Det er en stund siden internett ikke lenger er så trygt som det pleide å være. Pandemien har medført større risiko for det digitale dagliglivet, og i dag er det vanskelig å si hvilke risikoer som kan ligge bak en melding på WhatsApp eller i en Google-annonse. En av de vanligste og mest ødeleggende formene for cyberangrep er imidlertid phishing – og det er mye mer ødeleggende på mobiltelefoner.
Phishing er en type nettkriminalitet som tar sikte på å fange opp offerets legitimasjon og informasjon på en eller annen måte, vanligvis gjennom en tilsynelatende legitim melding. Halvparten sosial ingeniørkunst, halvparten teknologi, alt det kriminelle trenger er å overbevise offeret om å ta agnet: klikk på lenken, åpne en fil, installer et program, skriv inn et passord på en falsk nettside. Uten å vite det, vil denne informasjonen havne i hendene på svindleren. Og skaden er gjort.
En Trend Micro-undersøkelse tidligere i år avslørte det e-postsvindel fortsette å være den mest populære nettkriminalitet, med en årlig økning på 19 % i phishing-e-poster og 5,5 millioner forsøk på legitimasjonstyveri. Det er imidlertid ikke bare data og passord som er målrettet mot denne nettkriminalitet. Dette fisket kan målrettes mot stor fisk, for eksempel sifrene i bankpassordet ditt, eller til og med ditt kryptovaluta lommebok.
Ikke alt fiske er det samme
i følge veiledning for cybersikkerhet fra Electronic Frontier Foundation er det to primære former for phishing-angrep, og de kan forekomme på både mobiltelefoner og stasjonære datamaskiner. For å forstå forskjellene mellom dem er det viktig å se deres forhold til fiske, som er der navnet på svindelen kommer fra.
Til dags dato er den vanligste angrepsmåten gjennom "credential phishing", som kan oversettes til noe sånt som "credential fishing". I følge ComputerWorld, det første tilfellet av phishing-svindel kom i 1996, med hackere som stjal America Online-kontoer og passord. Etter å ha kastet en haug med e-poster på internett, visste kriminelle at de ikke ville fange all den uforsiktige fisken. Men de visste også at noen ville falle gjennom nettet.
En del av suksessen med legitimasjonsfisking kommer fra skalerbarheten til svindelen. Når forbryteren har satt opp "agnet" - en falsk side eller e-postmelding som fører til skadelig programvare - alt de trenger å gjøre er å sende denne massesvindel til en liste. Og med tanke på hvor ofte brasilianske data har blitt lekket, er det ikke overraskende at hackere setter sammen lister basert på denne informasjonen.
En annen mulighet for svindelen er imidlertid spearphishing - som ligner mer på harpunfiske. I stedet for å sikte mot flere ofre, er angrepet utelukkende rettet mot en enkelt person. Åtene er designet spesifikt basert på målets daglige liv, eller øyeblikk i livet. Vanligvis er de mer fokusert på synlige figurer på internett, for eksempel antatte bilder sendt av en slektning, eller en kampanje for et produkt som personen nylig har lagt ut på sitt sosiale nettverk.
Hvorfor phishing er farligere på mobiltelefoner
Ifølge en studie fra Stanford University, Brasil er det femte landet i rangeringen av ofre for denne kategorien nettkriminalitet. Selv om den samme forskningen viste at mobiltelefonbrukere blir mindre offer for phishing-angrep, er ikke dette knyttet til mangel på risiko på mobiltelefoner. Faktisk kan svindelen komme fra flere vektorer som er eksklusive for smarttelefonen: mistenkelige meldinger på WhatsApp, SMS, LinkedIn-kontakter eller falske Facebook-sider.
Den sporede cybersikkerhetsekspert Matt Boddy sier at nedbrytningen av barrierer mellom privatliv og yrkesliv har økt phishing-angrep rettet mot smarttelefoner. Og hva verre er, enhetene er det mindre rustet til å beskytte seg mot det. Mobilnettlesere viser ikke forhåndsvisninger av sidene som skal åpnes, så lenker med skadelig programvare kan åpnes på mobiltelefonen, der den samme viktige informasjonen som finnes på datamaskinen er konsentrert.
En grunnleggende veiledning for å beskytte deg selv mot phishing-angrep
Noen trinn er viktige for å beskytte mobiltelefonen din mot phishing-angrep. Selv med et antivirus på enheten din (som aldri er en dårlig idé), kan svindelen omgå automatiske sikkerhetstiltak, siden en del av det avhenger av menneskelig interaksjon.
Den første forholdsregelen er: ta hensyn til e-poster med trinnvise instruksjoner. Hvis en kriminell går gjennom støtte av Apple prøver å informere deg om en oppdatering via en lenke eller passordendring som kommer direkte via e-post, ikke åpne eller svar umiddelbart. Se etter mer institusjonell informasjon ved å kontakte nettstedet. Se meldingene du mottok i støttechatten og sjekk deres opprinnelse. I tilfelle phishing utgir seg for å være banker, prøv å ringe kontofilialen din. Hvis det er noen som potensielt utgir seg for å være noen du kjenner, prøv å ringe dem.
Hvis du mottar mistenkelige filer som PDF-er, tekstdokumenter, regneark eller bilder via e-post, ikke åpne dem umiddelbart. Last den i stedet opp til Google Disk, og se den der. Skyvisning vil forhindre at skadelige skript kjører automatisk.
For å unngå å skrive inn passord på mistenkelige sider, bruk en nøkkelbehandlingsapp med autofyll. Disse programmene sjekker integriteten til påloggingssidene du går inn på, og hvis den nekter å skrive inn passordet, er det stor sjanse for at det er en falsk side.
Til slutt, hold alltid mobiltelefonens operativsystem oppdatert. Noe skadelig programvare som er en del av phishing-angrep retter seg spesifikt mot sårbarheter i Android eller iOS, så oppdateringer bidrar til å redusere disse risikoene noe.
Bilde: Xijian/iStock