Begreppet phishing kommer från engelskans fishing (en homofon: låter lika, stavas olika). Men i den här versionen av fiskandet är det vi som är fisken och skurkarna som försöker fånga oss. Så det gäller att veta när man inte skall nappa.
Phishing handlar om försök att komma åt värdefull information. Vanligen typ dina bankkoder, din kreditkortsinformation, eller din inloggningsinformation till sociala medier, e-post, eller andra tjänster.
Phishingförsök brukar börja med att någon i ett e-post till dig påstår sig vara från ett bekant företag eller någon tjänst du använder: din bank, Apple, en social media tjänst där du har ett konto eller liknande. I e-posten ombes du att klicka på en länk som för dig till en inloggningssida där du ska mata in ditt kreditkortsnummer eller ge någon annan känslig eller värdefull information.
Det är mycket möjligt – och till och med troligt – att sidan du via länken skickas vidare till ser alldeles äkta ut. Men om det är fråga om phishing så är den inte det. Och vilken som helst information du sedan fyller i på den sajten (eller skickar per e-post) kommer att gå direkt till skurkarna.
”Gör det genast annars går det illa!”
Ofta innehåller e-posten någon orsak för dig att tro att det är viktigt, om inte direkt brådskande, att logga in medsamma. Det kanske påstås att något program är farligt föråldrat och behöver uppdateras. Eller att ditt konto- eller bankkortsinformation måste uppdateras.
En annan variant på brådske-skapandet är att vi får ett kvitto för en stor betalning som vi aldrig gjort. Och sedan finns där en länk vi kan klicka på om vi vill ”kontrollera någonting” gällande betalningen. Vilket är menat att få oss att genast villa logga in för att kontrollera vad fanders det är fråga om.
Får du ett mejl som skapar en känsla av brådska att logga in på en tjänst, ge din kreditkorts information eller något liknande, så är det första och viktigaste steget: Ta det lugnt! Det finns ett antal saker du ska kolla innan du tror på ett enda ord du läser.
Phishing License (källa: xkcd.com)
Hur känner man igen ett phishingförsök?
Det finns allt mellan otroligt klumpiga och väldigt professionella phishingförsök. Det här är inte en komplett lista, men nog en bra början.
1) Läs mejlet noggrannt
Står det ”dear customer” eller annan allmän info så var extra försiktig. Faktiska e-post har ofta något mera personligt – t.ex. ditt användarnamn eller riktiga namn. Dåligt språkbruk borde också slänga upp varningsflaggorna.
2) Kolla vad e-posten ber dig göra
Blir du i mejlet ombedd att skicka någon viktig eller känslig information per e-post så kan du genast slänga mejlet i skräpkorgen. Skicka aldrig inloggningsinformation, bankkoder, kreditkortsinformation eller dylikt per e-post.
Ber mejlet dig att logga in någonstans så ska du först fundera lite mera innan du klickar på länken. (Och det finns bättre alternativ än att klicka på länken, men vi kommer till det senare.)
3) Finns det en länk så kolla vart den leder (utan att klicka på den)
Innan du klickar på en länk så är det en bra idé att alltid kolla vart den för dig. Även om en länk ser ut som en direkt länk till en webbsajt så kan den leda helt någon annanstans. Det är författaren som bestämmer vart länken för, oberoende av vad det står på länken.
Det går vanligtvis att kontrollera vart en länk leder helt enkelt genom att flytta musen ovanför länken. Då borde det komma fram en ruta med addressen länken för till (kolla nedre vänstra hörnet av browsern). Testa här för att se vilken länk som för dig dit den påstår:
Jo: www.hbl.fi
Nej: www.hbl.fi
(Det finns mycket mera avancerade sätt att kolla länkar, men det får bli till en senare blogg.)
Webbaddresser fungerar så att det som kommer just före sista punkten (.fi, .com, .net, etc.) är den egentliga sidan du kommer att besöka. Visar länken att du tas t.ex. till www.dinbank.linuslurardig.fi så för länken dig inte till din banks hemsida, utan till en sida som hör till sajten linuslurardig.fi.
En annan viktig punkt är att kontrollera addressen noggrant. En sak skurkarna håller på med är att skapa sidor som inte bara ser ut som riktiga sidor, utan som också har nästan samma addresser. Addresserna www.dinbank.fi och www.d1nbank.fi kan se väldigt lika ut om man tittar snabbt. Men ena leder till dina pengar, andra leder till att bli av med dina pengar.
4) Kolla e-postens avsändarinformation
Skiljer sig sändarens e-postaddress från den tjänsten sändaren påstår sig vara från så släng e-posten i skräpkorgen. Får du t.ex. ett mejl från linus.nyman@någongratismejltjänst.com som säger att han är från din bank, så i skräpkorgen med det mejlet. Men det går tyvärr att förfalska sådan information (s.k. e-mail spoofing), så fast allt ser bra ut så betyder det inte att det är det.
Om allt ännu verkar OK men du inte är helt övertygad så kan du kolla vidare genom att besöka sidan i fråga. Det finns ett bättre sätt och ett sämre sätt att göra det. Vi tar det sämre först.
5-) Klicka på länken och kolla sedan addressen på nytt på själva sidan
Besöker du sidan i fråga genom att klicka på en länk du fått i ett e-post så är det otroligt viktigt att (igen) kolla addressen i din browser. Alltså det samma som du gjorde i punkt 3 ovan: kolla att addressen du är på är vad den skall vara. www.dinbank.fi, inte www.d1nbank.fi eller www.dinbank.någotannat.fi (eller något ännu mera mysko).
OBS: Lita inte på sidan bara för att den ser äkta ut. Addressen är ofta det enda sättet att se skillnad på en phishing sida och en äkta sida.
5+) Använd inte länken utan skriv själv in (äkta) addressen
Ett tryggare sätt att ta dig till tjänsten i fråga (än att klicka på länken) är att skriva in addressen själv. Säg att du t.ex. fått ett e-post som säger att du måste byta lösenord på någon tjänst (t.ex. på grund av ett dataintrång).
Istället för att klicka dig till tjänsten via en länk i e-postet så kan du själv skriva in addressen till tjänsten i din browser och sedan söka dig till ”byt lösenord” delen av sajten. På det sättet undviker du risken att nappa på phishing. Och var det fråga om phishing så är den enda skadan skedd att du i onödan bytt ett lösenord. (Och grubblar du över hur du ska hitta på ditt onödiga nya lösenord så har jag skrivit om lösenord tidigare.)
You don’t have to go home but you can’t stay here
Så var det slut för den här gången. Hittade du dig till den här sidan för att du faktiskt är intresserad av phishing? Goda nyheter – du kan läsa mera om ämnet, och se bilder på äkta phishing exempel, t.ex. i Kommunikationsverkets guide ”Näin meitä huijataan”. (Finns bara på finska, tyvärr.)
Hittade du dig till den här sidan närmast för att du försöker undvika att göra något du egentligen borde få skött? Goda nyheter! Internet är proppat med sidor som kan hjälpa med att undvika riktigt arbete. Själv kan jag varmt rekommendera xkcd.com för det ändamålet.
(PS. Vilken länk du än väljer så kom ihåg att kolla vart den leder innan du klickar på den.) (Det finns inte några gömda överraskningar i länkarna, utan det är annars bara en bra vana:)