Har du en e-postadress är risken stor att du någon gång fått ett bluffmejl i din inkorg. Historiskt sett har bluffmejl varit ganska enkla att upptäcka då de oftast är på engelska, alternativt dåligt eller till rent av svenska.
Tiderna ändras och bedragarna bakom dessa bluffmejl har blivit rejält mycket bättre på vad de gör och i dag är det inte längre lika enkelt att skilja mellan bluff och verklighet. Det finns dock vissa kännetecken du bör hålla utkik efter så att du inte drabbas.
Vad är bluffmejl och nätfiskeattacker?
Ett bluffmejl är ett falskt e-postmeddelande som försöker utge sig för att komma från ett företag eller en person som du kan tänkas ha en relation till. Genom att använda en teknik som kallas social manipulation försöker bedragarna först etablera en trygghet hos dig. När du känner dig trygg är chansen större att du klickar på en medföljande länk än om mejlet kommer från en helt okänd avsändare.Länkar som leder dig till skadliga webbplatser är den vanligaste formen av nätfiskeattacker. Det finns även varianter där mejlet uppmanar dig att öppna en bifogad fil, oftast ett Word-dokument eller en fil som är eller ser ut att vara en så kallad zip-fil.
Oavsett vilken metod som används är målet med en nätfiskeattack att smitta din dator med skadlig kod så att angriparna kan ta kontroll över din dator på ett eller annat sätt. En lyckad attack kan få katastrofala konsekvenser och i vissa fall har det lett till att personer fått sina bankkonton länsade då angriparna lyckats avlyssna inloggningar till internetbanker eller liknande tjänster.
Så upptäcker du ett bluffmejl
Det finns några viktiga tumregler för hur du upptäcker ett bluffmejl. Det viktigaste att komma ihåg är att om du får ett mejl som uppmanar dig att klicka på en länk bör du direkt dra öronen åt dig och granska meddelandet lite extra noga.Tänk på att banker, försäkringsbolag, telefonbolag med flera aldrig ber om dina personuppgifter via e-post. De skickar heller aldrig ut mejl som uppmanar dig att klicka på en länk för att exempelvis uppdatera dina personuppgifter eller utföra någon form av kontroll av ditt konto.
Så skyddar du dig
Se upp om…
… mejlet uppmanar dig till något som involverar ett klick på en länk eller att öppna ett bifogat dokument.
… avsändaren inte använder samma domän som företagsnamnet. Det här är dock inte vattentätt då det är enkelt att skicka mejl som ser ut att komma från det riktiga domännamnet.
… mejlet är skrivet på dålig svenska som antyder att Google Översätt använts.
… en länk i mejlet går till en adress som inte har något med företaget att göra. Håll musmarkören över länken i mejlet för att se vart den verkligen leder. Klicka inte!
Tänk även på att alltid använda bokmärken för att logga in på din internetbank eller andra känsliga tjänster. Klicka aldrig på länkar i e-postmeddelanden eller andra platser då dessa kan maskeras och skicka dig till en skadlig webbplats.
Exempel på vanliga bluffmejl
Här är ett exempel på ett vanligt bluffmejl som cirkulerar just nu. Mejlet utger sig för att komma från Telia och säger att ditt konto är låst. Det enda sättet att låsa upp ditt konto är att uppdatera dina personuppgifter genom att klicka på länken nedan. Ett uppenbart bluffmejl.
Här är ännu ett klassiskt exempel på ett bluffmejl som utger sig för att komma från SEB. Även här försöker de lura dig att ditt konto har gått ut och för att återaktivera det måste du dubbelklicka på den medföljande html-filen, som innehåller skadlig kod.
Här är ett bra exempel på ett bluffmejl som visar att bedragarna blir allt mer sofistikerade i sina försök. Innehållet i mejlet är den klassiska uppmaningen att klicka på en länk för att fixa ett problem. Länken som är inklistrad ser dock ut att komma från rätt adress (swedbank.se), men för vi musmarkören över länken visar det sig att den istället leder till en helt annan adress (v22v.net).
I mitten av mars varnade säkerhetsföretaget Symantec för en nätfiskeattack som använde sig av Google Drive. I ett e-postmeddelande som såg ut att komma från Google uppmanades mottagaren att logga in på Google Drive. Det luriga var att länken pekade till ett internetdokument som var lagrat på bedragarens Google Drive-konto. Det var därför svårt för mottagarna att upptäcka att det handlade om ett bedrägeri.
Hon förlorade 46 000 kronor på bluffmejl
När Agneta från Lund skulle logga in på sin internetbank för att betala räkningar upptäckte hon att hennes konto hade blivit länsat på 46 000 kronor efter. Det visade sig senare att något tagit kontroll över hennes bankkonto efter att hon ovetandes klickade på en länk i ett bluffmejl.
Angriparen lyckades via bluffmejlet få kontroll över Agnetas internetbank, trots att banken använde en så kallad bankdosa som kräver en unik kod varje gång en utbetalning görs.
Banken ville dock inte ersätta Agneta då de anser att hon själv var ansvarig för sin bankdosa och kod, trots att hon uppgav att bankdosan hela tiden var i hennes privata förvar utan att någon annan kunde ha tillgång till den.
Trots att gärningsmannen senare greps och dömdes för bedrägeriet ville banken inte betala tillbaka beloppet till Agneta. Agneta var emellertid kund hos det svenska säkerhetsföretaget Mysafety, och Mysafety ansåg inte att hon hade begått något fel och ersatte henne med det fulla beloppet.
Mysafety erbjuder även en så kallad e-handelsförsäkring som täcker felaktiga debiteringar med dina kortuppgifter över nätet. Enligt Johanna Lindskog Lindell som är pr-ansvarig på Mysafety täcker försäkringen även om du har fått felaktiga eller defekta varor skickade till dig.
Hon ger även tips på hur du som användare kan minska risken för att drabbas av bluffmejl och nätbedrägerier.
– Banker ber aldrig sina kunder om personuppgifter via e-post. Är du osäker bör du kontakta din bank per telefon, utan att klicka på några länkar. Detsamma gäller mejl som utlovar vinster av olika slag, eller advokater som hävdar att du ärvt en stor summa pengar, säger Johanna Lindskog Lindell till PC för Alla.
Räddad av hemförsäkringen?
Det är inte säkert att din hemförsäkring täcker dina förluster till följd av ett bluffmejl. Enligt Agneta Syrén, säkerhetschef på Länsförsäkringar, är det oftast upp till banken att avgöra om kunden är ansvarig för förlusten till följd av ett bedrägeri eller inte.Även om vissa försäkringsbolag erbjuder någon form av allriskförsäkring så är det fortfarande banken som måste avgöra om det är kunden som slarvat med säkerheten. På webbplatsen swedishbanker.se finns information om de lagar som gäller i sådana här fall..
I USA har det emellertid blivit allt mer populärt med så kallade cyberförsäkringar som riktar sig till framförallt företag. De kan täcka dataintrång eller olika typer av utpressning. De är dock inte lika vanliga i Europa och vänder sig oftast inte till privatpersoner.
Hon tillägger att banker och liknande företag aldrig ber om personuppgifter via e-post.
– Banker, försäkringsbolag, och internetsäljare kommer aldrig att ta kontakt med dig för att få dina kontokortsuppgifter, personuppgifter eller andra känsliga personliga uppgifter bekräftade, säger Agneta Syrén.
När det kommer till länkar i e-postmeddelanden uppger hon att du bör vara vaksam och kontrollera länken så att den verkligen tar dig till den webbplats som mejlet utger sig komma från.
– Kontrollera även webbsidan om du ska köpa något från en välkänd internetförsäljare. Försäkra dig om att det verkligen är den ”riktiga” försäljaren som står bakom webbsidan genom att se om adressen stämmer överens med den adress som du försöker nå. Är den liknande eller liknar den adress du vill nå är den förmodligen falsk. Du kan även föra muspekaren över sidan och då kommer den ”verkliga” adressen att dyka upp. En sifferserie stället för namn utgör ett starkt varningstecknen.