Nätfiske via LinkedInSociala nätverk är oerhört effektiva verktyg i händer på nätfiskare och hackers. Den 15:e september blev detta bevisat än en gång, då streamingtjänsten Vevo själv blev offer för en nätfiskekampanj, som resulterade i att över 3.12 TB av känsliga interna uppgifter komprometterades. Nätfiskaren använde sig av ett falskt konto på LinkedIn, från vilket en av Vevos anställda fick ett infekterat e-mail. Det är dock inte första gången något liknande hänt – lokala olje- och gasföretag, ett företag för cybersäkerhet och en statlig avdelning har redan råkat ut för liknande attacker i år, och fler fall av nätfiskeoffer blir nyheter varje dag.

Nätfiske kallas också phishing eller lösenordsfiske, och handlar om en form av social manipulation där du som användare luras att lämna ut ditt lösenord eller annan känslig personlig information till skurkarna. Oftast sker detta via e-post: du får ett mail som påstår att du måste kolla ditt konto snarast möjligt. Många gånger anges någon brådskande anledning som till exempel att någon försökt stjäla din information eller hacka sig in på ditt konto, för att lura in dig i fel tankespår och få dig att klicka på länken. När du en gång gjort det förs du vidare till en oäkta webbsida med ett falskt inloggningsformulär, och när du anger din personliga information där går den direkt till nätfiskaren: du har nappat på kroken, och vet kanske inte ens om det. På detta sätt har många privatpersoner blivit lurade på sina pengar och till och med sin identitet, men det sker allt oftare att stora företag också blir drabbade av dessa brott, kanske därför att en av deras anställda varit oförsiktig med sin e-post.

Men precis som en expert fiskare som vet att man måste ha olika sorters lockbete på kroken för att få in olika sorters fiskar, har nätfiskare också utarbetat många olika metoder för att få dig att nappa. Användningen av sociala nätverk är endast en av dessa “lockbeten”, och LinkedIn har visat sig vara en av de mest effektiva när det gäller hackare som ger sig ut för att vara någon annan bara för att komma åt dina uppgifter.

Så får de dig att nappa

Sociala nätverk låter användare skapa en egen identitet på nätet, genom vilken de kan umgås med sina kontakter för att bygga upp trovärdighet och pålitlighet. Nätfiskare är experter på att använda sig av dessa faktorer för att främja sina egna (oärliga) intressen, och genom att förstå hur de tänker kan du gardera dig mot kommande attacker. Det första man gör när man får en ny förfrågan om vänskap är vanligtvis att gå igenom den andra personens profil: Känner jag denna människa? Vad har vi gemensamt? Svaret på dessa frågor är ofta avgörande i beslutet om att godkänna eller neka förfrågan. För att du godtroget ska nappa spenderar nätfiskaren rikligt med tid på att förfina den falska profilen med detaljer, och när du en gång gjort det, kan din goda tro manipuleras på ett sätt som får dig att lämna ut känsliga uppgifter. Många nätverk uppmuntrar sina användare att fördjupa sin vänskap med sina kontakter genom att berätta detaljer som vad de jobbar med, deras ansvar, information om deras familjer eller fritidsintressen, och mycket mer. När denna information hamnar i fel händer kan den förvandlas till ett farligt vapen: attacken finslipas för att passa just dig, för att använda den information som du har ansvar för för att hackern ska kunna ta sig in i systemet och komma åt de känsligaste filerna.

Ju mer information om offrets privatliv som en nätfiskare kan få tag på under rekognosceringsfasen, desto lättare blir det att komponera ett unikt nätfiskemeddelande. Detta meddelande kan senare skickas till offret direkt från det sociala nätverket via ett privat meddelande. Det verkar ha varit via denna metod som Vevo blev infiltrerat. Hackade konton används ofta med detta ändamål: falska rekommendationer och statusmeddelanden är dagligt bröd, och nyligen upptäcktes även ett fel på nätverket Facebook som gjorde det möjligt att söka efter interna, “privata” meddelanden via Google. Sanningen är att du förlorar kontrollen över den information du lägger ut på nätet i det ögonblick som du lägger ut den – även när den “raderas” sparas en kopia som kan göras tillgänglig senare av appar eller sajter som specialiserar på att återhämta och tillgängliggöra raderad information.

Smarta råd som skyddar din integritet

För att skydda dig från nätfiskeattacker via LinkedIn och liknande sociala medier, kan du följa de riktlinjer som ZeroFOX rekommenderar vid nätsurfing:

  • Undvik att kontakta användare du inte personligen träffat, och klicka inte på deras profil om du misstänker att de har oärliga anledningar att kontakta dig. Interagera endast med de personer du är säker på att du kan lita på, för att du känner dem sedan förut eller för att ni har gemensamma kontakter och deras profil ser trovärdig ut.
  • Välj säkrare säkerhetsfrågor – och om du kan välja en egen fråga i stället för de som anges, gör det. Svaret behöver inte vara sant, men du måste kunna komma ihåg det. Annars är det hur lätt som helst för en hackare att ta sig in på ditt konto obedd bara genom att låtsas vara du som glömt ditt lösenord och gissa sig till svaret på säkerhetsfrågorna.
  • Klicka inte på länken till filer du fått via sociala nätverk, och undvik att ladda ner filer med detta ursprung. LinkedIn är ett enkelt sätt för nätfiskare att få napp just därför att det är vanligt att man vidarebefordrar CV:s och rekommendationsbrev, så misstänk allt som verkar obekant eller falskt. Om du inte är säker på en bilagas ursprung, kör den då genom en malware detector.
  • Aktivera tvåfaktorautorisering på alla dina konton. Detta system krypterar din information så att inga obehöriga kan komma åt den, och på så sätt får du ett extra skydd mot informationsstöld. Det har även blivit vanligare för sociala nätverk att kräva en kod som skickas på mobilen varje gång du loggar in från en ny webbläsare, och att skicka ett varningsmail varje gång någon försöker få åtkomst till ditt konto. Var på din vakt och kontrollera noggrant att all registrerad aktivitet faktiskt var du och inte en nätfiskare.
  • Lägg inte ut någonting på nätet om du inte är absolut säker på att du vill att informationen ska bli helt offentlig och läsbar för alla – ty det är just det den blir.
  • Googla dig själv. Hittar du information som du inte vill ska vara offentlig kan du skriva till ägaren av webbsidan den finns på och be dem att ta bort uppgifterna.
  • För dig som är företagsledare: Se till att alla dina anställda får information och träning om vilken information som ska eller inte ska vara tillgänglig för allmänheten – särskilt de som har höga poster inom organisationen. Förse alla med den hjälp de behöver för att ändra inställningarna på sina sociala nätverk för att göra vissa fält, som födelsedatum, hemadress eller andra kontakter, privata och osynliga för obehöriga.

Några extra tips du kan använda för att undvika att bli nätfiskarens nästa e-postoffer är att vara extra försiktig med skumma brev:

  • Det första du ska kolla är språket. De flesta svenska företag börjar inte sina brev till kunderna med frasen “Bäste dam/herr” eller någon liknande generisk adressform. Ibland har nätfiskebrev även gott om grammatiska fel och stavfel, eftersom de som skickar dem kanske inte kan svenska eller har använt sig av opersonliga översättningsprogram. Men det sker allt oftare att det skumma brevet låter helt perfekt på svenska, då gäller det att…
  • Kontrollera avsändaradressen. Ofta använder nätfiskare falska adresser som är väldigt lika den riktiga adressen – till exempel nätf1ske.se i stället för nätfiske.se.
  • För hyperlänken dig dit den påstår att den gör? Detta kollar du lätt genom att hovra med musen över länken (utan att klicka på den). En ruta kommer att komma upp där den egentliga adressen du kommer att bli tagen till kommer upp – kontrollera om den är äkta eller ej.
  • Tvekar du fortfarande? Kontakta avsändaren via telefon – är det en bekant som skickat mailet går det oftast att fråga rakt ut, och kommer brevet från banken gör du väl i att kontakta kundservice och försäkra dig om att informationen är äkta.
  • Blir du ombedd att logga in på ditt konto och bestämmer dig för att göra det, klicka då inte på länken du fått i mailet, utan skriv in bankens adress direkt i webbläsarens sökruta. Var genast misstänksam om brev som ber om ditt lösenord, kreditkortsuppgifter, bankkoder eller inloggningsinformation. Banker och kreditinstitut agerar inte på det sättet, så det är mycket troligt att det du ser framför dig är ett nätfiske-försök.

Nätfiskare blir allt skickligare för varje dag som går, och det gäller att hålla takten med dem för att undvika att själv bli offer för denna oärliga form av manipulation. Att skapa en extra säkerhetsfråga, att klicka eller inte klicka på en skum länk eller att ladda ner en fil som kan vara infekterad kan betyda skillnaden mellan att få ha kvar dina pengar och dina privata uppgifter eller att bli av med dem.

Behöver du hjälp?

Använd formuläret och skicka ett mail till oss så kontaktar vi dig inom kort.

Not readable? Change text.