🎣

Phishing & social engineering

Kan du känna igen bedrägerier och manipulationsförsök?

📚 Fördjupning

Så känner du igen ett phishing-mejl – 7 varningssignaler

⏱ 5 min📊 Nybörjare

Phishing är fortfarande en av de vanligaste ingångarna vid cyberattacker. Angreppen har blivit alltmer sofistikerade, men det finns sju tydliga varningssignaler.

  1. Avsändaradressen stämmer inte – Hovra alltid över avsändarnamnet. En bokstav av, en siffra istället för bokstav, eller en extra nivå (bank.com.phish.net) är ett rött flagg.
  2. Uppmaning att agera omedelbart – "Ditt konto stängs inom 24 timmar!" Brådska är en klassisk manipulationsteknik.
  3. Länken leder inte dit den påstår – Hovra över en länk utan att klicka. "paypal-security-verify.com" är inte PayPal.
  4. Grammatik- och stavfel – Professionella organisationer har korrekturansvariga.
  5. Du förväntar dig inte mejlet – Oönskade mejl med bilagor eller länkar ska behandlas med extrem försiktighet.
  6. Begäran om känslig information – Ingen bank eller myndighet ber dig skicka lösenord via e-post. Aldrig.
  7. Konstiga bilagor – Var extra försiktig med .exe, .zip, .js, .docm och .pdf från okända avsändare.
💡 Vid minsta tvivel: gå direkt till organisationens webbplats via din webbläsare. Ring deras officiella kundtjänst. Klicka aldrig på länken i mejlet. Skydda dina konton med starka lösenord och 2FA.

Vishing och smishing – bedrägerier via telefon och SMS

⏱ 5 min📊 Nybörjare

Bedrägerier via telefon (vishing) och SMS (smishing) har ökat kraftigt i Sverige. År 2024 anmäldes rekordmånga bedrägeribrott där telefonen var verktyget.

Vishing – röstbaserade bedrägerier

Bedragare ringer och utger sig för att vara Polisen, Skatteverket, Microsoft eller din bank. Vanliga scenarier:

  • "Din dator har ett virus" – falskt tekniksupport-samtal, ber dig installera AnyDesk
  • "Polisen/Säpo ringer" – kräver att du köper presentkort eller Bitcoin
  • "Banken misstänker bedrägeri" – ber om BankID-legitimering medan de tömmer kontot
  • "Ditt barnbarn sitter gripen" – emotionell manipulation

Smishing – SMS-baserade bedrägerier

  • Postpaket som behöver bekräftelse – falsk PostNord/DHL-länk
  • Skatteåterbäring väntar – länk till falsk Skatteverket-sida
  • Swish-bekräftelse – "Du har fått en betalning, bekräfta här"

Skydda dig

  1. Lägg aldrig upp BankID på uppmaning av en inkommande uppringare
  2. Lägg på och ring tillbaka via bankens officiella nummer
  3. Klicka aldrig på SMS-länkar – gå direkt till tjänstens webbplats
  4. Installera aldrig fjärrstyrningsprogram på uppmaning av okänd

Ny teknik: AI-klonade röster kan efterlikna familjemedlemmars röster. Verifiera alltid via annan kanal. Dessa metoder används även vid identitetsstöld och bedrägerier.

Vanliga social engineering-attacker i Sverige

⏱ 6 min📊 Nybörjare–Medel

Social engineering handlar om att manipulera människor snarare än att hacka system. Det är ofta den enklaste vägen in.

Pretexting – den uppbyggda historien

Angriparen skapar en trovärdig bakgrundshistoria för att vinna förtroende. Klassiska pretexts: "Jag är från IT-avdelningen och behöver ditt lösenord för att uppgradera systemet."

Baiting – betet

Exploaterar nyfikenhet. Fysiska varianter inkluderar USB-minnen märkta "Löner 2025" lämnade i parkeringshus. Digitalt kan det vara gratis programvara med skadlig kod.

Quid pro quo – tjänst mot tjänst

Angriparen erbjuder sig att lösa ett problem i utbyte mot åtkomst eller information.

Tailgating – fysisk infiltration

Angriparen följer efter en behörig person in i ett säkrat utrymme utan att identifiera sig.

Spear phishing – riktade angrepp

Noggrant riktat mot en specifik person via kartläggning på LinkedIn och sociala medier.

Skydda dig

  • Verifiera alltid identiteten hos den som begär känslig information
  • Ifrågasätt ovanliga förfrågningar, oavsett vem de påstås komma från
  • Rapportera misstänkta kontakter till IT/säkerhet
  • Begränsa informationen om dig själv på offentliga sociala medier

❓ Vanliga frågor

Hur skiljer jag ett riktigt mejl från ett phishing-mejl?

Kontrollera den faktiska e-postadressen (inte bara visningsnamnet), hovra över länkar utan att klicka, och var skeptisk mot brådskande uppmaningar. Legitima organisationer ber aldrig dig skicka lösenord eller personnummer via e-post. Vid osäkerhet — gå direkt till organisationens webbplats via din webbläsare.

Vad ska jag göra om jag redan klickat på en phishing-länk?

Byt lösenord omedelbart på berörda konton, kör en antivirusskanning och övervaka dina konton efter misstänkt aktivitet. Om du angett bankuppgifter, kontakta banken direkt. Rapportera händelsen till IT-avdelningen om det gäller jobbet.

Kan bedragare förfalska telefonnummer vid vishing?

Ja, det kallas "caller ID spoofing" och innebär att angriparen kan visa vilket telefonnummer som helst på din skärm — inklusive bankens riktiga nummer. Lita därför aldrig på uppringande nummer som enda verifiering. Lägg på och ring tillbaka via bankens officiella nummer.