Er du en av dem som har fått en mistenkelig e-post eller SMS hvor du må klikke på en lenke, åpne et vedlegg eller oppgi personlig informasjon? Da er det en stor sannsynlighet for at du har blitt utsatt for et forsøk på phishing.

Hva er phishing?

Phishing, på norsk kalt «nettfisking», er en betegnelse på digital snoking eller «fisking» etter noen sin sensitive informasjon. Dette kan være for eksempel passord, bankinformasjon eller kredittkortnummer. Phishing-metoder kommer via både e-post, sms, telefon og sosiale medier. De fleste angrepene skjer imidlertid via e-post og telefon.

Millioner i svindelforsøk

Phishing foregår gjerne på følgende måte: en angriper forsøker å lure deg til å utføre en handling. Dette kan være å åpne et e-postvedlegg, klikke på en lenke eller betale en regning. Det er rett og slett en form for sosial manipulering, og konsekvensene kan bli store. Forsøkene på manipulering er typisk knyttet til frykt, tillit, tidspress eller fristelser.

Det anslås at årlig svindles mellom 8000 og 10 000 nordmenn på grunn av phishing. DNB og deres kunder tapte totalt 176 millioner kroner til svindel i 2022. Dette beløpet i seg selv er ganske alarmerende. Ifølge svindeleksperten i DNB, Sebastian Takle, har ikke bare antallet saker økt drastisk, men også summene kunder blir svindlet for økt.

– For noen år tilbake lå snittet på rundt 20 000 - 50 000 kroner. Nå ligger snittet på rundt 120.000 kr i phishing-saker, men flere har mistet millioner, sier Takle.

IT-selskapet Cloudfare publiserte også nylig en trusselrapport om phishing, som konkluderer med at phishing fremdeles er svært utbredt, og faktisk fortsetter å øke kraftig som følger av den høye suksessraten.

Phishing kan ramme hvem som helst

Det er i dag absolutt ikke uvanlig å bli utsatt for phishing-forsøk. Det er ingen tydelig målgruppe. Phishingangrep kan være både rettet mot enkeltpersoner eller bedrifter.

Mange av angrepene er automatisert, slik at de skal nå ut til så mange som mulig. Heldigvis har økt bevissthet rundt temaet gjort at mange i dag klarer å unngå å bli utsatt for phishing.

– Årsaken til at metoden funker godt nok til å bli brukt er at den sendes ut til veldig mange. Selv om de fleste forsøkene mislykkes, gjør mengden utsendinger at den likevel er lønnsom for de kriminelle,» sier IT-sikkerhetssjef i Frende Forsikring, Tron Ingebrigtsen.

Flere utsettes for ID-svindel

I løpet av de siste årene har flere blitt utsatt for ID-svindel. Dette oppstår ved at svindlere utgir seg for å være noen andre i håp om at ofrene gir fra seg sensitiv informasjon, som blant annet BankID.

– Siden 2020 har vi sett en tidobling i antallet personer som har fått kontoene sine tømt etter svindel med BankID, sa Tina Jerstad i Tenerity, et selskap som hjelper folk som har blitt rammet av ID-tyveri, til Finansavisen i fjor høst.

Bare i forrige uke møtte en mann i 20-årene til Oslo tingrett. Ved å lure til seg BankID fra flere personer har han klart å tappe store beløp ut fra ofrenes konto. Ett av ofrene ble nesten 4 millioner kroner fattigere etter en telefonsamtale med mannen.

Fra nettbank-tilgang til forbrukslån-svindel

Med tilgang til ofrenes nettbank har svindlere flere måter å stjele penger på. I de siste årene ser vi at flere bruker denne informasjonen til å ta opp lån i ofrenes navn, der pengene blir sendt til sine kontoer. Dette omtales gjerne som forbrukslån-svindel.

Shadi Maleki Ghozlo er en av mange personer som er blitt utsatt for dette. Selv om hun hadde avsluttet sitt kundeforhold til DNB, klarte gjerningsmannen å ta opp lån i flere forbrukslånsbanker via hennes DNB-konto. Dette resulterte i flere millioner i gjeld og gjeldskrav fra hele 12 ulike banker.

Styr unna falske meldinger og e-poster

Å bli utsatt for phishing kan ramme deg både økonomisk og psykisk. Det beste forebyggende du kan gjøre for å beskytte deg mot phishing er å vite hva du ser etter.

Her er noen tips til hvordan du kan identifisere et phising-forsøk:

• Mistenkelige vedlegg eller lenker: phishing-mail inneholder som regel mistenkelige lenker og vedlegg. Man må for all del ikke åpne disse.
• Domene som ikke samsvarer med e-post: Ofte vil svindlerne forsøke å få det til å se ut som det kommer fra et anerkjent selskap, men når man ser på e-post avsenderens mailadresse kan man ofte spore at det ikke er tilfelle. Domenet samsvarer ikke med avsender.
• Dårlig stavemåte og grammatikk: Hvis meldingen har åpenbare stavefeil og dårlig grammatikk kan det være et tegn på phishing. Dette kommer av at tekstene er oversatt fra et fremmed språk til norsk for å virke troverdig.
• Oppfordring til handling eller trusler: Vær obs på e-poster som krever at du må klikke på noe, åpne et vedlegg eller link. Ofte vil det være snakk om at du må handle nå for å unngå en form for ulempe eller straff. På denne måten blir man tvunget til å handle raskt og ikke tenke så mye over det før man gjør handlingen, og tenker på konsekvensene. Et godt tips når du får en melding eller mail som virker mistenkelig: ta deg god tid til å se over og unngå raske handlinger.
• Ukjent eller ny avsender: Dersom du får mail fra en ukjent eller ny avsender som du ikke kjenner til, ta deg tid til å undersøke ekstra nøye. I jobbsituasjon gjelder dette spesielt, visst mailen kommer på jobbmail og det er noen ukjente utenfor organisasjonen.
• Udefinert navn: En organisasjon eller person som forsøker å nå deg burde i de fleste tilfeller vite navnet ditt. Phishingmeldinger kan typisk starte med «Kjære madam», «Kjære sir» eller «kjære kunde».

Dette gjør du hvis du tror du har blitt utsatt for phishing

Dersom du har mistanke om at du har blitt utsatt for et phishing-angrep, er det noen grep man kan gjøre for å minimere skaden som blir gjort.

• Få en oversikt over angrepet, tenk over hvilke handlinger som har blitt gjort og hvilken informasjon som har blitt delt. Vær spesielt oppmerksom dersom du har delt passord eller kontoinformasjon. Dersom du delte kortinformasjon, burde bank kontaktes for å få sperret kort.
• Endre passord på alle kontoer du mistenker kan være berørt. Dersom du har samme passord på flere ulike typer kontoer, endre alle som har samme type passord og lag unike passord for hver konto.
• Aktiver totrinns kontroll på de kontoer der det er mulig. Dette gjør det vanskeligere for svindlere/hackere å få tilgang på kontoen din.
• Hvis angrepet har skjedd på jobbkonto eller noe relatert til en organisasjon, burde IT-ansvarlige varsles.
• Dersom du har mistet penger burde bank kontaktes, ved betydelig høyere summer burde også politi kontaktes. Det samme gjelder om du har blitt utsatt for identitetstyveri.

Vi kommer langt med litt sunn fornuft og ekstra årvåkenhet

Det som er viktig å tenke på er at det er så og si umulig å unngå å bli utsatt for forsøk på phishing. Dette er noe vi sannsynligvis kommer til å fortsette å se i fremtiden, men heldigvis kan sunn fornuft stoppe nesten alle svindelforsøk.

Er tilbudet eller informasjonen for godt til å være sant? Da er det en stor sannsynlighet for at det er svindel. Er du i tvil om linken eller henvendelsen du har fått er reell, logg deg heller inn på den offisielle nettsiden til aktøren eller ta kontakt med deres kundeservice.

Dersom du mottar en lenke, enten det er via SMS eller e-post, bør du søke opp lenken i forkant for å finne ut av om det er trygt å trykke videre på den. Dette kan du gjøre på Nummersøk Norge eller via vår app. Gjennom appen vil du også få opp informasjon om hvem som ringer deg mens det ringer. På den måten vet du om det er trygt å ta opp telefonen eller ikke.