11 oktober 2022 - Cyberrisker
Phishing är en form av digitalt bedrägeri där cyberbrottslingar utger sig för att vara någon annan. Tänk på en viktig myndighet eller en välkänd person. Via ett brådskande e-postmeddelande, WhatsApp eller SMS uppmanas du att lämna information, till exempel person- eller bankuppgifter. Som företagare vill du naturligtvis inte att ditt företag ska bli offer för phishing. Därför förklarar vi 10 typer av phishing -attacker nedan, tillsammans med några tips om hur du kan förhindra dessa attacker.
10 typer av phishing attacker
1. Spray phishing
Med spray phishing skickar cyberbrottslingar meddelanden till ett stort antal personer inom en spray phishing -kampanj som standard. Det kan röra sig om tiotusentals e-postmeddelanden eller textmeddelanden samtidigt. De kastar ut ett brett nät, så att säga, i hopp om att vissa människor ska falla för e-postmeddelandet. Vanligtvis är det ett e-postmeddelande från ett befintligt företag som ber om att uppdatera ett lösenord eller att förnya kreditkortsinformation.
2. E-post phishing
Att skicka e-post är en av de vanligaste formerna av phishing. Dessa e-postmeddelanden är utformade för att se ut att komma från en pålitlig källa. I dessa e-postmeddelanden uppmanas du vanligtvis att fylla i ett formulär eller att svara på e-postmeddelandet. Det är så cyberbrottslingar får tag på personlig information.
En form av e-post phishing är klon phishing, där ett legitimt e-postmeddelande kopieras och länkar och filer ersätts med skadliga substitut. Det kan t.ex. vara en fakturafil, en länk som innehåller ett virus eller en länk som skickar dig till en webbplats där du ska ange dina personuppgifter.
3. Mobil phishing
Mobile phishing är också känt som smishing eller SMS phishing. Du får ett meddelande från förövaren med en uppmaning att vidta åtgärder. Tänk på att ringa ett telefonnummer eller klicka på en länk till en webbplats. Ofta blir du ombedd att lämna ut personlig information, som lösenord eller kreditkortsuppgifter.
Den andra formen av mobil phishing är telefon phishing eller vishing. Med denna form av phishing får du inget meddelande, utan du blir uppringd. Angriparna utger sig för att vara din bank, polisen eller andra företag eller myndigheter. De försöker skrämma dig och få dig att vidta åtgärder, ofta att överföra pengar.
4. Jakt på ambulans
Med dessa typer av phishing -attacker drar cyberbrottslingar nytta av aktuella händelser. Tänk på att be om donationer till hjälpfonder, naturkatastrofer eller krig. Förövarna kan samla in personuppgifter och ta pengar från offren.
5. Kontot har löpt ut/ändra lösenord
Du kommer att få ett meddelande via e-post eller via din mobil med en begäran om att återställa ditt lösenord. Dessa meddelanden ser ofta ut att komma från en tillförlitlig källa och är ibland svåra att skilja från riktiga meddelanden. Tänk till exempel på ett meddelande från din bank. Om du har ändrat lösenordet via en länk i e-postmeddelandet har gärningsmannen den information som krävs för att logga in på ditt bankkonto.
6. Valfångst phishing
I denna phishing -attack, även känd som business e-mail compromise, riktar cyberbrottslingar in sig på de stora valarna, dvs. anställda med en hög position inom en organisation. Ofta utger de sig för att vara en högre anställd inom organisationen för att göra det trovärdigt att få tillgång till finansiell information eller företagsplattformar.
7. Wifi tvilling
En WiFi-tvilling är ett WiFi-nätverk som kopierar adressen till ett annat nätverk. Alla som ansluter till det kommer också att exponeras för hackare. På så sätt får de tillgång till lösenord och annan information. Den här typen av phishing -attacker sker ofta på allmänna platser som köpcentra, kaféer och flygplatser. Därför är det inte alltid en bra idé att ansluta till ett offentligt Wi-Fi-nätverk.
8. Spjut phishing
Spear phishing är en mycket personlig phishing attack. Detta beror på att angriparen låtsas att han eller hon är en person som känner målet väl. Målet är väl efterforskat för detta, så attacken känns mycket personlig. Syftet med detta är att få tillgång till känslig information för att utnyttja målet.
9. Förtextning
Denna typ av phishing attack är mycket effektiv eftersom den ger en känsla av legitimitet. Offren får först ett meddelande via en annan kanal än e-post för att låta dem veta att de kommer att få ett e-postmeddelande inom kort. De utger sig t.ex. för att vara en leverantör och meddelar att offret snart kommer att få en offert via e-post. Denna telefonkontakt hänvisas därför till i det slutliga e-postmeddelandet, vilket gör att den framstår som mer tillförlitlig.
10. Man i mitten
Slutligen diskuterar vi ett ganska komplicerat sätt att phishing: man-in-the-middle. Cyberbrottslingen snappar upp e-postmeddelanden mellan två personer. Brottslingen skickar sedan tillbaka dessa e-postmeddelanden till de två personerna, som då tror att e-postmeddelandena kom från varandra. På så sätt ökar förtroendet för e-postmeddelandena, vilket gör att brottslingen kan be om privata uppgifter och annan information.
Tips för att förhindra olika typer av phishing -attacker
1. Utbildning av personal
Genom att utbilda din personal i att känna igen de olika typerna av phishing och de psykologiska triggers som används, kan du förhindra många attacker. De lär sig till exempel att kontrollera avsändarna av meddelanden, att aldrig bara klicka på en länk eller fil och hur man kontrollerar ett meddelande för phishing. Andra saker som personalen bör vara uppmärksam på är t.ex:
- Hälsningsfrasen: phishing e-postmeddelanden innehåller ofta inte tillräckligt med personuppgifter för att koppla ett namn till adressen. E-postmeddelandena är därför ofta opersonliga.
- Oväntade länkar och bilagor: Phishing e-postmeddelanden innehåller vanligtvis en länk eller bilaga.
- Grammatik och stavning: phishing innehåller ofta språkfel.
- Brådskande: i kombination med de andra punkterna ger detta en tydlig indikation på ett phishing -meddelande.
2. Klicka inte på allt
Du och dina medarbetare får aldrig klicka på alla vidarebefordrade länkar, även om de ser ut att komma från en tillförlitlig källa. Kontrollera alltid först om e-postmeddelandet verkligen kommer från den källan. Du kan t.ex. manuellt navigera till länken genom att ange den legitima webbadressen i webbläsaren. Om länken inte syns eftersom den är kopplad till en del av texten i meddelandet kan du hålla muspekaren över länken. På så sätt kan du se om det är en legitim webbadress.
3. Kontrollera om HTTPS används
Särskilt när du ombeds dela känslig information måste du kontrollera om webbadressen börjar med HTTPS istället för HTTP. Det extra S:et garanterar inte att det är en säker webbplats, men den är bättre skyddad mot hackare än en HTTP-webbplats.
4. Använda Guardey
På Guardey gör vi allt vi kan för att ditt företag ska vara så väl skyddat som möjligt mot phishing attacker. Det gör vi bland annat genom att tillhandahålla en VPN-anslutning för företag via vår app som övervakas kontinuerligt. I händelse av ett onlinehot kommer du att få ett direktmeddelande. Så du vet om det finns något beteende som inte hör hemma i ditt nätverk. Dessutom anser vi på Guardey att det är viktigt att gå längre än så. Det är därför vår app också erbjuder cybersäkerhetsutbildning för dig och ditt team, genom ett interaktivt spel.
Prova Guardey nu helt gratis i 14 dagar. På så sätt blir du den första som får veta att det finns skadlig kod på din dator och du kan omedelbart vidta rätt åtgärder.