spear phishing

riktat nätfiske (phishing) – nätfiske som riktar sig mot bestämda personer, i synnerhet mot höga chefer som har tillgång till konfidentiell information. Det är ett slags målinriktad attack. Kan också stavas spearphishing, spearfishing eller spear fishing. – Fisketermen spear fishing motsvaras på svenska av harpunfiske eller ljusterfiske. – Se också puddle phishing och whaling och jämför med big game hunting (storviltjakt).

[nätfiske] [ändrad 24 juli 2022]

nätfiske

(phishing) användning av falska webbsidor och e‑post med falsk avsändare för att lura folk att lämna ifrån sig inloggningsuppgifter eller andra hemliga uppgifter. – Nätfiske gäller ofta bankkonton eller andra sajter som hanterar pengar. Be­dra­garen utger sig i e‑post för att vara ett känt företag eller en bank, och ber mottagaren att bekräfta viss information som påstås ha gått förlorad eller måste dubbelkollas. – Offret kan hänvisas till en förfalskad webbsida som är en kopia av bankens eller företagets riktiga inloggningssida. Där ska hon logga in med sitt vanliga användarnamn och lösenord. Det går naturligt­vis inte, eftersom sidan är ett falsifikat. När offret har matat in uppgifterna får hon veta att inloggningsförsöket har misslyckats, men bedragaren har då kommit över uppgifterna och kan sedan logga in på offrets konto. När det gäller e‑legitimation kan bedragarna ringa till offret samtidigt som de har offrets inloggningssida på en bank öppen på sin dator, redo för inloggning. Om offret låter sig luras och loggar in på banken med e‑legitimation öppnas offrets bankkonto på bedragarens dator. – Det finns andra varianter, till exempel telefon­­samtal. (Se social manipulering.) – Man talar om lösenordsfiske eller autentiseringsfiske, på engelska: credential phishing. – Andra former av nätfiske går ut på att lura offret att lämna ut information direkt.

– Skydd mot nätfiske är:

  1. – tro aldrig på meddelanden om kontroll av lösenord och andra hemliga uppgifter. Riktiga banker och kontokortsföretag frågar aldrig efter kundernas lösenord i mejl eller per telefon;
  2. – var vaksam på webb­adresser (URL:er) som står i e‑post. Spara i stället länken till din banks inloggningssida som ett bokmärke i webbläsaren, och använd sedan alltid bokmärket för att komma till bankens webbsida;
  3. – lämna aldrig ut ditt lösenord till någon som frågar, varken via e‑post eller telefon. Inga seriösa företag ringer eller mejlar till sina kunder och frågar efter sådana uppgifter;
  4. – om någon ringer upp dig och påstår sig vara från en bank eller annat företag och ber dig legitimera dig med e‑legitimation, lägg omedelbart på. (Om det i stället är du som har ringt upp behöver du inte lägga på);
  5. – anmäl alla misstänkta försök till fiske till företaget eller banken. De har ofta en mejl­adress som börjar på spoof (som spoof@acme.com) för sådana anmälningar;
  6. – logga inte in med e‑legitimation på bankkonto eller annan tjänst därför att någon som har ringt upp dig ber dig att göra det.

– En rapport från Totalförsvarets forskningsinstitut, FOI (foi.se), publicerad 2020, säger att – tvärtemot vad många tror – mottagarnas personlighet spelar liten roll för om de blir lurade av nätfiske eller inte; vad som däremot spelar roll är utbildning om nätfiske. – Se FOI:s webbsidor.

– Bankerna har försvårat nätfiske genom att ersätta permanenta lösenord med engångs­lösen­ord som genereras av små dosor, eller med e‑legitimation och mobilt bank-id, och genom att ordna så att penningbeloppet för varje banktransaktion signeras av kunden. Det gör upp­snappade lösenord oanvändbara. – Jämför med catfishing och kittenfishing. – Ordet: Engelska phishing syftar på fiske som i uttrycket ”fiska efter något” och har studentikos stavning med ph-, liksom ord som phreaking. Ordet phishing i denna betydelse är belagt sedan 1995, men kan ha förekommit tidigare. – Se också Datatermgruppens rekommendationer.

[it-relaterad brottslighet] [nätfiske] [ändrad 24 oktober 2022]