This is the Trace Id: 5ff7d6977386f4d0f50026a48ef7791a
Gå til hovedindholdet
Microsoft Security

Hvad er phishing?

Få mere at vide om phishing, hvad du skal se efter i et angreb, og hvordan du beskytter dig selv med værktøjer og tip til at holde dig sikker online.
Forsvar dig imod phishing

Phishing defineret

Med phishingangreb forsøger man at stjæle eller beskadige følsomme data ved at snyde folk til at afsløre personlige oplysninger som adgangskoder og kreditkortnumre.

Vigtige budskaber

  • Phishing er en type cyberangreb, hvor hackere maskerer sig som pålidelige kilder for at stjæle følsomme oplysninger.
  • Disse angreb fungerer ved at narre personer til at levere oplysninger via falske meddelelser, der er designet til at se ægte ud.
  • Phishingangreb kan opdages pga. deres mistænkelige mailadresser, generiske hilsener, hastende eller truende sprog og anmodninger om at klikke på ukendte links. 
  • Den bedste måde at forhindre phishingangreb på er at bruge phishingresistent multifaktorgodkendelse (PR-MFA), være forsigtig med meddelelseslinks og vedhæftede filer og holde sig informeret om de seneste phishingtaktikker.

Almindelige typer phishingangreb

Phishingangreb kommer fra svindlere, der er skjult som pålidelige kilder, og som forsøger at lette adgangen til alle typer følsomme data. Selvom denne omfattende type cyberangreb fortsætter med at udvikle sig sammen med nye teknologier, forbliver taktikken den samme:

Snedig kommunikation
Personer med ondsindede hensigter er dygtige til at manipulere deres ofre til at udlevere følsomme data ved at skjule skadelige meddelelser og vedhæftede filer på steder, hvor folk ikke er særligt opmærksomme, f.eks. i deres mailindbakker. Det er nemt at antage, at alle beskeder i din indbakke er legitime, men pas på – phishingmails ser ofte sikre og normale ud. Brug lidt ekstra tid på at undersøge links og afsenderens mailadresse, før du klikker på dem – det kan hjælpe dig med at undgå at blive snydt.

Påtrængende problemer, der skal handles på
Folk bliver ofre for phishingangreb, fordi de tror, at de skal foretage sig noget. Ofre kan f.eks. downloade malware, der ligner et CV, fordi de er i gang med at ansætte nogen, eller komme til at indtaste deres bankoplysninger på et mistænkeligt websted for at genaktivere en konto, som de troede, snart ville udløbe. Denne måde at skabe en falsk opfattelse af et påtrængende problem er et typisk trick, fordi det virker. For at beskytte dine data skal du være meget forsigtig eller installere beskyttelsesteknologi til mails, der gør det hårde arbejde for dig.

Falsk tillid
Personer med ondsindede hensigter snyder personer ved at skabe en falsk tillid, og selv de mest kritiske personer falder for deres tricks. Ved at efterligne pålidelige kilder som Google, Wells Fargo eller UPS kan svindlerne snyde dig til at gøre ting, før du indser, at du er blevet snydt. Mange phishingmeddelelser opdages ikke uden avancerede foranstaltninger til cybersikkerhed. Beskyt dine personlige oplysninger med sikkerhedsteknologi til mails, der er lavet til at identificere mistænkeligt indhold og slette det, før det lander i din indbakke.

Følelsesmæssig manipulation
Personer med ondsindede hensigter bruger psykologiske teknikker til at overbevise deres ofre om at handle, før de når at tænke to gange. Efter at have opbygget tillid ved at efterligne en troværdig kilde skaber de et problem, der skal løses lige nu, og derved udnytter de følelser som frygt og angst for at få, hvad de vil have. Folk har tendens til at tage hurtige beslutninger, når de får fortalt, at de ellers vil miste penge, ende med at have juridiske problemer eller ikke længere har adgang til en vigtig ressource. Vær forsigtig med meddelelser, der kræver, at du "handler nu" – det kan være svindel.

De mest almindelige typer phishingangreb omfatter:

Mailphishing
Mailphishing er den hyppigst brugte type phishing og bruger metoder som falske hyperlinks for at lokke mailmodtagerne til at dele deres personlige oplysninger. Personerne med ondsindede hensigter udgiver sig tit for at være en stor kontoudbyder som Microsoft eller Google eller endda en kollega.

Malwarephishing
Med denne phishingmetode handler det om at plante malware, der ligner en pålidelig vedhæftet fil (f.eks. et CV eller et kontoudtog) i en mail. I nogle tilfælde kan det lamme hele it-systemer, hvis man åbner en skadelig vedhæftet fil.

Spydphishing
De fleste phishingangreb er ikke rettet mod nogle bestemte personer, men det er spydphishing, hvor man udnytter oplysninger, man har indsamlet om ofrets arbejde og sociale liv. Disse angreb er afstemt ned til specifikke detaljer, hvilken gør det svært at fange dem med basiscybersikkerhed.

Whaling
Når en person med ondsindede hensigter går efter en "stor fisk" som en virksomhedsleder eller en kendt person, kaldes det whaling. Disse personer laver typisk et grundigt researcharbejde om deres ofre for at finde det rette tidspunkt at stjæle deres legitimationsoplysninger eller andre følsomme oplysninger. Hvis du har meget at tabe, har personer, der laver whalingangreb, meget at vinde.

Sms-phishing
Smishing er en kombination af ordene "sms" og "phishing" og består i at sende sms-beskeder, der ligner pålidelig kommunikation fra virksomheder som Amazon eller FedEx. Folk er særligt sårbare overfor sms-svindel, da sms-beskeder leveres i normal tekst og har et mere personligt præg.

Vishing
I vishingangreb forsøger personer med ondsindede hensigter i callcentre at franarre personer følsomme oplysninger over telefonen. I mange tilfælde bruger disse svindelnumre social engineering til at snyde ofrene til at installere malware på deres enheder i form af en app.

Farerne ved phishing

Et succesfuldt phishingangreb kan have alvorlige konsekvenser. Det kan medføre stjålne penge, uautoriserede hævninger på kreditkort, mistet adgang til billeder, videoer og filer og endda cyberkriminelle, der udgiver sig for at være dig, for på den måde at svindle andre.

Risici for en arbejdsgiver kan omfatte tab af virksomhedsmidler, eksponering af kunders og kollegaers personlige oplysninger, eller følsomme filer bliver stjålet eller gjort utilgængelige. Et databrud kan også have en vedvarende negativ indvirkning på en virksomheds omdømme. I nogle tilfælde kan skaderne være uoprettelige.

Eksempler fra den virkelige verden, der spores af Microsoft Threat Intelligence, omfatter:
 
  • Den russiske trusselsaktør Star Blizzard blev observeret for at udrulle spydphishingmeddelelser til journalister, tænketanke og ikke-statslige organisationer i et forsøg på at stjæle følsomme oplysninger.
  • Det er rapporteret, at Sapphire Sleet, der har base i Nordkorea, har stjålet for mere end 10 millioner USD i kryptovaluta, primært ved at maskere sig som venture-kapitalist og sekundært som professionelle rekrutteringsmedarbejdere.
  • Trusselsaktøren kendt som Storm-2372 blev taget i at have udført en phishingkampagne for enhedskoder, hvor de udnyttede oplevelser i meddelelsesapps til at hente godkendelsestokens.

Sådan genkender du phishingangreb

Trusselsaktører kan målrette deres angreb mod en lang række personer, især personer med adgang til følsomme oplysninger. Mange af disse medarbejdere har strategiske roller, f.eks. it, økonomi og ledelse. Men trusselsaktører kan også udgive sig for at være en supervisor, der "anmoder" om legitimationsoplysninger fra deres medarbejdere—hvilket er grunden til, at alle skal være på udkig efter mistænkelige beskeder.

Det primære mål ved phishing er at stjæle følsomme oplysninger og legitimationsoplysninger. Vær påpasselig ved enhver meddelelse (på telefon, mail eller sms-besked), der beder dig om følsomme oplysninger, eller som beder dig om at bekræfte din identitet.

Personer med ondsindede hensigter arbejder hårdt på at efterligne troværdige kilder og bruger de samme logoer, designs og brugerflader som brands eller personer, du allerede stoler på. Vær altid opmærksom, og undgå at klikke på et link eller åbne en vedhæftet fil, medmindre du ved, at meddelelsen er legitim.

Her er nogle tips til at spotte en phishingmail:
 
  • Presserende trusler eller opfordringer til handling, f.eks. Åbn straks.
  • Nye eller sjældne afsendere – alle, der sender en mail til dig for første gang.
  • Dårlig stavning og grammatik (typisk som følge af dårlig oversættelse).
  • Mistænkelige links eller vedhæftede filer – tekst med hyperlink viser links fra en anden IP-adresse eller et andet domæne.
  • Små stavefejl, f.eks. micros0ft.com eller rnicrosoft.com.

Forebyggelse af phishingangreb

Her er nogle praktiske trin, du kan udføre for at beskytte dig selv mod phishingangreb:
 
  1. Genkend tegnene. Eksempler omfatter ukendte hilsener, uopfordrede meddelelser, grammatik- og stavefejl, en fornemmelse af vigtighed, mistænkelige links eller vedhæftede filer og anmodninger om personlige oplysninger.
  2. Rapportér alt mistænkeligt. Rapportér mistænkelige meddelelser til din organisations it-afdeling, eller markér dem via angivne rapporteringsværktøjer.
  3. Installer sikkerhedssoftware. Udrul software, der er udviklet til at registrere og blokere forsøg på phishing, f.eks. antivirusprogrammer eller firewalls.
  4. Kræv multifaktorgodkendelse (MFA). Dette trin tilføjer et ekstra lag af sikkerhed. Gå endnu videre med phishingresistent MFA (PR-MFA), som beskytter mod social engineering.
  5. Hold dig informeret via uddannelse og træning. Regelmæssige træningssessioner kan hjælpe dig og dine kolleger med at identificere og rapportere forsøg på phishing via de rette kanaler. Angrebsmetoder udvikler sig hele tiden, så det er bedst at holde styr på de aktuelle tendenser inden for cybersikkerhed og opdateringer af trusselsintelligens.

Reaktion på et phishingangreb

Når du støder på et forsøg på phishing, er det vigtigt at reagere hurtigt for at minimere potentielle skader:
 
  1. Svar ikke. Selv et enkelt svar kan bekræfte over for en person med ondsindede hensigter, at din mailadresse er aktiv, hvilket kan opfordre vedkommende til at prøve endnu mere.
  2. Skift dine adgangskoder. Hvis du har mistanke om, at dine legitimationsoplysninger er blevet kompromitteret, skal du straks ændre dine adgangskoder. Implementer multifaktorgodkendelse, hvis du ikke bruger det i øjeblikket.
  3. Giv dit it-teambesked. Hvis du giver dem besked om phishingforsøget, kan der blive bedt om et svar på en hændelse for at afhjælpe skader på tværs af organisationens netværk.
  4. Rapportér forsøg på phishing. Brug angivne rapporteringsværktøjer, eller følg de instruktioner, der er givet af it-teamet.
  5. Overvåg dine konti. Kontrollér jævnligt alle konti med følsomme data, f.eks. en økonomisk konto, for mistænkelig aktivitet.
  6. Oplær dine kollegaer. Fortæl dit team om phishingforsøget, og hvad de skal holde øje med. Dette enkle trin kan samlet styrke forsvar.
Ved at anvende disse trin og reagere øjeblikkeligt kan du reducere risikoen for yderligere skade betydeligt og beskytte både personlige og organisatoriske data.  

Phishingtendenser

Trusselsaktører bruger en række malware til at udføre deres phishingangreb. De mest almindelige omfatter:
 
  • Ransomware er en af de mest almindelige typer malware. Den begrænser adgangen til data ved at kryptere filer eller låse computerskærme og forsøger derefter at aftvinge penge fra et offer ved at bede om løsesum i bytte for at få adgang til dataene.
  • Spyware inficerer en enhed og overvåger derefter aktivitet på enheden og online og indsamler alle følsomme oplysninger, der bruges, f.eks. logonoplysninger og personlige data.
  • Robotter gør det muligt for hackere at inficere og overtage styringen af enheder. Botnets er netværk af robotter, der gør brug af kommando- og kontrolservere (C&C) til at sprede et endnu bredere net, der udfører skadelige aktiviteter.
  • Virus er en af de ældste former for malware. De vedhæfter sig selv for at rense filer og sprede sig til andre filer og programmer. 
  • Trojanske heste skjuler sig selv som almindelig software. Når de er installeret, spreder de skadelig kode, der kan overtage styringen af en enhed og oprette en bagdør til anden malware.
Angreb favner nu også AI-genereret malware, hvilket er mere avanceret og sværere at registrere, da det kan efterligne legitim softwareadfærd og regenerere kode for at omgå sikkerhed.

Denne hurtige udvikling af malware har fået sikkerhedsmedarbejdere til at udvikle lignende teknikker for at drage fordel af kunstig intelligens til cybersikkerhed:  
  • Løsninger til udvidet registrering og svar (XDR) forener værktøjer som slutpunktsregistrering og -svar (EDR), AI og maskinel indlæring (ML) samt andre værktøjer til en enkelt cloudbaseret platform.
  • Administreret registrering og svar (MDR) kombinerer teknologi med menneskelig ekspertise for at styrke cybersikkerheden.
  • Løsninger med Security Information and Event Management (SIEM) forbedrer trusselsregistrering og svar på hændelse ved at analysere data fra forskellige kilder.
Ved at kombinere disse løsninger får organisationer omfattende jagt på cybertrusler, registrering og analyse drevet af kunstig intelligens samt automatiserede svarmuligheder på tværs af hele deres digitale ejendom.

Beskyt dig selv mod phishingangreb

Beskyttelse af dig selv og din virksomhed mod phishingangreb kræver en kombination af årvågenhed, uddannelse og robuste sikkerhedsforanstaltninger. Regelmæssige oplærings- og oplysningsprogrammer kan hjælpe dig og dine kollegaer med at genkende og reagere på phishingforsøg. Sørg for at bruge stærke, entydige adgangskoder, implementere multifaktorgodkendelse og rapportere mistænkelige meddelelser til din it-afdeling.

Organisationer kan beskytte deres apps og enheder mod phishing og andre cybertrusler med Microsoft Defender for Office 365. Det hjælper med at sikre mail- og samarbejdsværktøjer, hvilket giver udvidet beskyttelse og forbedrer virksomhedens overordnede sikkerhedsniveau. Defender for Office 365 indeholder også funktionalitet til trusselsregistrering og -svar drevet af kunstig intelligens, automatiseret afhjælpning og træning i cyberangrebssimulering for at hjælpe organisationer med at være på forkant med nye trusler.
Forholdsregler

Hurtige tip til at undgå phishing

Stol ikke på de viste navne
Tjek afsenderens mailadresse, før du åbner en meddelelse – det viste navn kan være falsk.
Se, om der er stavefejl
Stavefejl og dårlig grammatik er typisk for phishingmails. Hvis det ser forkert ud, så markér det.
Se, før du klikker
Hold musen over hyperlinks i indhold, der ser troværdigt ud, for at se linkadressen.
Læs, hvem mailen er stilet til
Hvis mailen er stilet til "Kære kunde" i stedet for til dig, skal du være påpasselig. Det er muligvis svindel.
Undersøg signaturen
Se, om der er kontaktoplysninger i mailens sidefod. Troværdige afsendere oplyser altid kontaktoplysninger.
Vær opmærksom på trusler
Sætninger, der benytter sig af frygt, såsom "Din konto er blevet suspenderet", ses ofte i phishingmails.
RESSOURCER

Få mere at vide om, hvordan Microsoft Security kan beskytte mod phishing

En kvinde, der arbejder med fane
Løsning

Løsninger til beskyttelse og forebyggelse af phishing

Hjælp med at registrere og afhjælpe phishingangreb med stærk mailsikkerhed og godkendelse.
Få mere at vide
En mand, der arbejder med fane
Løsning

Samlede sikkerhedshandlinger

Overhal cybertrusler med én effektiv platform til sikkerhedshandlinger.
Få mere at vide
En kvinde sidder ved et skrivebord og arbejder på en bærbar computer
Portalen til trusselsbeskyttelse

Nyheder om cybersikkerhed og kunstig intelligens

Opdag de seneste tendenser og bedste praksisser inden for beskyttelse mod phishing og kunstig intelligens for cybersikkerhed.
Hent de seneste ressourcer

Ofte stillede spørgsmål

  • Phishing er en type cyberangreb, hvor hackere forsøger at narre personer til at levere følsomme oplysninger, f.eks. brugernavne, adgangskoder, kreditkortnumre eller andre personlige oplysninger. Dette gøres typisk ved at maskere sig som en pålidelig enhed inden for elektronisk kommunikation, f.eks. mails, sms'er eller websteder.
  • I de fleste tilfælde sender personen med ondsindede hensigter en meddelelse til modtageren via mail, sms, telefon eller et websted. Meddelelsen er skræddersyet og ser ud til at være fra en legitim kilde og anmoder modtageren om hurtigt at sende følsomme oplysninger eller klikke på et link, der fører til et falsk websted, der er designet til at stjæle legitimationsoplysninger.
  • Den bedste måde at beskytte dig selv mod phishingangreb på er at sikre, at dine enheder er konfigureret til phishingresistent multifaktorgodkendelse (PR-MFA). Du bør også rapportere indhold, der ser mistænkeligt ud, til din organisations sikkerhedsteam. Du kan også holde dig selv informeret ved at deltage i uddannelses- og oplysningsprogrammer, så du ved, hvordan du genkender og reagerer på phishingforsøg.

  • Typiske phishingangreb omfatter:  

    • Mailphishing (mest almindelige): Hackere sender mails, der ser ud til at være legitime, og som opfordrer modtagerne til at reagere hurtigt for at undgå at miste adgang til virksomhedens ressourcer.
     
    • Sms-phishing: Phishing via sms, der anmoder modtagere om at klikke på et link eller angive oplysninger.
     
    • Spydphishing: En målrettet metode, hvor hackere udgiver sig for at være en pålidelig kilde, f.eks. deres chef, for at stjæle oplysninger. 
     
    • Vishing: Phishing via telefonopkald for at indsamle følsomme oplysninger.
  • Phishing er en af de mest effektive måder at stjæle oplysninger på og kan have alvorlige konsekvenser for både enkeltpersoner og organisationer. Vellykkede phishingangreb kan afsløre personlige og arbejdsrelaterede oplysninger og kan føre til uautoriseret adgang til følsomme data, økonomiske tab og skade på omdømme.

Følg Microsoft Security