Sådan sikrer du dig mod phishingangreb

Tror du, phishing er en forældet form for angreb? Så kan du godt tro om igen. På trods af smartere e-mailspamfiltrering rapporterer Anti-Phishing Working Group om en stigning på 18 % i unikke phishingindberetninger i sidste kvartal af 2014, og sikkerhedseksperter forudsiger, at tallet fortsat vil stige i løbet af 2016.

Phishing er stadig en populær taktik til tyveri af følsomme oplysninger som f.eks. adgangskoder, sikkerhedskoder og kreditkortnumre samt til at snige malware ind på personlige enheder og virksomhedssystemer. Selv en LastPass-konto kan være målet for et phishingangreb. At beskytte sig mod phishing kræver både smartere registrering udført af den software, vi bruger, og bedre individuel forberedelse som det første forsvarsværk mod angreb.

Her kan du se, hvordan LastPass bekæmper phishing, og hvad du kan gøre for at forbedre dine phishingregistreringsfunktioner og beskytte dine mest følsomme oplysninger, når du er uopmærksom et øjeblik.

Hvad er phishing?

Phishingangreb findes i mange forskellige former. Der findes e-mails, som udgiver sig for at være fra din bank, og som beder om bekræftelse af kontoaktiviteter. Eller de falske fakturaer, der beder dig om at downloade det vedhæftede dokument for at bekræfte dit køb. Det kan være i form af ondsindede reklamer eller links på sociale medier. Angriberne går måske så langt som til at videresende dig til en logonside, der næsten er en klon af et anerkendt websted, som du bruger og har tillid til.

Spear phishing er endnu mere personlig. Angriberne sender e-mails, der kan udgive sig for at komme fra en kollega eller chef eller måske endda fra din IT-afdeling. De får anmodningen til at se legitim ud ved at bruge det, de har lært om dig, til at anmode om flere oplysninger eller få dig til at downloade en skadelig fil eller overføre penge.

Sådan opdager du phishingangreb

Mange phishingangreb er simple og nemme at opdage, men nogle er mere sofistikerede, så det kræver en del skepsis at identificere mistænkelige e-mails, links og meddelelser. Her kan du se, hvordan du opdager et almindeligt phishingangreb:

  • Kontrollér URL-adressen: Se på adressebjælken i det websted, du har åbnet, eller lad markøren hvile på et link for at se URL-adressen nederst til venstre i browseren for at bekræfte, om det er en URL-adresse, du kan have tillid til, eller en bedrager, inden du starter. Med LastPass ser du f.eks. altid https://lastpass.com eller https://subdomain.lastpass.com. En phishing-URL-adresse kan imidlertid se ud på følgende måde: http://lastpass.otherdomain.com. I dette tilfælde er domænet faktisk “otherdomain.com” og bør undgås.
    Image credit: Lifehacker

    Image credit: Lifehacker

  • Kontrollér, hvem den er adresseret til: Vær skeptisk over for e-mails sendt til “Kære kunde” eller uden en indledende hilsen. De fleste detailhandlere af i dag vil skrive dit navn i indledningen. Spear phishing-angreb er dog ofte målrettet specifikt mod dig, så dette er ikke altid en sikker metode.
  • Åbn selv et websted: Hvis du ikke er sikker, skal du blot åbne en ny fane eller et nyt vindue i din browser, indtaste URL-adressen direkte (eller åbne den fra din adgangskodemanager), så ved du, at du kommer til et legitimt websted.Screen Shot 2016-01-20 at 9.14.38 AM (2)
  • Kontrollér, om din adgangskodemanager viser et matchende logon: LastPass kan hjælpe med at beskytte dig mod phishing ved ikke at udfylde dit logon automatisk på et falsk websted. Fordi domænet ikke svarer til det, LastPass har gemt, bliver dine data ikke udfyldt. Kontrollér URL-adressen, hvis du ser, at dette sker.
  • Sæt tempoet ned, hvis du bliver opfordret til at skynde dig: Alt, hvad der får dig til at reagere hurtigt, kan være et forsøg på at manipulere dig til at gøre noget uden at tænke først.
  • Stil dig selv spørgsmål: Bad jeg denne person om at sende mig en vedhæftet fil? Er dette noget, der ikke er karakteristisk for den pågældende person? Hvis du er i tvivl, skal du blive ved med at være skeptisk og bare spørge.
  • Kontrollér, om der er et HTTPS:// og en hængelås: Når du er på et websted, skal du altid se på URL-adresselinjen, om du opretter forbindelse via HTTPS for at få en sikker forbindelse, og om der er et hængelåsikon på linjen, hvilket betyder, at webstedet er blevet bekræftet af et tredjepartssikkerhedsfirma. Screen Shot 2016-01-20 at 9.16.41 AM (2)

Når phishing går efter din adgangskodemanager

Phishingangreb er ikke længere begrænset til ondsindede e-mails, reklamer eller links på sociale medier. Nogle phishingangreb vil måske prøve at angribe de udvidelsesprogrammer, du bruger i din browser, f.eks. ved at udgive sig for at være en adgangskodemanager.

Det er f.eks. muligt for et ondsindet websted at udgive sig for at være din browserudvidelse ved at vise meddelelser, der anmoder om oplysninger som f.eks. dit brugernavn, din adgangskode og en totrinsbekræftelseskode. Det kan være vanskeligt at afgøre, om meddelelserne faktisk kommer fra det ondsindede websted i stedet for fra din browserudvidelse.

Sådan beskytter LastPass dig mod phishingangreb

  • Advarsel om, at hovedadgangskoden blev indtastet på en ikke-LastPass-side: LastPass viser en kraftig advarsel, selv inden du angiver din hovedadgangskode på en side, hver gang du forsøger at indtaste din LastPass-hovedadgangskode på en ikke-LastPass-side. Du ved omgående, at din hovedadgangskode er blevet kompromitteret, og kan ændre den.
  • Krav om verifikation for logon fra ukendte steder eller enheder: LastPass har en verifikationsproces, som kræves, når du forsøger at logge på fra et ukendt sted eller en ukendt enhed. Så hvis du uforvarende indtaster din hovedadgangskode og totrinsbekræftelse, vil ethvert af angriberens forsøg på at bruge de pågældende data blive forhindret af e-mailverifikationstrinene. Angriberen har brug for at få adgang til din e-mailkonto, hvilket også kan forpurres af en totrinsbekræftelse for din e-mailkonto. Hvis du ser en verifikationsanmodning, du ikke satte i gang, kan du roligt ignorere den og opdatere din hovedadgangskode i kontoindstillingerne for LastPass-boksen (LastPass Vault).
  • Forhindring af aflogning: Selvom en ondsindet side viser en falsk LastPass-meddelelse om, at du er blevet logget af og skal logge på igen, bør du undersøge, om du stadig er logget på LastPass-udvidelsen, og kun logge på via den pågældende udvidelse.

Ud over disse sikkerhedsforanstaltninger opfordrer vi også Google og andre browsere til at hjælpe os med at beskytte brugere yderligere ved at tilbyde sikre måder at vise meddelelser uden for browserens viewport på.

Sådan kan du være med til at beskytte din LastPass-konto

Oven i de sikkerhedsforanstaltninger, vi har sørget for, kan du også holde din boks sikker med følgende bedste praksisser:

  • Log altid på via LastPass-udvidelsen. Den sikreste måde at logge på LastPass på er ved at klikke på udvidelsesikonet i browserens værktøjslinje.  Screen Shot 2016-01-20 at 9.24.22 AM (2)
  • Genbrug aldrig din hovedadgangskode. Hvis du genbruger din hovedadgangskode, øges risikoen for, at en eller anden stjæler din boks. Brug altid en unik hovedadgangskode til LastPass, og vær opmærksom på vores advarsel, hvis du indtaster din hovedadgangskode et andet sted, end når du logger på LastPass.
  • Vær forsigtig, når du downloader LastPass. Download kun LastPass fra LastPass.com eller fra de add-on butikker, din browser eller enhed stiller til rådighed. Brug aldrig tredjepartswebsteder til download, og pas på navne i add-on butikkerne, som ligner LastPass, men faktisk har et andet udgivernavn og ingen tekniske data.
  • Del aldrig din hovedadgangskode. LastPass-teamet vil aldrig bede dig om din hovedadgangskode. Vær på vagt over for nogen, der hævder, at de er fra LastPass, og som beder om din hovedadgangskode. Afslør ikke din adgangskode. Aldrig.
  • Tilføj totrinsbekræftelse. God sikkerhed handler om sikkerhedslag, der forhindrer risici bedst muligt. Totrinsbekræftelse kræver en ekstra oplysning, før du kan få adgang til din konto. Mens det ikke er skudsikkert, har det stor betydning for beskyttelsen af din konto.
  • Beskyt din e-mail med en stærk adgangskode og totrinsbekræftelse . Din e-mailkonto indeholder ofte nøglerne til dit kongerige. Beskyt den, som om dit digitale liv afhænger af den, for det kan faktisk være tilfældet. LastPass kan generere en stærk adgangskode, der er til at udtale og huske, til din e-mail, hvis du foretrækker det. Og slå altid totrinsbekræftelse til, hvis din e-mailudbyder tilbyder det.

At være sikker online kræver en konstant indsats fra alle parter. Hos LastPass arbejder vi hele tiden på at forbedre vores produkt, efterhånden som der dukker nye trusler op, og vi samarbejder med andre inden for sikkerhedsforskning for at gøre vores produkt endnu sikrere. Vi, som brugere, skal også fortsat følge de bedste sikkerhedspraksisser.