The Bitwarden Blog

De vanligaste typerna av phishing-attacker att se upp för

authored by:Kasey Babcock
posted :
nätfiske
  1. Blog
  2. De vanligaste typerna av phishing-attacker att se upp för

Nätfiskeattacker är farligare än någonsin och kostar individer och företag i genomsnitt 4,88 miljoner dollar per intrång enligt IBM. Förutom ekonomiska förluster utgör phishing-attacker ett mycket verkligt hot mot de drabbades rykte, upplevda förtroende, känslomässiga stabilitet och integritet.

Genom att förstå de olika typerna av phishing-attacker och hur de fungerar kan individer och organisationer bättre utrusta sig med de verktyg och den information de behöver för att skydda sig. Här får du en översikt över alla nätfiskeattacker som du kan råka ut för i privatlivet och på arbetsplatsen, med praktiska tips för att identifiera och blockera attackerna.

Om du vill ha mer information om hur nätfiskeattacker utvecklas kan du läsa mer om AI-förstärkt nätfiske och hur du upptäcker och skyddar dig mot AI-attacker.

Vad är nätfiske?

Nätfiske är en typ av cyberattack där illvilliga aktörer försöker få tillgång till känslig information som kreditkortsnummer, identitetsuppgifter och inloggningsuppgifter eller lura mål att ladda ner skadlig kod. Enligt Phishing Trends Report från Hoxhunt syftar 80% av phishing-kampanjerna till att stjäla känsliga uppgifter.

Olika typer av phishing-attacker

Angripare använder sig av en mängd olika kanaler för att nå sina målgrupper, och även om e-post är mest populärt sträcker sig nu cirka 40% av nätfiskekampanjerna utanför denna kanal (Phishing Trends Report). De mest sofistikerade attackerna använder flera kanaler och tekniker för att komma över känslig information.

Vanliga typer av phishing-attacker

Deepfake video nätfiske

Det här relativt nya formatet för nätfiskeattacker visar hur AI kan generera övertygande innehåll som effektivt lurar mottagarna. Deepfake-videor är en typ av nätfiskeattack där angripare använder AI-genererade ljud- eller videoklipp av betrodda personer och lurar mottagarna att avslöja känslig information eller överföra pengar.

Verklig påverkan: Enligt Forbes har "fall av deepfake-phishing och bedrägerier ökat med häpnadsväckande 3 000 %". Denna ökning av deepfake phishing-attacker påverkar verkliga människor och företag.

En varnande berättelse: I Hongkong lurades en finansanställd att betala ut 25 miljoner dollar till angripare som utgav sig för att vara företagets finansdirektör efter att ha deltagit i ett AI-genererat videosamtal (CNN). Angriparen använde sig av deepfake-videoteknik för att utge sig för att vara flera andra betrodda medarbetare och lurade den drabbade medarbetaren att tro att det var ett legitimt samtal. Detta är inte heller ett enstaka exempel på att finansanställda utsätts för angrepp. En färsk rapport från Medus visar att finansavdelningar är oproportionerligt utsatta för deepfake phishing-attacker: 53% av ekonomipersonalen har utsatts för deepfake phishing-attacker och 43% erkände att de fallit offer för attacken.

Skydda dig själv med det här tipset: Håll utkik efter onaturligt eller "perfekt" videoinnehåll som du konsumerar. Extra slät hud, avsaknad av textur, reflektioner som verkar felplacerade och ljud som verkar för skarpt är alla indikatorer på att du kan interagera med en AI-genererad deep fake-video.

Nätfiske via e-post

E-postbaserade phishing-försök skickas via e-post och uppmanar ofta målgruppen att öppna en bifogad fil eller klicka på en skadlig länk.

E-postbaserad nätfiske är visserligen vanligt, men kan vara oerhört farligt. Phishing-mejl som efterliknar myndigheter och representanter har ökat med 35% sedan 2024 (Phishing Trends Report) och utnyttjar det förtroende och den auktoritet som dessa myndigheter har gentemot allmänheten och lurar dem att vidta osäkra åtgärder.

Exempel på phishing-e-post som utger sig för att vara New York Department of Labor (Bankens informationssäkerhet)

Skydda dig med detta tips: Om du får ett e-postmeddelande som ser misstänkt ut, kontrollera först avsändarens e-postadress. Om e-postadressen innehåller en felstavad domän eller uppenbarligen inte är kopplad till den person eller byrå som den utger sig för att vara, ignorera den. Typsnitt eller grammatiska fel i e-postmeddelandets innehåll kan också tyda på en nätfiskeattack. Slutligen, håll muspekaren över alla länkar innan du klickar för att bekräfta destinationen.

Smygande

Under smishing- eller SMS-baserade phishing-attacker riktar sig illvilliga aktörer mot individer via text eller andra meddelandeappar som Whatsapp eller Slack. Den här typen av phishing-attacker är också mycket vanliga och innebär att mottagaren uppmanas att klicka på en länk eller föra över pengar.

Exempel på smishing-attack (Proofpoint)

Skydda dig själv med detta tips: Om ett meddelande indikerar en känsla av brådska, försök att kontakta avsändaren via verifierade kanaler innan du följer några anvisningar.

Quishing

Quishing, eller QR-kodphishing, är attacker där illasinnade aktörer använder till synes legitima QR-koder för att lura personer att besöka phishing-webbplatser eller ladda ner skadlig kod. Denna typ av phishing-attack kan lura även de mest säkra experterna på grund av förekomsten av QR-koder i vår moderna värld. QR-koder finns på affischer, skyltar, e-postmeddelanden och till och med på restaurangmenyer!

Skydda dig med detta tips: Skanna aldrig en QR-kod från en opålitlig källa. Om du skannar en QR-kod från en meny eller annat fysiskt föremål, se till att det är originalet och att du inte skannar ett klistermärke som placerats ovanpå den faktiska QR-koden.

Vishing

Vishing, eller röstfiske, innebär att man använder sig av telefonsamtal eller röstmeddelanden för att få tillgång till känslig information som inloggningsuppgifter, kreditkortsnummer och personnummer. När de väl har fått tag på informationen används den ofta för att utge sig för att vara en annan person eller stjäla från en persons bankkonto. Dessa attacker kan också vara svåra att identifiera när illasinnade aktörer utger sig för att vara myndigheter eller finansinstitut.

Skydda dig själv med det här tipset: Var uppmärksam på eventuella känslor som uppstår när du pratar med någon i telefon. Tilltalade den här personen din inneboende önskan att hjälpa till? Erbjöd de dig något i gengäld, t.ex. en del av pengarna? Dessa strategier för social ingenjörskonst tyder vanligtvis på ett nätfiskebedrägeri.

Nätfiske i sociala medier

Innehåll i sociala medier, inklusive riktade annonser, direktmeddelanden (DM), konton och organiska inlägg kan också användas som nätfiskeattacker. Angripare kan skapa falska kontoprofiler i sociala medier med bilder på riktiga personer eller produkter för att lura offren att avslöja känslig information, betala för falska erbjudanden eller ladda ner skadlig kod.

Exempel på phishing-attack i sociala medier (Verizon)

Skydda dig själv med det här tipset: Kontrollera användarkontots handtag för en profil innan du klickar på en länk eller skickar information. Är kontot verifierat och använder det förväntad stavning? Om handtaget är misstänkt ska du inte interagera med kontot.

Nätfiske i webbläsare

Det finns flera olika strategier för webbläsarbaserade phishing-attacker som används av illvilliga aktörer.

En BitB-attack (browser-in-the-browser) utnyttjar ett falskt webbläsarfönster för att övertyga användarna om att de interagerar med en legitim webbplats. Det här stimulerade webbläsarfönstret finns i den faktiska webbläsaren och använder HTML och CSS för att replikera webbplatsen. Denna teknik replikerar vanligtvis ett fönster för enkel inloggning för att lura användare att ange sina inloggningsuppgifter.

Skydda dig med det här tipset: Om fönstret inte ändrar storlek kan det vara ett falskt fönster och det finns anledning till oro.

Ett AitB (archive-in-the-browser) utnyttjar en .zip-domän och övertygar användarna om att de öppnar en betrodd fil direkt i webbläsaren. När de väl har öppnats kan användarna uppmanas att interagera med det falska arkivet, vilket utlöser nedladdningar av skadlig programvara eller attacker med falska inloggningssidor.

Skydda dig med detta tips: Var misstänksam mot .zip-webbplatsdomäner och klicka inte på länkar från okända avsändare.

"Spray-och-pray"-phishing

En phishingattack av typen "spray-and-pray" riktar sig till ett stort antal mottagare med antagandet att en liten andel av offren kommer att gå på planen. Denna typ av angrepp har ofta generiskt innehåll och är inte skräddarsytt eller anpassat för vissa grupper av människor. Även om spray-and-pray-phishing inte är lika effektivt som spear phishing-cyberattacker på grund av deras generiska natur, kan de fortfarande utgöra allvarliga risker för de drabbade.

Skydda dig med det här tipset: Undvik meddelanden med grammatiska fel, stavfel eller misstänkta länkar.

Spear-phishing

Spear phishing-cyberattacker är mycket riktade och anpassade till en specifik individ eller en liten grupp människor. Dessa attacker riktar sig ofta mot mottagaren via flera kanaler och utnyttjar information som samlats in om personen online. Denna information kan samlas in från en mängd olika källor, inklusive konton på sociala medier, företagswebbplatser och datamäklarsajter. Angripare kan också utge sig för att vara betrodda källor för att göra meddelandet mer trovärdigt.

Eftersom spear phishing är mycket personligt anpassat är det mycket mer sannolikt att mottagarna går på bluffen och delar med sig av konfidentiell information - som inloggningsuppgifter - eller laddar ner skadlig programvara.

Skydda dig själv med detta tips: Begränsa vad du delar med dig av om dig själv och din familj på nätet! Gör konton i sociala medier privata när det är möjligt och överväg erbjudanden som raderar all känslig information och data som du kan ha online.

Identifiera och bekämpa phishing-bedrägerier med Bitwarden

Phishing-attacker kommer i många former - inklusive e-post, SMS, telefonsamtal, sociala medier, videosamtal och mycket mer. Genom att känna igen dessa attacker och vidta försiktighetsåtgärder för att skydda dig själv kan alla hålla sig säkrare på nätet.

Tyvärr kan även de mest erfarna säkerhetsexperterna luras av nätfiskeattacker. Med Bitwarden kan du dra nytta av ett förbättrat skydd mot nätfiske med följande funktioner:

  • Passkey-stöd för phishing-resistent autentisering

  • Autofyll autentiseringsuppgifter på endast betrodda webbplatser som är kopplade till inloggningar

  • Starta den tillhörande webbplatsen direkt från sparade inloggningsobjekt

Dessutom kan du förbättra din övergripande säkerhet genom att skapa unika lösenord för varje konto och lagra dem i Bitwarden Password Manager som är krypterad från början till slut. Skapa ditt kostnadsfria konto idag eller kom igång med en kostnadsfri affärstest.

Get started with Bitwarden today.