Begreppet vishing
Vishing är en typ av cyberattack där bedragaren försöker lura till sig sekretessbelagd information via telefonsamtal. Bedragaren kan till exempel ringa upp personer från ett specifikt geografiskt område och påstå sig representera den lokala banken eller polisen för att fiska åt sig lösenord, bankkoder eller personuppgifter.
Vishing syftar på samtalsfiske via telefondialog och är en kombination av de engelska termerna voice
och phishing
. Telefoner med fast anslutning har traditionellt varit trygga att använda men med tekniker som VoIP (Voice over Internet Protocol), falska identiteter eller automatiserade IVR verktyg (Interactive Voice Response) äventyrar dagens bedragare enkelt också din informationssäkerhet. Till exempel VoIP-metoden möjliggör snabbt och enkelt skapande av förfalskade eller dolda telefonnummer. Dessa nummer är utmanande att spåra och därför kan vem som helst bli utsatt för vishing.
Bedragare kan få tag på offers telefonnummer från läckt information i samband med dataintrång. De kan även lura åt sig telefonnummer via phishing-attacker. En person som lätt är villig att ge ut sitt telefonnummer har även större risk att bli utsatt för en vishing-attack.
Misstänker du att du är ett lockande mål för bedragare? Du kan alltid göra ditt telefonnummer privat. Du minskar även risken att bli utsatt för vishing genom att fundera ordentligt på vem du ger ditt telefonnummer till. Genom att begränsa informationen som dina appar har tillgång till förebygger du att bli utsatt för vishing. När en app inte har tillgång till alla nummer i din kontaktlista hjälper du även dina bekanta att undvika bedrägerisamtal.
Exempel på vishing
Både företag och privatpersoner kan bli utsatta för vishing. En cyberbrottsling kan till exempel få tag på en arbetstagares kontaktinformation, kontakta hen och påstå sig vara dennes chef. Genom att exempelvis uppmana till att betala en faktura eller utföra en uppdatering kan brottslingen få tag på hemlig information.
Skickliga cyberbrottslingar varierar sina incitament beroende på årstid, världsläge eller nyheter. Som följd av COVID-19-pandemin har samtal där bedragare lovar ut vaccin eller tester i utbyte mot bankkoder ökat markant. Vi listar sju generella vishing-teman som hjälper dig identifiera ett vishing-försök.
Representant från myndighet
Personen som ringer påstår sig kontakta dig på ett statligt organs eller annan myndighets vägnar. Det kan vara fråga om Pensionsmyndigheten, Skatteverket eller någon annan auktoritär organisation. För att verifiera din identitet bes du uppge sekretessbelagd information som bedragaren kan utnyttja i en identitetsstöld.
IT-stöd
Bedragarna hävdar sig representera en IT-avdelning från ett stort teknikföretag, till exempel Microsoft, Amazon eller en alternativ lokal leverantör. IT-personalen påstår sig ha märkt avvikande aktivitet på ett användarkonto och ber dig uppge till exempel din e‑post för att motta en länk till uppdatering. Länken kan innehålla skadlig programvara, så kallad malware, som ger din enhet ett virus.
Investeringsofferter eller erbjudande på lån
Ett typiskt kännetecken för vishing är ett finansiellt erbjudande som verkar för bra för att vara sant. Du sägs till exempel kunna tjäna miljoner kronor eller betala bort alla dina skulder väldigt enkelt. Kärnan ligger i att du måste agera snabbt. Riktiga investerare och långivare brukar varken kontakta dig utan förvarning eller erbjuda otroliga offer utan djupare bakgrundsinformation.
Bank- eller kreditkortskonto och betalningsproblem
Bedragaren övertygar dig om ett problem med ditt bankkonto eller en betalning som du nyligen utfört. Förfalskat samtals-ID används ofta i dessa fall och bedragaren påstår sig ringa från till exempel din bank. Du uppmanas logga in på kontot och uppge bankid för att en lösning ska kunna hittas. Var på din vakt, kontoövertagning kan ske mycket lättare än du tror och kom även ihåg att varken polisen eller banken någonsin frågar efter ditt kreditkortsnummer per telefon.
Försäkrings- eller medicinsk bluff
Om du får ett oväntat samtal från en medicinsk institution eller försäkringsorganisation kan det vara fråga om vishing. Målgruppen är ofta äldre vuxna med någon typ av hälsoproblem, men även unga och friska personer kan bli utsatta. Genom att uppge ditt personnummer eller annan sekretessbelagd medicinsk information kan bedragaren fiska medicinska förmåner eller pengar från dig.
Telefonförsäljning eller vinst av tävling
Ett typiskt bedrägeriförsök är att påstå att du plötsligt vunnit en tävling. För att kunna motta priset antingen digitalt eller fysiskt bör du uppge konfidentiell information så som e‑postadress eller hemadress.
4 tips för att känna igen vishing
Det är möjligt att känna igen vishing innan skadan är skedd. Vi listar 3 karaktärsdrag som underlättar identifierandet.
1. Du måste uppge privat information. Det kan handla om bankid, adress, födelsedatum, användarkoder eller personnummer. Om du misstänker att du uppgett finansiell information till en bedragare, kontakta din bank omedelbart för hjälp.
2. Desperat brådskande. Bedragare spelar på dina känslor och vill få dig att agera snabbt utan att överväga möjliga konsekvenser. De hotar ofta med att stänga dina användarkonton, men detta händer sällan på riktigt.
3. Samtal från myndighet eller stort företag. Samtalet tar bara några sekunder och ingen säger något. Målet är att få dig att ringa tillbaka med ett mycket dyrare samtal.
4. Tystnad. Samtalet tar bara några sekunder och ingen säger något. Målet är att få dig att ringa tillbaka med ett mycket dyrare samtal.
Om du misstänker att en bedragare ringt dig, kontakta genast en tjänst som kan få reda på vem avsändaren är med hjälp av telefonnumret. Du kan även Googla numret eftersom många allmänna bedrägerinummer publiceras på nätet.
Så skyddar du dig mot vishing
Det räcker inte att du har kunskap om bedrägerier, du bör även veta hur du ska agera när du befinner dig mitt i samtalet. Följ vår lista för handla rätt i stunden och förebygga hoten.
Avsluta samtalet
Om du får ett oväntat, irrelevant eller obehagligt samtal behöver du inte vara artig. Tryck på röda luren och undersök ämnet själv. Det är aldrig värt att äventyra din informationssäkerhet.
Svara inte
Ett mystiskt nummer eller ett okänt ID på skärmen kan vara förfalskat. Personen som ringer upp dig kan alltid lämna ett röstmeddelande i svararen som du kan lyssna senare.
Tryck inte på siffror eller svara på uppmaningar
Agera aldrig om du hör tryck 1 för att prenumerera
eller säg ja för att prata med handledare
. Bedragarna kan banda in din röst för att använda den till röst-styrda funktioner i dina konton.
Verifiera identitet
Om ett företag ringer dig kan du alltid leta upp institutionens allmänna nummer och be om hjälp. Tryck aldrig på länkar och kontakta inte nummer som du uppmanas ringa tillbaka till.
Fråga frågor
Om personen som ringer dig vägrar svara på dina frågor, har konstigt formulerade svar eller kringgår dina frågor, tryck på röda luren. Eftersom du inte är i fysisk kontakt med personen har du svårt att avgöra trovärdighet.
Skillnad mellan vishing, smishing och phishing
Vishing är en del av den bredare termen phishing, även kallat nätfiske. Phishing är ett samlingsnamn för bedrägeriförsök via e‑post, textmeddelanden och falska webbsidor. Vid vishing är den primära kanalen för utövning telefonsamtal och denna metod används ofta i kombination med phishing för att verkställa ett bredare dataintrång.
Likt vishing är smishing också en typ av phishing men i detta kontext skickar bedragaren flaska sms. Meddelandena innehåller elakartade länkar som mottagaren ska klicka på och som följd kan enheten infekteras med ett virus, en trojan eller ett gisslanprogram.
Alla tre bedrägerimetoder har ett gemensamt mål: att få tag på privat information, pengar eller inloggningsuppgifter. Bedrägerier baserar sig ofta på emotionell aktivering av offret då känsloargument lätt ger upphov till handling.
Exempel på vishing i Sverige
2011 lanserades en mobil bank-id app i Sverige. För att logga in i en nätbank på till exempel en dator krävs en tvåstegsverifiering i appen. På 2010-talet ringde många cyberkriminella runt och påstod sig ha hittat problem i folks bank-id appar. Offren loggade in i appen under samtalen och på det sättet hamnade mängder av bank-id:er i fel händer. Detta möjliggjorde överföring och stöld av pengar. För att undvika vishing utrustades appen 2018 med en QR kod som försäkrar att datorn och telefonen befinner sig i samma utrymme vid inloggning.
Det är inte enbart pengastöld som äventyrar din säkerhet i samband med vishing-försök. Varje distansarbetare borde idag vara förberedda på samtalsfiske till exempel i diverse IT-företags namn. Läs mer om onlinesäkerhet och lär dig skydda alla dina enheter med våra 8 tips för att jobba säkert på distans!