Phishing er i utgangspunktet hackarsjargong for «fisking» (fishing) og spelar på at ein «fiskar» etter sensitiv informasjon, passord og liknande. Målet kan òg vere identitetstjuveri. Vanlege phishing-angrep blir gjort mot mange samtidig. Målet er dermed ikkje spesifikke personar, men kven som helst som lèt seg lure.
Den vanlegaste framgangsmåten er å sende ein e-post som ser ut som om han kjem frå ein kjend aktør, som bank, styresmakter eller kjende butikkar og be om at mottakaren stadfestar informasjon som gjeld konto, kredittkort eller liknande, ved å klikke på ei vedlagd lenkje. Teksten i e-posten forklarer gjerne at dette er nødvendig av tryggingsomsyn, eller at kontoen vil bli stengt viss ikkje informasjonen blir stadfesta. Denne informasjonen brukast så til å tappe kontoen for pengar.
Svindlarane prøver å gjere det heile så truverdig som mogleg ved å lage ei nettside som ser identisk ut med dei ekte nettsidene til banken, eller ved å køyre eit script som først opnar dei faktiske nettsidene til banken og deretter eit mindre vindauge over dette der ein blir beden om å skrive inn person- og kontoinformasjon.
Andre teknikkar inkluderer førespurnader via SMS, nettprat eller telefon. For nokre år sidan vart det veldig vanleg med svindelforsøk via telefon. Svindlarane ringde frå falske telefonnummer og påstod dei var frå Microsoft support og kunne hjelpe med fjerning av virus. Dei ville så prøve å få offeret til å installere programvare på maskina som gav svindlarane moglegheit til å styre maskina. Dei kravde òg betaling. Meir om framgangsmåten som vart brukt i denne svindelen kan du lese i nettvett.no sin artikkel om saka – "Microsoft-svindel".
Spearphishing og whaling
Nokre metodar for phishing har etter kvart fått eigne nemningar. Spearphishing – spydfisking – er ei meir målretta form for nettfisking som gjerne blir brukt overfor enkeltpersonar eller verksemder. Svindlaren samlar først inn informasjon om verksemda på førehand for å kunne gjere svindelforsøket meir truverdig – til dømes kven som jobbar i ulike stillingar, kundeforhold, leverandørar, samarbeidspartnarar og så vidare. Denne typen phishing vart tidlegare kalla for sosial manipulering (social engineering).
Ein annan variant er whaling – kvalfangst eller direktørsvindel, der svindlaren rettar seg spesielt mot direktørar og personar i leiarstillingar.
Døme på phishing
E-posten under er eit typisk døme på nettfisking. Personinformasjon og lenkjer er gjorde uleselege.
Avsendaren utgir seg for å vere Visa Europe, og innhaldet er ei oppfordring til å registrere ein ny kode for Verified by Visa og MasterCard SecureCode som skal gi deg sikrare og enklare netthandel.
Legg merke til det dårlege språket. Det er eit teikn på at avsendaren har avgrensa kjennskap til norsk eller har brukt Google Oversettar frå eit anna språk. Du bør likevel ikkje gå ut frå at du kan avsløre alle phishingforsøk ved å sjå på språket. Det dukkar opp stadig fleire svindelforsøk på feilfritt norsk.
Ingen ekte aktør eller bedrift av noko slag vil nokon gong be deg om å oppgi passord via e-post, telefon eller andre kanalar utanom pålogginga på nettsidene deira. Viss du er usikker, bør du på eiga hand oppsøkje aktøren (til dømes banken din) og sjekke om dei har prøvd å komme i kontakt. Viss det er nokon tvil, bør du ikkje følgje lenkjer som du får tilsendt på e-post.
Viss ein klikkar på lenkja nedst i e-posten, kjem ein til nettsida under.
Merk at du ikkje bør klikke på lenkjer i mistenkjelege e-postar. I tillegg til å prøve å lure deg til å oppgi sensitiv informasjon vil nettsida som blir opna, ofte òg prøve å installere spionprogramvare på maskina di. Vi tok derfor ekstra forholdsreglar då vi opna sida for å kopiere skjermbildet. Det korrekte å gjere er å slette e-posten permanent med éin gong.
Nettsida liknar på dei som blir brukte ved sikker betaling på nett, og ho ser tilsynelatande legitim ut med logoar frå både Visa og MasterCard. Lenkjene i botnen av sida går òg til ekte informasjonssider hos Visa.
Men legg merke til at protokollen som blir brukt, er http og ikkje https. Overføringa er altså ikkje kryptert, slik all betalingsinformasjon via Internett alltid skal vere. Domenet lenkja førte til, er heller ikkje domenet til banken. Er du i tvil, bør du gå manuelt til nettsida det er snakk om (ikkje følg usikre lenkjer).
Vidare ber sida om all personinformasjon og kortinformasjon inklusive passord på den same sida. På ekte betalingssider blir ein ikkje spurt om all informasjon samtidig, for betalingssystemet må ta kontakt med banken for å verifisere kortet før ein får spørsmål om eventuelt passord og kode.
Det er heller ikkje nokon bank som lèt deg byte passord utan at du først har logga deg inn med det gamle passordet og ein gyldig kode.