Hvordan beskytte penger og personlige data på Internett

2024 Forfatter: Malcolm Clapton | [email protected]. Sist endret: 2023-12-17 04:07

Jo bedre informert du er, jo vanskeligere er det å lure deg. Her er alt du trenger å vite om phishing med Microsoft.

Finn enda flere tips om hvordan du beskytter deg mot digitale trusler.

Hva er phishing og hvor farlig det er

Phishing er en vanlig type nettsvindel, hvis formål er å kompromittere og kapre kontoer, stjele kredittkortinformasjon eller annen konfidensiell informasjon.

Oftest bruker nettkriminelle e-post: for eksempel sender de brev på vegne av et kjent selskap, og lokker brukere til det falske nettstedet under påskudd av en lønnsom kampanje. Offeret gjenkjenner ikke det falske, legger inn login og passord fra kontoen sin, og dermed overfører brukeren selv dataene til svindlerne.

Hvem som helst kan lide. Automatiserte phishing-e-poster er oftest rettet mot et bredt publikum (hundretusenvis eller til og med millioner av adresser), men det er også angrep rettet mot et spesifikt mål. Oftest er disse målene toppledere eller andre ansatte som har privilegert tilgang til bedriftsdata. Denne personlig tilpassede phishing-strategien kalles hvalfangst, som oversettes som "fange hval".

Konsekvensene av phishing-angrep kan være ødeleggende. Svindlere kan lese din personlige korrespondanse, sende phishing-meldinger til kontaktkretsen din, ta ut penger fra bankkontoer og generelt opptre på dine vegne i vid forstand. Driver du en bedrift er risikoen enda større. Nettfiskere er i stand til å stjele bedriftshemmeligheter, ødelegge sensitive filer eller lekke kundenes data, og skade selskapets omdømme.

I følge rapporten om phishing-aktivitetstrender fra Anti-phishing Working Group oppdaget cybersikkerhetseksperter bare i siste kvartal av 2019 mer enn 162 000 falske nettsteder og 132 000 e-postkampanjer. I løpet av denne tiden har rundt tusen selskaper fra hele verden blitt ofre for phishing. Det gjenstår å se hvor mange angrep som ikke ble oppdaget.

Evolusjon og typer phishing

Begrepet "phishing" kommer fra det engelske ordet "fishing". Denne typen svindel ligner virkelig på fiske: angriperen kaster agnet i form av en falsk melding eller lenke og venter på at brukerne skal bite.

Men på engelsk staves phishing litt annerledes: phishing. Digrafen ph brukes i stedet for bokstaven f. I følge en versjon er dette en referanse til ordet falsk ("bedrager", "svindler"). På den andre - til subkulturen til tidlige hackere, som ble kalt phreakers ("phreakers").

Det antas at begrepet phishing først ble brukt offentlig på midten av 1990-tallet på Usenet-nyhetsgrupper. På den tiden lanserte svindlere de første phishing-angrepene rettet mot kunder til den amerikanske internettleverandøren AOL. Angriperne sendte meldinger der de ba om å bekrefte legitimasjonen deres, og utga seg som ansatte i selskapet.

Med utviklingen av Internett har nye typer phishing-angrep dukket opp. Svindlere begynte å forfalske hele nettsider og mestret forskjellige kanaler og kommunikasjonstjenester. I dag kan slike typer phishing skilles ut.

• E-post phishing. Svindlere registrerer en postadresse som ligner på adressen til et kjent selskap eller en bekjent av det valgte offeret, og sender brev fra det. Samtidig, ved navn på avsender, design og innhold, kan et falskt brev være nesten identisk med originalen. Bare inne er det en lenke til et falskt nettsted, infiserte vedlegg eller en direkte forespørsel om å sende konfidensielle data.
• SMS-phishing (smishing). Denne ordningen er lik den forrige, men SMS brukes i stedet for e-post. Abonnenten mottar en melding fra et ukjent (vanligvis kort) nummer med en forespørsel om konfidensielle data eller med en lenke til et falskt nettsted. En angriper kan for eksempel presentere seg som en bank og be om bekreftelseskoden du mottok tidligere. Faktisk trenger svindlere koden for å hacke seg inn på bankkontoen din.
• Nettfisking på sosiale medier. Med spredningen av instant messengers og sosiale medier har phishing-angrep også oversvømmet disse kanalene. Angripere kan kontakte deg gjennom falske eller kompromitterte kontoer til kjente organisasjoner eller vennene dine. Ellers skiller ikke prinsippet om angrepet seg fra de forrige.
• Telefon phishing (vishing). Svindlere er ikke begrenset til tekstmeldinger og kan ringe deg. Oftest brukes internetttelefoni (VoIP) til dette formålet. Den som ringer kan for eksempel utgi seg for å være en ansatt i støttetjenesten til betalingssystemet ditt og be om data for å få tilgang til lommeboken - visstnok for verifisering.
• Søk etter phishing. Du kan komme over phishing rett i søkeresultatene. Det er nok å klikke på lenken som fører til det falske nettstedet og legge igjen personlige data på det.
• Pop-up phishing. Angripere bruker ofte popup-vinduer. Når du besøker en tvilsom ressurs, kan du se et banner som lover en viss fordel - for eksempel rabatter eller gratisprodukter - på vegne av et kjent selskap. Ved å klikke på denne lenken vil du bli ført til et nettsted kontrollert av nettkriminelle.
• Jordbruk. Ikke direkte relatert til phishing, men oppdrett er også et svært vanlig angrep. I dette tilfellet forfalsker angriperen DNS-dataene ved automatisk å omdirigere brukeren i stedet for de originale sidene til de falske. Offeret ser ingen mistenkelige meldinger og bannere, noe som øker effektiviteten til angrepet.

Phishing fortsetter å utvikle seg. Microsoft snakket om nye teknikker som Microsoft 365 Advanced Threat Protection anti-phishing-tjeneste oppdaget i 2019. Svindlere har for eksempel lært å skjule ondsinnet materiale bedre i søkeresultater: legitime lenker vises øverst, som fører brukeren til phishing-nettsteder gjennom flere omdirigeringer.

I tillegg begynte nettkriminelle automatisk å generere phishing-lenker og eksakte kopier av e-poster på et kvalitativt nytt nivå, som lar dem mer effektivt lure brukere og omgå sikkerhetstiltak.

På sin side har Microsoft lært å identifisere og blokkere nye trusler. Selskapet har brukt all sin kunnskap om cybersikkerhet til å lage Microsoft 365-pakken. Den gir løsningene du trenger for virksomheten din, samtidig som den sikrer at informasjonen din er effektivt beskyttet, inkludert mot phishing. Microsoft 365 Advanced Threat Protection blokkerer ondsinnede vedlegg og potensielt skadelige lenker i e-poster, oppdager løsepengeprogramvare og andre trusler.

Slik beskytter du deg mot phishing

Forbedre din tekniske kompetanse. Som det sies, den som er varslet er bevæpnet. Studer informasjonssikkerhet på egen hånd eller konsulter eksperter for råd. Selv bare det å ha solid kunnskap om det grunnleggende innen digital hygiene kan spare deg for mye trøbbel.

Vær forsiktig. Ikke følg lenker eller åpne vedlegg i brev fra ukjente samtalepartnere. Vennligst sjekk nøye kontaktinformasjonen til avsenderne og adressene til nettstedene du besøker. Ikke svar på forespørsler om personlig informasjon, selv når meldingen ser troverdig ut. Hvis en representant for selskapet ber deg om informasjon, er det bedre å ringe deres kundesenter og rapportere situasjonen. Ikke klikk på popup-vinduer.

Bruk passord med omhu. Bruk et unikt og sterkt passord for hver konto. Abonner på tjenester som advarer brukere hvis passord for kontoene deres vises på nettet, og endre tilgangskoden umiddelbart hvis den viser seg å være kompromittert.

Sett opp multifaktorautentisering. Denne funksjonen beskytter i tillegg kontoen, for eksempel ved å bruke engangspassord. I dette tilfellet, hver gang du logger på kontoen din fra en ny enhet, i tillegg til passordet, må du skrive inn en kode på fire eller seks tegn sendt til deg via SMS eller generert i en spesiell applikasjon. Det virker kanskje ikke veldig praktisk, men denne tilnærmingen vil beskytte deg mot 99 % av vanlige angrep. Tross alt, hvis svindlere stjeler passordet, vil de fortsatt ikke kunne komme inn uten en bekreftelseskode.

Bruk passordløse påloggingsfasiliteter. I disse tjenestene bør du, der det er mulig, fullstendig forlate bruken av passord, erstatte dem med maskinvaresikkerhetsnøkler eller autentisering gjennom en applikasjon på en smarttelefon.

Bruk antivirusprogramvare. Oppdatert antivirus vil delvis bidra til å beskytte datamaskinen din mot skadelig programvare som omdirigerer til phishing-nettsteder eller stjeler pålogginger og passord. Men husk at hovedbeskyttelsen din fortsatt er overholdelse av digitale hygieneregler og overholdelse av anbefalinger om nettsikkerhet.

Hvis du driver en bedrift

Følgende tips vil også være nyttige for bedriftseiere og bedriftsledere.

Lær opp ansatte. Forklar til underordnede hvilke meldinger som skal unngås og hvilken informasjon som ikke skal sendes via e-post og andre kommunikasjonskanaler. Forby ansatte fra å bruke bedriftspost til personlige formål. Instruer dem om hvordan de jobber med passord. Det er også verdt å vurdere en policy for oppbevaring av meldinger: for eksempel, av sikkerhetshensyn, kan du slette meldinger som er eldre enn en viss periode.

Gjennomfør opplæring av phishing-angrep. Hvis du vil teste dine ansattes reaksjon på nettfisking, prøv å fake et angrep. Registrer for eksempel en postadresse som ligner på din, og send brev fra den til underordnede og ber dem om å gi deg konfidensielle data.

Velg en pålitelig posttjeneste. Gratis e-postleverandører er for sårbare for forretningskommunikasjon. Bedrifter bør kun velge sikre bedriftstjenester. For eksempel har brukere av e-posttjenesten Microsoft Exchange, som er en del av Microsoft 365-pakken, omfattende beskyttelse mot phishing og andre trusler. For å motvirke svindlere analyserer Microsoft hundrevis av milliarder av e-poster hver måned.

Ansett en ekspert på nettsikkerhet. Hvis budsjettet ditt tillater det, finn en kvalifisert fagperson som vil gi kontinuerlig beskyttelse mot phishing og andre cybertrusler.

Hva du skal gjøre hvis du er et offer for phishing

Hvis det er grunn til å tro at dataene dine har falt i feil hender, handle umiddelbart. Sjekk enhetene dine for virus og endre kontopassord. Informer bankpersonalet om at betalingsopplysningene dine kan ha blitt stjålet. Om nødvendig, informer kundene om den potensielle lekkasjen.

For å unngå at slike situasjoner gjentar seg, velg pålitelige og moderne samarbeidstjenester. Produkter med innebygde beskyttelsesmekanismer er best egnet: det vil fungere så praktisk som mulig og du slipper å risikere digital sikkerhet.

For eksempel inkluderer Microsoft 365 en rekke smarte sikkerhetsfunksjoner, inkludert beskyttelse av kontoer og pålogginger mot kompromiss med en innebygd risikovurderingsmodell, passordløs eller multifaktorautentisering som ikke krever ytterligere lisenser.

I tillegg gir tjenesten dynamisk adgangskontroll med risikovurdering og under hensyntagen til et bredt spekter av forhold. Microsoft 365 inneholder også innebygd automatisering og dataanalyse, og lar deg også kontrollere enheter og beskytte informasjon mot lekkasje.