Phishing: Hvad er det, og hvordan undgår du at falde i fælden?

Det er den mest udbredte form for cyberangreb i verden. Det koster virksomheder milliarder af kroner hvert eneste aar. Og det virker, fordi det er rettet mod det svageste led i enhver organisations sikkerhed: mennesket.

Det hedder phishing – og du har sikkert allerede mødt det. Spørgsmålet er, om du altid genkendte det. Se Mini MBA i Cybersecurity og lær at beskytte dig selv og din organisation her.

Hvad er phishing?

Phishing er en form for social engineering, hvor angribere udgiver sig for at være nogen, du stoler på – en bank, et offentligt organ, en kollega, din chef eller en velkendt service – med det formål at narre dig til at afgive følsomme oplysninger, klikke på farlige links eller downloade malware.

Begrebet stammer fra "fishing" – man kaster en krog ud og venter på, at nogen bider på. Og i den digitale verden er det overraskende mange, der gør det.

De fire hyppigste phishing-former

Email-phishing er den mest klassiske: En mail, der ser ud til at komme fra en troværdig afsender, og som beder dig klikke på et link, nulstille en adgangskode eller bekræfte dine betalingsoplysninger. Spear phishing er mere målrettet: Angriberen har gjort sit hjemmearbejde og personaliserer angrebet med navn, jobtitel og detaljer, der gør mailen næsten umulig at afsløre. CEO fraud (eller BEC – Business Email Compromise) foregives som en mail fra en topchef, der beder en medarbejder overføre penge hurtigt og diskret. Og smishing er phishing via SMS – et stigende problem i takt med, at vi bruger telefonen til alt fra bank til e-mail.

Hvad sker der, hvis du bider på krogen?

I bedste fald mister du din adgangskode og skal i gang med at ændre den. I værste fald giver du angribere adgang til hele jeres netværk, kundernes persondata lækkes, ransomware installeres – og I ender med en regning i millionklassen og en pressesag, der er svær at komme sig fra.

I 2023 steg phishing-angreb mod danske virksomheder med næsten 50 % sammenlignet med aaet før. Det er ikke et trend, der er på vej ned.

Seks tegn på, at det er phishing

Der er heldigvis en række advarselssignaler at holde øje med. Urgency er det første: Mailen skaber kunstig tidspres – "Handle nu", "Din konto er ved at blive lukket". Mistænkelig afsenderadresse er det andet: E-mailadressen ligner næsten den rigtige, men er en lille smule forkert. Links der ikke passer er det tredje: Før du klikker, hold musen over linket og se, om URL'en stemmer overens med afsenderen. Generisk tiltale som "Kære bruger" eller "Kære kunde" er det fjerde. Stavefejl og dårlig grammatik er det femte – selvom dette er blevet sværere at bruge som pejlemærke, da AI nu genererer næsten fejlfri phishing-tekster. Og unormale anmodninger er det sjette: Ingen seriøs virksomhed beder dig sende din adgangskode eller kontonummer via e-mail.

Hvad kan du gøre som individ og som organisation?

Som individ: Stop altid op et sekund, inden du klikker. Verificér afsenderen, helst via en anden kanal. Og er du i tvivl, er svaret nej.

Som organisation: Træn medarbejderne regelmæssigt i at genkende phishing. Implementér MFA (multifaktorgodkendelse) overalt. Og sørg for klare procedurer for, hvornår og hvordan man overfører penge eller deler følsomme data.

Vil du forstå hele trusselsbilledet?

Phishing er kun ét af mange angrebsvektorer i en verden, der bliver mere digital og mere saarbar for hvert aar. Vil du have den komplette viden om cybersikkerhed – fra phishing og ransomware til compliance og governance? Se Mini MBA i Cybersecurity og find din startdato her.