Identitetstyveri (phishing)

Efterhånden dukker der flere og flere artikler om identitetstyveri og phishing op i pressen herhjemme. Men hvad er det egentlig for noget, og er det noget, du skal være bekymret for? Find ud af det i dette tema om emnet.

Hvad er identitetstyveri/phishing?

Identitetstyveri taler man om, når en person udgiver sig for at være en anden, end han i virkeligheden er, typisk en kriminel person, der udgiver sig for at være f.eks. dig med henblik på at opnå økonomisk gevinst.

Phishing taler man om, når nogen prøver at franarre dig personoplysninger (typisk på nettet) med henblik på at begå identitetstyveri. Phishing kan oversættes til netfiskeri, idet det i dag ofte er på nettet, du franarres dine personoplysninger.

Et par eksempler på identitetstyveri:

  • En kriminel aflurer kortoplysningerne på dit VISA/Dankort og bruger dem til at købe varer på internettet med. Du opdager det ved, at der pludselig er hævet beløb, du ikke kender til, på din konto
  • En kriminel får fat på dit cpr-nummer og opretter ved hjælp heraf telefonabonnementer, lån eller lignende i dit navn. Måske har han samtidig flyttet din folkeregisteradresse til en anden adresse. Dermed modtager du ikke længere breve, og der går længere tid inden du opdager svindlen

Hvordan foregår identitetstyveri/phishing?

For at kriminelle kan udsætte dig for identitetstyveri, skal de have fat på oplysninger om dig, som de kan misbruge. Det kan f.eks. være dine bankoplysninger, dit cpr-nummer, kodeord til forskellige tjenester på nettet, til kreditkort eller lignende, eller det kan være fysiske dokumenter som f.eks. dit sygesikringsbevis, dit kørekort, dit dankort eller lignende.

Nogle af de klassiske måder, som bedragere har skaffet sig sådanne oplysninger på har været ved

  • At stjæle din pung
  • At aflæse dine kreditkortoplysninger i butikken, på restauranten eller i taxaen hvis du afleverer dit Dankort/kreditkort til ekspedienten/tjeneren/taxichaufføren
  • At gennemrode dit affald
  • At franarre dig oplysninger via telefonen, hvor du måske bliver ringet op og får at vide, at du har vundet i en konkurrence, og at du for at modtage din præmie skal meddele forskellige personlige oplysninger samt bank- og kontooplysninger

Disse metoder anvendes stadig, men i dag stjæles dine personlige oplysninger nok så meget, når du er på internettet, og det er især her, man anvender udtrykket phishing, idet man ved phishing fisker efter personoplysninger i den digitale verden.

Phishing kan ske på forskellige måder, men her får du nogle af de typiske eksempler:

  • du modtager en falsk e-mail, der ser ud til at komme fra en bank, en netbutik, et forsikringsselskab eller en anden troværdig afsender. I e-mailen opfordres du til at opgive personoplysninger, numre på betalings- og kreditkort, kontonumre, cpr-numre, pin-koder eller lignende og derpå sende e-mailen tilbage med oplysningerne. Alternativt kan der også være et link til en falsk hjemmeside, hvor du skal taste oplysningerne ind, eller der kan være vedhæftet en formular, som du opfordres til at udfylde og returnere
  • Du modtager en falsk e-mail med en besked om, at du har vundet en stor gevinst, arvet en masse penge eller lignende, men for at få pengene skal du afgive en række personoplysninger
  • Når du går ind på en hjemmeside du kender i forvejen, bliver du uden du opdager det omdirigeret til en falsk hjemmeside, hvor du afgiver fortrolige oplysninger i den tro, at du afgiver dem på den legitime hjemmeside, du tror, du besøger. Omdirigeringen til en falsk hjemmeside sker ved hjælp af et ondsindet program (malware), som din pc er blevet smittet med. (dette kaldes også Pharming). Installation af malware sker ofte gennem e-mails, websider, at downloade software eller gennem søge-maskiner
  • Et ondsindet program er uden du har opdaget det blevet installeret på din pc og dette program er så i stand til at aflure, hvad du indtaster på tastaturet, hvorefter oplysningerne sendes videre til den kriminelle hacker, der står bag, og som på den måde får fat i dine personlige oplysninger efterhånden som du indtaster dem (dette kaldes også spy-phishing)
  • Du modtager en sms med besked om at sende oplysninger tilbage i en sms eller sms’en indeholder et link til en falsk hjemmeside, som du opfordres til at gå ind på med det formål at lokker personoplysninger ud af dig (dette kaldes også SmiShing – phishing via sms)

En række kendte både danske og udenlandske virksomheders navne er blevet brugt i phishingforsøg: Citibank, Amazon.com, eBay, MSN, PayPal, Yahoo, PBS og Danske Bank.

Formålet med at anvende kendte virksomheders navne og udseende i forbindelse med phishingforsøg er naturligvis at få dig til at tro, at der er tale om en seriøs henvendelse, som du bør reagere på. Hjemmesiden du kommer ind på, eller adressen på e-mailen ser formentlig rigtig nok ud med logoer, titler, grafik og det hele. Men det er relativt let at forfalske hjemmesideadresser og endnu lettere at lave en falsk afsenderadresse på en e-mail.

Phishing e-mails er typisk på engelsk, men danske udgaver forekommer også. Et eksempel på en dansk phishing mail er en mail fra efteråret 2009, som udgav sig for at komme fra PBS. Mailen som var på næsten fejlfrit dansk forsøgte at lokke oplysninger ud af danske kreditkortindehavere ved at få det til at se ud som om, det var PBS, der havde sendt mailen (også kaldet spoofing) og ved at bruge PBS’ grafik, baggrund m.v. på den hjemmeside, som man åbnede, hvis man klikkede på linket i mailen, hvilket fik både mailen og hjemmesiden til at se meget troværdige ud.

Formålet med mailen var at lokke modtagerne til at åbne en vedhæftet skabelon/hjemmeside, der trak grafisk indhold direkte fra PBS’ hjemmeside, og hvor man så skulle udfylde en række oplysninger om sig selv og sit kreditkort

Se teksten i phishing-mailen her

Hvordan undgår du at blive udsat for identitetstyveri/phishing?

Som du kan se af eksemplerne ovenfor, er der mange måder, kriminelle kan komme i besiddelse af personlige oplysninger om dig på, og nogle af måderne kan det være meget svært at gardere sig imod.

Risikoen for at dine oplysninger bliver misbrugt er da også ret begrænsede, og selv om det kan være meget ubehageligt for dem, der kommer ud for det, er det stadig meget få, der kommer i virkelige problemer. Det er selvfølgelig værd at huske, så du ikke bliver alt for paranoid.

Omvendt så var der ifølge en amerikansk rapport i foråret 2009 ca. 50.000 falske hjemmesider på nettet hvis eneste formål var at lokke personlige oplysninger ud af folk, og man anslår, at der dagligt udsendes 4 millioner mails, der forsøger at lokke oplysninger ud af folk. Så det skader ikke at være lidt forsigtig i omgangen med dine personlige oplysninger, og du kan selv gøre noget for at gøre det vanskeligere for de kriminelle at misbruge netop dine oplysninger.

Gode råd til hvordan du kan undgå identitetstyveri:

  • Hvis du husker på, at identitetstyveri primært drejer sig om at opsnappe og misbruge personlige oplysninger om andre, er du allerede nået et godt stykke af vejen. En vigtig huskeregel på internettet er nemlig, at du skal være forsigtig med at give personlige oplysninger fra dig
  • Du bør så vidt muligt kun handle på hjemmesider, som du har tillid til, eller som i øvrigt udviser den opførsel, man kan forvente af en professionel netbutik
  • Der vil normalt ikke være nogen firmaer, der kontakter dig uopfordret og beder dig om kontooplysninger, kodeord, kortnummer eller kontrolcifre – hvad enten du er kunde hos dem eller ej. Får du en sådan e-mail, bør du derfor være på vagt
  • Tonen i de falske e-mails afslører også tit, at afsenderen ikke har reelle hensigter. Tonen vil nemlig typisk være ophidset og opfordre til, at du skynder dig at få det gjort det, du ifølge e-mailen skal gøre, idet det ellers kan få nogle frygtelige konsekvenser. Det bedste du kan gøre, når du modtager den slags mails er at slette dem. Og du skal i hvert fald hverken besvare dem eller åbne vedhæftede dokumenter
  • Nyere browsere indeholder funktioner, som du kan bruge til at tjekke, om hjemmesider er falske. Disse funktioner kan du med fordel bruge
  • Har du behov for at opdatere dine informationer online, så brug den samme proces, som du har brugt før. Åbn eventuelt et nyt browservindue og skriv den hjemmesideadresse, som du kender
  • Siger adressen på en hjemmeside dig ikke lige noget, er den formentlig falsk. Brug kun den adresse, du kender og har brugt før
  • Anmeld eventuelt ulovlige eller mistænkelige mails til din internetudbyder. Ved at anmelde svindlerne kan du medvirke til at få dem stoppet, inden de gør nogen skade
  • De fleste firmaer har en procedure, hvor du logger på et sikkert site. Kig efter låsen i bunden af din browser og “https” i starten af hjemmesidens adresse
  • Læg mærke til hjemmesideadressen i browseren. De fleste lovlige hjemmesider har en relativt kort adresse, som sædvanligvis fortæller firmanavnet efterfulgt af .com, .org, .dk eller en anden endelse. Falske hjemmesider har typisk en temmelig lang adresse, hvor firmanavnet står et eller andet sted i inde i den – eller måske slet ikke er der
  • Hvis du har nogen som helst tvivl om en mail eller en hjemmeside, så kontakt det rigtige firma direkte. Skriv adressen ned på den hjemmeside, du er i tvivl om og send den til det rigtige firma og spørg, om mailen kommer fra dem, eller hjemmesiden virkelig er deres
  • Hold løbende øje med transaktionerne på dine bankkonti, så du kan reagere hurtigt i tilfælde af at uvedkommende har fået adgang til dine oplysninger

Hvad gør du, hvis du har været udsat for identitetstyveri/phishing?

Hvis du opdager, at du er blevet udsat for identitetstyveri, eller har du mistanke herom, så bør du reagere.

Hvad du skal foretage dig, afhænger selvfølgelig af, hvad du har været ude for, men har du f.eks. givet dine bankoplysninger videre til nogen, som du ikke burde have givet dem videre til, så bør du kontakte din bank hurtigst muligt og søge rådgivning hos den. På samme måde skal du også kontakte din bank, hvis du bliver opmærksom på transaktioner på din konto, som du ikke kender til. I langt de fleste tilfælde er det banken, der må bære tabet i tilfælde af identitetstyveri, og du har derfor normalt krav på at blive godtgjort for uautoriserede hævninger.

Har nogen oprettet abonnementer, lån eller lignende i dit navn, er det heller ikke noget, du kommer til at hænge på, men du bør selvfølgelig hurtigst muligt kontakte dem, der tror, de har indgået en aftale med dig, for at gøre dem opmærksomme på at de er blevet snydt.

Hvor finder du yderligere oplysninger?

Der er ikke meget information om identitetstyveri og phishing tilgængelig på dansk, men en forsker fra Københavns Universitet har dog for nylig skrevet en rapport om emnet, som giver en god indføring i emnet. Derudover har de norske myndigheder lavet en meget informativ hjemmeside henvendt til almindelige borgere. Forstår du engelsk, er der et væld af hjemmesider, du kan besøge, men jeg vil foreslå, at du starter med den amerikanske forbrugerstyrelses hjemmeside.

Har du spørgsmål?

Har du et spørgsmål, du ikke har fået svar på, eller synes du, der mangler noget i teksten ovenfor, så send mig en mail på kontakt@forbrugerbloggen.dk.