Fagstoff

Phishing – nettfisking

Publisert: 06.09.2013, Oppdatert: 05.03.2017
  • Innbygg
  • Enkel visning
  • Lytt til tekst
  • Skriv ut
Forbrukerrådet

I takt med at teknologien og sikkerheten i datasystemer er blitt bedre, er brukerne blitt det svakeste leddet. Det har gjort phishing – nettfisking – til et stadig større problem.

Hans Marius Tessem og Vidar Sandland Eksempel på hacking av passord – innlogging på Telenor Trådløs sone.
Fotograf: Terje Bringedal

Phishing er i utgangspunktet hackersjargong for «fisking» (fishing), og spiller på at man «fisker» etter sensitiv informasjon, passord og lignende. Målet kan også være identitetstyveri.

Den vanligste framgangsmåten for nettfisking er å sende en e-post som ser ut som om den kommer fra en kjent bank, og be om at mottakeren bekrefter informasjon som gjelder konto, kredittkort eller lignende ved å klikke på en vedlagt lenke. Teksten i e-posten forklarer gjerne at dette er nødvendig av sikkerhetshensyn, eller advarer mot at kontoen blir stengt hvis ikke informasjonen blir bekreftet. Informasjonen som nettfiskerne eller svindlerne får tak i, brukes deretter til å tappe kontoen for penger.

Svindlerne forsøker å gjøre det hele så troverdig som mulig. De lager gjerne en nettside som likner helt på bankens ekte nettsider, eller de kjører et script som først åpner bankens faktiske nettsider og deretter et sprett-opp-vindu over bankens nettsider hvor de ber deg om å skrive inn person- og kontoinformasjon.

Eksempel på phishing

E-posten under er et typisk eksempel på nettfisking. (Vi har gjort personinformasjon og lenker uleselige.) Avsenderen utgir seg for å være Visa Europe, og innholdet er en oppfordring til å registrere en ny kode for Verified by Visa og MasterCard SecureCode som skal gi deg sikrere og enklere netthandel.

Legg merke til det dårlige språket. Det er et tegn på at avsenderen har begrenset kjennskap til norsk, eller at han eller hun har brukt Google Oversetter fra et annet språk. Du bør likevel ikke tro at du kan avsløre alle phishingforsøk ved å se på språket. Det dukker også opp svindelforsøk på feilfritt norsk.

Uansett sender aldri banker eller kredittinstitusjoner ut e-post hvor de ber kunder om å oppdatere informasjon eller verifisere kontoer. Alle slike meldinger er derfor forsøk på svindel!

Phishing
Opphavsmann: Arne Jansen
 

 

Hvis man klikker på lenken nederst i e-posten, kommer man til nettsiden under.

 

OBS!
Merk at du ikke bør klikke på lenker i mistenkelige e-poster. I tillegg til å forsøke å lure deg til å oppgi sensitiv informasjon, vil nettsiden som åpnes, ofte også forsøke å installere spionprogramvare på maskinen din. Vi tok derfor ekstra forholdsregler da vi åpnet siden for å kopiere skjermbildet.
Det korrekte å gjøre er å slette e-posten permanent med en gang.

 

 

Forfalsket nettside
Opphavsmann: Arne Jansen
 

Nettsiden ligner på dem som brukes ved sikker betaling på nett, og den ser tilsynelatende legitim ut med logoer fra både Visa og MasterCard. Lenkene i bunnen av siden går også til ekte informasjonssider hos Visa.

Men legg merke til at protokollen som brukes i adresselinjen, er http og ikke https. Overføringen er altså ikke kryptert slik all betalingsinformasjon via Internett alltid skal være.

Videre ber siden om all personinformasjon og kortinformasjon inklusive passord på den samme siden. På ekte betalingssider blir man ikke spurt om all informasjon samtidig, for betalingssystemet må ta kontakt med banken for å verifisere kortet før man får spørsmål om eventuelt passord og kode.

Det er heller ikke noen bank som lar deg bytte passord uten at du først har logget deg inn med det gamle passordet og gyldig kode.

 

Banker og kredittinstitusjoner sender aldri ut e-post hvor de ber kunder om å oppdatere informasjon eller verifisere kontoer. Alle slike meldinger er forsøk på svindel.