Hold deg trygg mot phishing-angrep

Tror du phishing er et utdatert angrep? Tro igjen. Til tross for smartere søppelpostfiltrering, rapporterer Anti-Phishing Working Group en 18 % økning i unike phising-rapporter i siste kvartal av 2014, og sikkerhetseksperter forutser at det bare vil fortsette å stige når vi går inn i 2016.

Phishing forblir en populær teknikk for å stjele sensitiv informasjon som passord, sikkerhetskoder og kredittkortnumre, samt snikende skadelig programvare på personlige enheter og bedriftsystemer. Selv en LastPass-konto kan være målet i et phishing-angrep. Beskyttelse mot phishing krever både smartere oppdagelse av programvaren vi bruker, og bedre individuell forberedelse som første forsvarsverk under et angrep.

Dette er hvordan LastPass bekjemper phishing, og hva du kan gjøre for å bli bedre til å oppdage phishing og beskytte din mest sensitive informasjon når du blir overrasket.

Hva er phishing?

Phishing kommer i mange formater. Det er e-postene som ser ut som om de er fra banken din og som ber om informasjon om kontoaktivitet. Eller falske fakturaer som ber deg laste ned det vedlagte dokumentet for å bekrefte kjøpet. Det kan også være i form av skadelige reklamer eller koblinger i sosial media. Angripere kan gå så langt som å sende deg til en påloggingsside som er en nær klone av en velkjent, pålitelig webside som du bruker.

Spear-phishing blir enda mer personlig. Angripere vil sende e-poster som kan se ut som om de kommer fra en kollega eller sjef, eller til og med IT-avdelingen din. De kan få forespørselen til å se ekte ut ved bruk av hva de har lært om deg for å hente ut mer informasjon eller få deg til å laste ned en skadelig fil eller overføre penger.

Slik oppdager du phishing-angrep

Mange phishing-angrep er enkle og lett å oppdage, men noen er mye mer sofistikerte, så du må være skeptisk for å oppdage mistenkelige e-poster, koblinger og varsler. Slik kan du oppdage et grunnleggende phishing-angrep:

  • Sjekk URL-adressen: Se i adresselinjen til websiden du har åpnet eller hold musepekeren over en kobling for å se URL-adressen nederst til venstre i nettleseren for å sjekke om det er en pålitelig URL-adresse eller en forfalsket adresse, før du går dit. For eksempel, med LastPass vil du alltid se https://lastpass.com eller https://underdomene.lastpass.com. . En phishing URL-adresse kan derimot se ut slik http://lastpass.annetdomene.no. . I dette tilfellet er domenet faktisk “annetdomene.no” og bør unngås.
    Image credit: Lifehacker

    Image credit: Lifehacker

  • Sjekk hvem det er adressert til: Vær skeptisk til e-poster som er sendt til “Kjære kunde” eller uten hilsning. De fleste forhandlere vil i dag bruke navnet ditt. Spear-phishing-angre er derimot ofte målrettet mot deg spesielt, så dette stemmer ikke alltid.
  • Åpne en webside selv: Hvis du ikke er sikker, bare åpne en ny fane eller vindu i nettleseren, skriv inn URL-adressen direkte (eller åpne fra passordbehandleren) og du vil vite om du går til en lovmessig side.Screen Shot 2016-01-20 at 9.14.38 AM (2)
  • Sjekk om passordbehandleren viser en passende pålogging: LastPass kan hjelpe til med å beskytte deg mot phishing ved å ikke automatisk fylle ut påloggingen din på en falsk side. Siden domenet ikke samsvarer med den LastPass har lagret, vil den ikke fylle ut dataene dine. Sjekk URL-adressen hvis du ser at dette skjer.
  • Ro ned når du ser en hastemelding: Alt som får deg til å handle raskt kan prøve å manipulere deg til å gjøre noe uten å tenke først.
  • Still deg selv spørsmål: Ba jeg denne personen om å sende meg et vedlegg? Er det noe som er uvanlig for den andre personen? Hvis du er i tvil, forbli skeptisk og bare spør.
  • Se etter HTTPS:// og hengelåsen: Hvis du er på en webside, sjekk alltid URL-adresselinjen som du kobler til via HTTPS for en sikker tilkobling og at hengelåsen vises. Dette betyr at websiden har blitt verifisert av et tredjeparts sikkerhetsselskap. Screen Shot 2016-01-20 at 9.16.41 AM (2)

Når phishing-angrep målretter passordbehandleren din

Phishing-angrep er ikke lenger begrenset til skadelige e-poster, reklamer eller koblinger på sosial media. Noen phishing-anrep kan til og med prøve å målrette filendelsene du bruker i nettleseren, inkludert prøve å se ut som en passordbehandler.

Det er, for eksempel, mulig for en skadelig webside å etterligne nettleserfilendelsen ved å vise varsler som ber om informasjon som brukernavn, passord og to-faktor godkjenningskode. Det kan være vanskelig å se at varslene faktisk kommer fra den skadelige websiden i stedet for nettleserfilendelsen.

Hvordan LastPass beskytter deg mot phishing-angrep

  • Advarer at hovedpassordet ble angitt på en ikke-LastPass-side: LastPass viser en streng advarsel, selv før du sender hovedpassordet til en side, når enn du prøver å angi LastPass-hovedpassordet på en ikke-LastPass-side. Du vil straks vite at hovedpassordet kan ha blitt komprimert og endre dette.
  • Kreve verifisering for pålogginger fra ukjente steder eller enheter: LastPass har en verifiseringsprosess som kreves når enn du forsøker å logge på fra et ukjent sted eller enhet. Så hvis du utilsiktet angir hovedpassordet og to-faktordata, vil ethvert forsøk av angreperen til å bruke denne data stoppes ved e-postverifiseringstrinnene. Angriperen må få tilgang til e-postkontoen din også, som også kan formildes av to-faktor godkjenning for e-postkontoen din. Hvis du ser en verifiseringsforespørsel som du ikke startet, kan du trygt ignorere den og oppdatere hovedpassordet ditt i LastPass Vault-kontoinnstillinger.
  • Forhindre avlogging: Selv om en skadelig side kan vise et falskt LastPass-varsel som sier at du har blitt logget av og må logge på igjen, bør du sjekke for å se om du fremdeles er logget på LastPass-filendelsen, og bare logge på via den filendelsen.

I tillegg til disse beskyttelsene, oppmuntrer vi også Google og andre nettlesere til å hjelpe oss ytterligere beskytte brukere ved å tilby sikre måter å vise varsler utenfor nettleserens viewport.

Slik kan du hjelpe til med å beskytte LastPass-kontoen din

I tillegg til alle sikkerhetstiltakene vi har på plass, kan du også holde vaultet ditt sikkert med følgende metoder:

  • Logg alltid på gjennom LastPass-filendelsen. Den tryggeste måten å logge på LastPass er ved å klikke på filendelsesikonet i nettleserverktøylinjen. Screen Shot 2016-01-20 at 9.24.22 AM (2)
  • Aldri bruk hovedpassordet ditt på flere steder. Gjenbruk av hovedpassordet øker risikoen for at noen stjeler vaultet ditt. Bruk alltid et unikt hovedpassord for LastPass, og følg advarselen vår hvis du skriver inn hovedpassordet et annet sted enn for å logge på LastPass.
  • Vær forsiktig hvor du laster ned LastPass. Last kun ned LastPass fra LastPass.com eller fra tilleggsbutikkene som leveres av nettleseren eller enheten din. Bruk aldri tredjeparts nedlastningssider, og vær selv i tilleggsbutikkene obs på oppføringer som ser ut som LastPass, men faktisk har et annet utgivernavn og ingen rangeringer.
  • Aldri del hovedpassordet ditt. LastPass-teamet vil aldri be deg om hovedpassordet ditt. Vær obs på noen som påstår å være fra LastPass som spør etter hovedpassordet ditt. Aldri fortell noen hovedpassordet ditt.
  • Legg til to-faktor godkjenning. God sikkerhet handler om flere lag med beskyttelse som reduserer risiko. To-faktor godkjenning krever mer informasjon før kontoen din er tilgjengelig. Det er ikke garantert sikring, men er god beskyttelse av kontoen din.
  • Beskytt e-posten din med et sterkt passord og to-faktor godkjenning. E-postkontoen din er ofte en svært viktig del av livet ditt. Beskytt den som om ditt digitale liv avhenger av den, fordi det kan faktisk komme til det. LastPass kan lage et sterkt passord som likevel kan uttales slik at du kan huske det hvis du foretrekker. Slå alltid på to-faktor godkjenning hvis e-postleverandøren tilbyr dette.

Det å være trygg på nettet må være en pågående forpliktelse fra alle parter. Akkurat som LastPass er forpliktet til å forbedre produktet vårt etter hvert som nye trusler dukker opp og arbeide med sikkerhetsforskningssamfunnet for å sikre produktet vårt. Vi, som brukere, må også forholde oss forpliktet til følgende beste sikkerhetsmetoder.