Tema Hacking

“Det er meget vigtigt, du opdaterer dine oplysninger, hvis du ikke vil miste din konto. Klik her for at logge ind.”

Er det en formulering, du er stødt på i en email, har du formentlig været udsat for et af de mest klassiske forsøg på identitetstyveri på nettet - det der også kaldes phishing.

Ordet phishing dækker over, at nogen prøver at lokke dine personlige oplysninger ud af dig.

Det sker oftest ved at få dig til at klikke på et link, der leder til en hjemmeside, som ligner en kopi af en side, du allerede kender og bruger.

Ambitionen er at få dig til at logge ind på en falsk hjemmeside, hvor phisheren kan aflure dine login-oplysninger og dermed overtage dine internetkonti og dine personlige data.

Men hvordan undgår du at blive offer for phishing? Den gode nyhed er, at du med få simple tricks og sund fornuft kommer rigtig langt.

Her følger 10 råd - men følger du blot de tre første, er du allerede kommet ganske langt.

Fakta om phishing
  • Formålet med phishing er som oftest, at lokke brugernavn og adgangskode fra dig, til en konto på nettet.
  • Phishing-forsøg sker tit via email, men man kan også lande på en falsk hjemmeside, ved at klikke på et link på nettet.
  • En phisher udgiver sig typisk for at være Skat, Facebook, Google, din bank eller en webshop.
  • Du kan også risikere at få en email fra en du kender, som allerede har fået sin konto overtaget af phisher, og som bruger din vens konto til at sende emails ud til alle i personens adressebog.
  • En falsk mail fra en ven kunne fx indeholde et link til et delt dokument, hvor der kræves login, for at kunne læse det.
  • Formålet for den kriminelle, der overtager dine konti, er at tjene penge. Typisk ved at bruge din konto til at spamme andre, eller til at finde kreditkortoplysninger i dine beskeder.

1. To-faktor-godkendelse

Det bedste råd til at undgå, at der er nogen, der overtager dine mest personlige internetkonti som fx Gmail, Facebook, Apple eller Microsoft-konto, er at slå to-faktor-godkendelse til.

Gør du det, kan ingen logge ind på din konto fra en anden computer uden en ekstra kode, som bliver sendt til din telefon.

Det fungerer i princippet fuldstændig som en digital udgave af NemID, hvor din telefon erstatter papkortet.

Vi har lavet en detaljeret guide til, hvordan to-faktor-godkendelse virker, og hvordan du kan slå det til på dine vigtigste internetkonto. Du finder den lige her.

2. Brug forskellige kodeord

Lad være med at genbruge den samme kombination af emailadresse og kodeord på alle dine internetservices.

Gør du det - og uheldet først er ude, og nogen får fat i dit brugernavn og kodeord - vil de kunne logge ind på samtlige af dine konti.

3. Tænk dig om, inden du klikker

Et af de vigtigste værktøjer, du kan bruge til at undgå at falde i phishing-fælden, er din sunde fornuft.

På det mest simple niveau, skal du spørge dig selv: Har jeg virkelig vundet i lotteriet? Er min ven virkelig blevet bestjålet på ferien til Cypern og beder mig sende penge? Eller er jeg særligt udvalgt til at hjælpe en stor sum penge fra Nigeria til Europa? Nej vel.

Phisherne er dog med tiden blevet lang mere sofistikerede end det. Tiden, hvor emails altid var på gebrokkent dansk, er forbi. Nu kan det være overordentlig svært at vurdere, om en email rent faktisk kommer fra Google, Skat, PayPal eller andre.

Se fx nedenstående mail og vurder om den er ægte eller falsk?

Er denne mail ægte eller falsk? Det kan være mere end svært at bedømme. (Foto: Nicolai Franck © dr)

Faktisk er det en ægte mail. Men det er netop mails som denne, der gør det særdeles svært at vurdere, hvad man kan stole på. Det nemmeste er derfor at lade være med at klikke på links i emails, der vil have dig til at logge ind.

Har du fået en mail fra Google, som du tror er god nok - så gå på google.com og log ind derfra i stedet for at klikke på linket i mailen. Har du fået en mail fra Skat - så gå på skat.dk og log ind derfra i stedet for at klikke på linket.

Følger du dette råd, burde du kunne undgå at falde for et snydetrick sendt til dig på email.

Er du usikker på om en mail er ægte, kan du evt. kontakte afsenderen (din bank, Skat etc.) telefonisk og tjekke, om beskeden er fra dem.

4. Kig på hjemmesidens adresse

Er du det mindste i tvivl om, hvorvidt du rent faktisk er endt på en legitim hjemmeside - så tjek adressen i adressefeltet, inden du logger ind.

Phishing-sider vil ofte bruge domæner, der minder om den adresse, du tror, du er på.

Står der fx dr-dk.net eller facebook-com.org så bør advarselslamperne blinke mørkerødt.

Denne adresse ligner noget du kender. Men det er ikke en DR-side, og der er ingen hængelås ved siden af adressen, hvilket betyder, den ikke er krypteret. (Foto: Nicolai Franck © dr)

5. Er der en hængelås i adresselinjen

En anden ting, der er værd at kigge, er, om der er et lille hængelås-symbol i adresselinjen, eller om adressen i browseren starter med https.

Hvis der er en hængelås eller web-adressen eller den starter med https (læg mærke til s'et), så er den side du besøger krypteret. (Foto: Nicolai Franck © dr)

Ser du en af de to ting, betyder det, at hjemmesiden er krypteret. Dette er dog IKKE en garanti for, at siden er legitim.

Er der til gengæld ikke nogen hængelås, og hjemmesiden dermed er ukrypteret, er det værd at være særligt på vagt.

6. Hvem kommer mailen fra?

En anden metode, der kan bruges til at vurdere, om en email kommer fra en pålidelig kilde, er at tjekke afsenderens emailadresse.

Det fungerer lidt forskelligt afhængigt af hvilket email-program, du bruger.

Enten kan du se afsenders emailadresse direkte ved siden af afsenderens navn. Alternativt kan du holde musen henover eller højreklikke på emailens afsender for at få vist emailadressen. På mobil skal du typisk trykke på afsenders navn for at vise hvilken emailadresse, den er sendt fra.

Er facebookmail.com mon en ægte mail fra Facebook? (Foto: Nicolai Franck © dr)

Kigger du på den del af adressen, der står efter @, kan du se, hvilket domæne emailen er afsendt fra.

Dog er det ikke sikkert, at det beroliger dig. Er facebookmail.com mon en ægte adresse? Ja, det er faktisk den adresse, Facebook sender fra, men facebookmail.com burde få alarmklokken til at ringe. Også selvom den i dette tilfælde er god nok.

7. Log kun ind på hjemmesider, du aktivt besøger

Phishingangreb kommer ikke nødvendigvis igennem emails. Du kan også trykke på et link på nettet, der sender dig videre til en phishing-side, der fx vil have dig til at logge ind med din Google-konto.

Du bør være varsom, hver eneste gang du er endt på en hjemmeside, du ikke selv aktivt har skrevet ind i adressefeltet, hvor du bliver opfordret til at logge ind.

Er du blevet sendt videre til en webshop, du aldrig har hørt om - så undersøg siden, inden du begynder at logge ind og købe noget. Fx. kan du tjekke undersider som ‘om os’, for at se, om det virker som en legitim butik.

Og så tjek lige igen, om der er en hængelås i adressefeltet.

8. Brug en password manager

En af udfordringerne med at bruge forskellige kodeord over alt på nettet er, hvordan man skal kunne huske dem.

Her kan man bruge en passwordmanager.

Passwordmanageren kan bruges til at designe lange, unikke kodeord til alle dine services, og den gemmer alle kodeordene for dig, så du ikke selv skal huske dem.

Det eneste, du skal kunne huske, er kodeordet til din passwordmanager. Det kræver en lille smule tilvænning, men det er et fantastisk værktøj, når først man er kommet i gang.

Alternativt kan man også skrive sine kodeord ned på papir og gemme dem et sted derhjemme.

9. Opdater din browser - og computer

En computer vil aldrig nogensinde blive 100 procent sikker. Der opstår hele tiden nye sikkerhedshuller i softwaren, som internetkriminelle vil forsøge at udnytte.

Softwarefirmaerne - i hvert fald de ordentlige af slagsen - sender hele tiden opdateringer ud, som lukker hullerne. Derfor bør man som udgangspunkt altid opdatere sin software på computere, telefoner og tablets.

De fleste browsere forsøger at blokere kendte phishing-sites, så hvis din browser er opdateret, bør du bedre kunne undgå forskellige phishing-fælder på nettet.

På flere og flere computere kan man slå automatiske opdateringer til. Hvis du ikke har aktiveret dette, vil du formentlig alligevel blive gjort opmærkom på, at der er nye opdateringer tilgængelige. Husk at opdater.

10. Undgå så vidt muligt offentlige computere og netværk

Hvis overhovedet muligt - så lad være med at log ind på dine konti på offentlige computere på fx biblioteker eller internetcaféer. Du har ingen kontrol over, om der er nogen, der har installeret software, der kan aflure dine tastetryk.

På samme måde er det også tilrådeligt at undgå offentlige wi-fi-netværk - særligt dem uden kode.

Brug hellere din egen dataforbindelse fra mobiltelefonen.

Slutbemærkning

Husk på, at dette ikke er en skræmmekampagne. Det er tænkt som et digitalt svar på “husk cykellygter” eller “spænd sikkerhedsselen”. Du skal ikke være nervøse for at bruge nettet. Det er jo grundlæggende en fantastisk opfindelse.

Har du brug for hjælp - fx til at slå to-faktor-godkendelse til på dine konti - så spørg en ven eller et familiemedlem, om de kan hjælpe.

Kilder: Rådet for digital sikkerhed, Digitaliseringsstyrelsen, CSIS.