Phishing er et forsøk på å lure folk til å gi opp sine brukernavn, passord, kredittkortnummer og annen nyttig informasjon, gjennom en falsk nettside.
NetCom, DNB og Nordea har alle opplevd phishing-forsøk. Phishing er ofte utført ved å sende en e-post til potensielle ofre, og instruere dem til å følge en link til den falske nettsiden.
Å svare eller ikke svare, det er spørsmålet
Nettstedet som brukerne rettes inn mot vil se ut og føles nesten som en legitim nettside, for eksempel ved at de ligner selskapene nevnt over. Du vil da bli bedt om å fylle ut en form for skjema med informasjon som eksempelvis brukernavn og passord, eller bankinformasjon. Selvfølgelig vil denne informasjonen videre brukes på forskjellige måter av gjerningspersonene. Så hvordan du kan unngå at dette skjer? Det er flere tekniske tilnærminger til dette, ved for eksempel å sikre forbindelser representert ved https, hengelås eller fargede koder i adressefeltet, indikasjoner på om nettstedet er reelt, ved å manuelt skrive inn adressen du vet er den riktige, i stedet for å følge hyperkoblinger, og indikasjoner av hvilken myndighet nettstedet her i form av sertifikater. Problemet med dette er at, uansett hvilken teknisk løsning som her er presentert, så er det flere måter å manipulere veier rundt disse.
Enhver som administrerer kontoene dine, har allerede tilgang til all den informasjonen de trenger. En reell organisasjon vil derfor aldri be om denne typen informasjon.Prof. Iain Sutherland
Så hva gjør du?
Så hva gjør man? Jeg vil si at svaret er å lære opp brukerne. Det finnes en rekke ting man kan undersøke for å gjenkjenne og unngå phishing-angrep:
-
Du kan se på avsender og vurdere sannsynligheten for at dette blir en legitim avsender.
- Utfordringen med dette er selvfølgelig spoofed senders. -
Du kan se på hyperlenke eller URL som følger med e-posten, for å se om det ser legitimt ut
- Utfordringen er at man kan endre utseendet til hyperkoblinger for å kamuflere det. -
Du kan sjekke e-post for personlig informasjon som brukernavn eller delvis kontonummer
- Utfordringen er at angripere kan tilpasse informasjonen i sine e-poster. -
Sjekk e-posten for feil i staving eller ordlyd.
- Utfordringen er at angriperne kan være godt utdannet.
Eksperimenter og forskning tyder på at folk flest er ikke så flinke til å vie slike eposter sin fulle oppmerksomhet. Så når den beste sikkerhetensvurderingen koker ned til om man skal svare eller ikke, så ha følgende i bakhodet:
Alle som administrerer kontoene dine, om dette er en bankkonto, en kundekonto, en e-postkonto eller kanskje en nettverksbrukerkonto, har allerede tilgang til den informasjonen de trenger. Enhver respektfull organisasjon vil derfor aldri be om denne type informasjon via e-post, og dermed bør du heller ALDRI oppgi slik informasjon på denne måten.
