Ikke la deg lure av phishing

Såkalt «phishing» blir stadig mer sofistikert og lett å falle for

Phishing (som i det engelske ordet for å fiske, bare med «ph») er internett-lingo for å forsøke å lure folk til å oppgi brukernavn, passord, svar på sikkerhetsspørsmål eller annen sensitiv informasjon.

For eksempel kan du få en mail fra noen som utgir seg for å være noen du stoler på – banken din, Google, Facebook – og som inviterer deg til å fylle ut et skjema som ber om sensitiv informasjon. Informasjonen sendes imidlertid ikke dit du tror, men til uvedkommende, som dermed har alt de trenger for å få tilgang til din konto.

I gamle dager var phishing usofistikerte saker som var lette å gjennomskue. Dårlig språk, dårlig design, åpenbart feil nettadresse, etc.

Men angrepene er etterhvert blitt svært sofistikerte. E-posten du får kan se 100% formell ut. Nettsiden du kommer til kan se nøyaktig ut som innloggingssiden til Google eller Facebook.

Ved hjelp av spesialtegn og tekniske finurligheter kan angriperne på noen nettlesere til og med få lenken du klikker på og nettadressen i adresselinjen til å se helt ut som URL-en til nettsiden du trodde du skulle til. Og nettsiden bruker HTTPS, så du ser hengelåser og andre signaler du er vant til å se når du er trygg.

Unicode phishing
Her står det faktisk ikke www.apple.com – les mer på xudongz.com (engelsk) hvis du vil lære mer.

Så hvordan kan du unngå å bli lurt av phishing?

  • Vær skeptisk til e-post du får som ber deg logge inn et sted, endre passord, eller oppgi annen sensitiv informasjon.
  • Hvis du får mistanke om at noe er galt, skriv nettadressen manuelt inn i adressefeltet i nettleseren (eller bruk et bokmerke) i stedet for å klikke på en tilsendt lenke. Hvis du selv skriver inn adressen, vet du hvor du kommer. Og hvis informasjonen er viktig nok til å sende deg en mail, vil den også være viktig nok til å oppgi på selve nettsiden.
  • Vær skeptisk til kundeundersøkelser, om du ikke vet du er på riktig nettside.
  • Ikke delta i kjedebrev på sosiale medier som krever at du deler personlig informasjon («10 konserter jeg har vært på», «Svar X spørsmål om meg», etc.), for ofte finnes svarene på vanlige sikkerhetsspørsmål blant informasjonen du oppgir.
  • Bruk en passordbehandler. Den vil ikke la seg lure av en falsk adresse, og vil derfor ikke tilby seg å fylle inn brukernavn og passord når du er på en forfalsket side.
  • Bruk tofaktor-autentisering (2FA). Selv om noen får tak i passordet ditt, vil de likevel ikke kunne logge seg inn på siden uten sikkerhetskode fra telefonen din.