Kategori: social manipulering

Artiklar som i IDG:s ordlista helt eller delvis handlar om social manipulering (social engineering). Kategorin har underavdelningen nätfiske.

spear phishing

riktat nätfiske (phishing) – nätfiske som riktar sig mot bestämda personer, i synnerhet mot höga chefer som har tillgång till konfidentiell information. Det är ett slags målinriktad attack. Kan också stavas spearphishing, spearfishing eller spear fishing. – Fisketermen spear fishing motsvaras på svenska av harpunfiske eller ljusterfiske. – Se också puddle phishing och whaling och jämför med big game hunting (storviltjakt).

[nätfiske] [ändrad 24 juli 2022]

Nordeabrev

på 00-talet: förfalskat brev som uppgavs komma från banken Nordea, och som uppmanade bankens kunder att logga in på en falsk version av Nordeas webbsida. Syftet var att komma åt kundernas inloggningsuppgifter, alltså nätfiske (phishing). Även andra banker utsattes för motsvarande attacker, men Nordeas kunder var under åren 2006—2007 särskilt utsatta, troligen beroende på att Nordeas säkerhetssystem för internetkunder då ansågs vara det svagaste bland svenska banker. (Nordea använde då engångskoder på skrapkort.) Under 2008 införde Nordea ett säkrare system med dosor som genererade engångskoder, och som bara fungerar ihop med kundens bankkort, senare också bank-id. Sedan dess har Nordeabreven upphört. (Däremot har inte nätfiske i andra former upphört.)

[social manipulering] [ändrad 11 april 2018]

social manipulering

(social engineering) – att förleda människor att avslöja lösen­ord och annan information av betydelse för it‑säkerhet genom att tala med dem eller kommunicera med e‑post. Kan också kallas för dupering. – En form av social manipulering är falska före­vänd­ningar (pretexting). – Se också blagging. – Om man använder falsk e‑post och falska webb­sidor för att dupera folk kallas det också för nätfiske (phishing). – Ett annat icke‑tekniskt sätt att överlista säkerhetssystem är soptunnedykning. Allt detta är former av hackande i betydelsen konsten att begå data­intrång. – Det engelska uttrycket social engineering, på svenska social ingenjörskonst, är hämtat från politiken – se Wikipedia. – Läs också om pro­grammet Ava.

[bluff och båg] [hackare] [social manipulering] [ändrad 6 mars 2018]

nätfiske

(phishing) användning av falska webbsidor och e‑post med falsk avsändare för att lura folk att lämna ifrån sig inloggningsuppgifter eller andra hemliga uppgifter. – Nätfiske gäller ofta bankkonton eller andra sajter som hanterar pengar. Be­dra­garen utger sig i e‑post för att vara ett känt företag eller en bank, och ber mottagaren att bekräfta viss information som påstås ha gått förlorad eller måste dubbelkollas. – Offret kan hänvisas till en förfalskad webbsida som är en kopia av bankens eller företagets riktiga inloggningssida. Där ska hon logga in med sitt vanliga användarnamn och lösenord. Det går naturligt­vis inte, eftersom sidan är ett falsifikat. När offret har matat in uppgifterna får hon veta att inloggningsförsöket har misslyckats, men bedragaren har då kommit över uppgifterna och kan sedan logga in på offrets konto. När det gäller e‑legitimation kan bedragarna ringa till offret samtidigt som de har offrets inloggningssida på en bank öppen på sin dator, redo för inloggning. Om offret låter sig luras och loggar in på banken med e‑legitimation öppnas offrets bankkonto på bedragarens dator. – Det finns andra varianter, till exempel telefon­­samtal. (Se social manipulering.) – Man talar om lösenordsfiske eller autentiseringsfiske, på engelska: credential phishing. – Andra former av nätfiske går ut på att lura offret att lämna ut information direkt.

– Skydd mot nätfiske är:

  1. – tro aldrig på meddelanden om kontroll av lösenord och andra hemliga uppgifter. Riktiga banker och kontokortsföretag frågar aldrig efter kundernas lösenord i mejl eller per telefon;
  2. – var vaksam på webb­adresser (URL:er) som står i e‑post. Spara i stället länken till din banks inloggningssida som ett bokmärke i webbläsaren, och använd sedan alltid bokmärket för att komma till bankens webbsida;
  3. – lämna aldrig ut ditt lösenord till någon som frågar, varken via e‑post eller telefon. Inga seriösa företag ringer eller mejlar till sina kunder och frågar efter sådana uppgifter;
  4. – om någon ringer upp dig och påstår sig vara från en bank eller annat företag och ber dig legitimera dig med e‑legitimation, lägg omedelbart på. (Om det i stället är du som har ringt upp behöver du inte lägga på);
  5. – anmäl alla misstänkta försök till fiske till företaget eller banken. De har ofta en mejl­adress som börjar på spoof (som spoof@acme.com) för sådana anmälningar;
  6. – logga inte in med e‑legitimation på bankkonto eller annan tjänst därför att någon som har ringt upp dig ber dig att göra det.

– En rapport från Totalförsvarets forskningsinstitut, FOI (foi.se), publicerad 2020, säger att – tvärtemot vad många tror – mottagarnas personlighet spelar liten roll för om de blir lurade av nätfiske eller inte; vad som däremot spelar roll är utbildning om nätfiske. – Se FOI:s webbsidor.

– Bankerna har försvårat nätfiske genom att ersätta permanenta lösenord med engångs­lösen­ord som genereras av små dosor, eller med e‑legitimation och mobilt bank-id, och genom att ordna så att penningbeloppet för varje banktransaktion signeras av kunden. Det gör upp­snappade lösenord oanvändbara. – Jämför med catfishing och kittenfishing. – Ordet: Engelska phishing syftar på fiske som i uttrycket ”fiska efter något” och har studentikos stavning med ph-, liksom ord som phreaking. Ordet phishing i denna betydelse är belagt sedan 1995, men kan ha förekommit tidigare. – Se också Datatermgruppens rekommendationer.

[it-relaterad brottslighet] [nätfiske] [ändrad 24 oktober 2022]