forhindres phishing-angreb

For at forhindre phishing-angreb er det vigtigt at anvende flere sikkerhedsforanstaltninger. Undg√• at klikke direkte p√• links. G√• i stedet til virksomhedens officielle website eller kommunikationskanaler for at kontrollere, om de oplysninger, du har modtaget, er legitime. Overvej at bruge sikkerhedsv√¶rkt√łjer s√•som antivirussoftware, firewalls og spamfiltre.¬†

Derudover b√łr organisationer bruge standarder for e-mailgodkendelse til at verificere indg√•ende mails. Almindelige eksempler p√• e-mailgodkendelsesmetoder omfatter DKIM (DomainKeys Identified Mail) og DMARC (Domain-based Message godkendelse, Reporting and Conformance).

For enkeltpersoner er det afg√łrende at informere deres familie og venner om risikoen ved phishing. For virksomheder er det vigtigt at uddanne medarbejderne om phishing-teknikker og tilbyde regelm√¶ssig bevidstg√łrende undervisning for at reducere risici.

Hvis du har brug for yderligere hjælp og oplysninger, skal du kigge efter regeringsinitiativer som f.eks. OnGuardOnline.gov og organisationer såsom Anti-phishing Working Group Inc. De indeholder mere detaljerede ressourcer og vejledning i, hvordan man opdager, undgår og rapporterer phishingangreb.

Typer af phishing

Phishing-teknikker udvikler sig, hvor cyberkriminelle bruger forskellige metoder. Der er mange forskellige typer phishing, og disse klassificeres normalt efter mål- og angrebsvektoren. Lad os se nærmere på det.

Klon-phishing

En hacker vil bruge en tidligere sendt, legitim e-mail og kopiere dens indhold til en lignende, der indeholder et link til et ondsindet website. Hackeren kan ogs√• h√¶vde, at dette er et opdateret eller nyt link, der angiver, at det forrige var forkert eller udl√łbet.

Spear-phishing

Denne type angreb er fokuseret p√• en person eller institution. Et angreb med spear-phishing er mere sofistikeret end andre typer phishing, fordi det er profileret. Det betyder, at hackeren f√łrst indsamler oplysninger om offeret (f.eks. navne p√• venner eller familiemedlemmer) og bruger disse data til at lokke offeret til en ondsindet websitefil.

Pharming

En angriber vil forgifte en DNS-post, som i praksis vil omdirigere bes√łgende p√• et legitimt website til et bedragerisk, som angriberen har lavet p√• forh√•nd. Dette er det farligste af angrebene, fordi DNS-poster ikke er inden for brugerens kontrol, hvilket g√łr brugeren hj√¶lpel√łs til at forsvare sig.

Whaling

En form for spear-phishing, der er m√•lrettet mod velhavende og vigtige personer s√•som administrerende direkt√łrer og embedsm√¶nd.

Mail-spoofing

Phishing-mails forfalsker typisk kommunikation fra legitime virksomheder eller personer. Phishing-mails kan præsentere uvidende ofre for links til ondsindede websites, hvor hackere indsamler brugerens legitimationsoplysninger og PII ved hjælp af snedigt forklædte loginsider. Siderne kan indeholde trojanske heste, keyloggers og andre ondsindede scripts, der stjæler personlige oplysninger.

Omdirigeringer af website

Omdirigeringer af website sender brugere til andre webadresser end den, brugeren havde til hensigt at bes√łge. Akt√łrer, der udnytter s√•rbarheder, kan inds√¶tte omdirigeringer og installere malware p√• brugernes computere.

Typosquatting

Typosquatting dirigerer trafik til forfalskede websites, der bruger stavemåder på fremmedsprog, almindelige stavefejl eller subtile variationer i topdomænet. Phishere bruger domæner til at efterligne legitime websitegrænseflader og drage fordel af brugere, der indtaster eller fejllæser webadressen.

Falske betalte annoncer

Betalte reklamer er en anden taktik, der bruges til phishing. Disse (falske) reklamer bruger dom√¶ner, som hackere har typosquatted og betalt for at have skubbet op i s√łgeresultaterne. Websitet kan endda vises som et tops√łgeresultat p√• Google.

Vandhulsangreb

I et vandhulsangreb analyserer phishere brugere og fastsl√•r de websites, de ofte bes√łger. Phisherne scanner disse websites for s√•rbarheder og injicerer om muligt ondsindede scripts, som er designet til at m√•lrette mod brugere, n√¶ste gang de bes√łger dette website.

Personefterligning og falske giveaways

Efterligning af indflydelsesrige personer p√• sociale medier. Phishere kan udgive sig for at v√¶re n√łgleledere i virksomheder og annoncere gaveuddelinger eller deltage i anden vildledende praksis. Ofre for dette trick kan endda m√•lrettes individuelt gennem social engineering-processer med det form√•l at finde godtroende brugere. Akt√łrer kan hacke verificerede konti og √¶ndre brugernavne for at udgive sig for at v√¶re en rigtig person, mens de opretholder en status som verificeret bruger.

For nylig er phishere stærkt målrettet mod platforme såsom Slack, Discord og Telegram til de samme formål, nemlig at forfalske chats, udgive sig for at være personer og udgive sig for at være legitime tjenester.

Ondsindede applikationer

Phishere kan ogs√• bruge ondsindede apps, der overv√•ger din adf√¶rd eller stj√¶ler f√łlsomme oplysninger. Apps kan omfatte prissporingsprogrammer, wallets og andre kryptorelaterede v√¶rkt√łjer (som har en base af brugere, der er disponeret for handel og besiddelse af kryptovaluta).

Sms- og stemme-phishing

En sms-baseret form for phishing, der normalt udf√łres via sms'er eller talebeskeder, der opfordrer brugerne til at dele personlige oplysninger.

Phishing vs. pharming

Selvom nogle anser pharming for at v√¶re en type phishing-angreb, er det afh√¶ngig af en anden mekanisme. Den st√łrste forskel mellem phishing og pharming er, at phishing kr√¶ver, at offeret beg√•r en fejl. I mods√¶tning hertil kr√¶ver pharming kun, at offeret fors√łger at f√• adgang til et legitimt website, hvis DNS-post blev kompromitteret af hackeren.

Phishing i blockchain- og kryptorummet

Selvom blockchain-teknologi giver st√¶rk datasikkerhed p√• grund af dens decentraliserede karakter, b√łr brugere i blockchain-rummet v√¶re p√• vagt over for social engineering og phishing-fors√łg. Cyberkriminelle fors√łger ofte at udnytte menneskelige s√•rbarheder til at f√• adgang til private n√łgler eller legitimationsoplysninger. I de fleste tilf√¶lde er svindel afh√¶ngig af menneskelige fejl.

Svindlere kan ogs√• fors√łge at narre brugere til at afsl√łre deres seed-fraser eller overf√łre midler til falske adresser. Det er vigtigt at udvise forsigtighed og f√łlge anbefalede fremgangsm√•der praksis for sikkerhed.

Sammenfatning

En forst√•else af phishing og det at holde sig informeret om nye teknikker er afg√łrende for at beskytte personlige og √łkonomiske oplysninger. Ved at kombinere robuste sikkerhedsforanstaltninger, uddannelse og bevidsthed kan enkeltpersoner og organisationer styrke sig mod den allestedsn√¶rv√¶rende trussel fra phishing i vores sammenkoblede digitale verden. Hold dig SAFU!

Yderligere læsning

Ansvarsfraskrivelse: Dette indhold pr√¶senteres for dig, "som det er", udelukkende til generel information og uddannelsesm√¶ssige form√•l, uden nogen form for erkl√¶ring eller garanti. Det skal ikke opfattes som finansiel, juridisk eller anden professionel r√•dgivning, og det er heller ikke hensigten at anbefale k√łb af et bestemt produkt eller en bestemt tjeneste. Du b√łr s√łge din egen r√•dgivning hos relevante professionelle r√•dgivere. Hvis artiklen er skrevet af en tredjepart, skal du v√¶re opm√¶rksom p√•, at de synspunkter, der kommer til udtryk, tilh√łrer den p√•g√¶ldende tredjepart og ikke n√łdvendigvis afspejler Binance Academy. L√¶s vores fulde ansvarsfraskrivelse her for yderligere oplysninger. Priserne p√• digitale aktiver kan v√¶re ustabile. V√¶rdien af din investering kan falde eller stige, og det er ikke sikkert, at du f√•r det investerede bel√łb tilbage. Du er eneansvarlig for dine investeringsbeslutninger, og Binance Academy er ikke ansvarlig for eventuelle tab, du m√•tte lide. Dette materiale skal ikke opfattes som finansiel, juridisk eller anden professionel r√•dgivning. For yderligere oplysninger kan du l√¶se vores vilk√•r for anvendelse og risikoadvarsel.