Aftur í leiðbeiningar

Hvað er veiðipóstur?

Veiðipóstur (phishing) er svikapóstur sem þykist vera frá aðila sem þú treystir, banka, Skattinum, samstarfsmanni eða þekktri þjónustu, í þeim tilgangi að fá þig til að smella á tengil, gefa upp lykilorð eða greiða reikning. Hann er algengasta upphaf netárása á fyrirtæki.

Skilgreiningin

Veiðipóstur snýst um blekkingu, ekki tæknilegt innbrot. Árásaraðilinn brýtur ekki upp læsinguna heldur fær þig til að opna dyrnar sjálfur: að slá lykilorðið inn á falsaða innskráningarsíðu, opna sýkt viðhengi eða millifæra á rangan reikning. Markmiðið er nær alltaf eitt af þrennu: innskráningarupplýsingar, peningar eða að koma spilliforriti (malware) inn fyrir varnirnar.

Afbrigðin

Sama blekkingin birtist á mörgum formum, og hvert þeirra hefur eigið heiti:

  • Vísveiðipóstur (spear phishing): markviss póstur sniðinn að tilteknum einstaklingi, oft byggður á upplýsingum af LinkedIn eða vef fyrirtækisins.
  • Smáskilaboðasvindl (smishing): sama svindl í SMS, til dæmis falsað „Pósturinn“-skeyti um afhendingargjald.
  • Símaveiðar (vishing): svindlið í símtali, þar sem „bankinn“ eða „tölvudeildin“ biður um kóða eða millifærslu.
  • QR-kóðasvindl (quishing): falsaður QR-kóði sem vísar á svikasíðu.
  • Hvalveiðar (whaling): veiðipóstur sem beinist sérstaklega að stjórnendum og fjármálafólki, þar sem ávinningurinn er mestur.

Hvernig þekkirðu veiðipóst

Gervigreind hefur breytt leiknum: stafsetningarvillur og bjöguð íslenska eru ekki lengur áreiðanlegt viðvörunarmerki, því svikapóstur getur nú verið á lýtalausri íslensku. Merkin sem enn halda eru þessi:

  • Sendandinn: netfangið sjálft, ekki birtingarnafnið. „Landsbankinn“ getur sent frá landsbankinn-styrkur.com.
  • Tenglarnir: slóðin sem tengillinn vísar raunverulega á, sem sést þegar bendillinn er látinn hvíla yfir honum, ekki textinn sem birtist.
  • Tímapressan: „núna strax“, „innan 24 klukkustunda“, „annars lokast reikningurinn“. Þrýstingur á hraða er eitt sterkasta einkennið.
  • Óvænta beiðnin: póstur sem þú áttir ekki von á og biður um innskráningu, greiðslu eða trúnaðarupplýsingar.
  • Lykilorðabeiðnin: lögmæt fyrirtæki biðja aldrei um lykilorð í tölvupósti.

Íslensku dæmin

Veiðipóstur á Íslandi notar íslenskt samhengi: falsaðir póstar í nafni Skattsins um endurgreiðslu, „bankinn“ sem biður þig að staðfesta aðgang, SMS frá „Póstinum“ um lítið afhendingargjald, og falsaðar síður sem þykjast vera opinberar stofnanir og safna kennitölum. Formin breytast en mynstrið er alltaf það sama: traustur sendandi, brýnt erindi og tengill sem á að smella á.

Ef þú smelltir

Smellur er ekki heimsendir, en hraðinn á viðbrögðunum skiptir öllu. Ef þú slóst inn lykilorð skaltu breyta því strax, á öllum stöðum þar sem sama lykilorð var notað, og virkja tveggja þátta auðkenningu ef hún var ekki þegar á. Láttu svo tölvudeildina eða öryggisábyrgan aðila vita strax. Tilkynning innan mínútna getur skilið á milli lokaðs atviks og gagnaleka, og enginn vinnustaður með heilbrigt öryggismenningarstig refsar fyrir að segja frá.

Algengar spurningar

Hvað er veiðipóstur?
Veiðipóstur (phishing) er svikapóstur sem þykist vera frá traustum aðila, banka, opinberri stofnun eða samstarfsmanni, til að fá viðtakandann til að gefa upp lykilorð, greiða eða opna sýkt viðhengi. Hann er algengasta upphaf netárása.
Hvernig þekki ég veiðipóst?
Skoðaðu netfang sendandans (ekki bara nafnið), slóðina sem tenglar vísa raunverulega á, tímapressu í erindinu og hvort beðið er um lykilorð eða greiðslu sem þú áttir ekki von á. Stafsetningarvillur eru ekki lengur áreiðanlegt merki, gervigreind skrifar svikapóst á góðri íslensku.
Hver er munurinn á phishing, smishing og vishing?
Sama blekking á ólíkum leiðum: phishing er tölvupóstur, smishing er SMS og vishing er símtal. QR-kóðasvindl kallast quishing. Vörnin er sú sama: staðfestu erindið á annarri leið áður en þú bregst við.
Hvað geri ég ef ég smellti á veiðipóst?
Breyttu lykilorðinu strax, alls staðar þar sem sama lykilorð var notað, virkjaðu tveggja þátta auðkenningu og láttu tölvudeildina vita samstundis. Skjót tilkynning getur komið í veg fyrir að smellur verði að gagnaleka.

Þjálfaðu starfsfólkið í að þekkja svindlið

Varhugi kennir starfsfólki að þekkja veiðipóst, smáskilaboðasvindl og símaveiðar með stuttum námskeiðum á íslensku og raunverulegum íslenskum dæmum.