Vad är vishing?

Vishing innebär att en bedragare ringer dig för att få tag på konfidentiell information, så som person- och inloggnings­uppgifter. Order om att betala en räkning eller installera ett program före­kommer också. Läs mer här för att skydda dig mot hotet.

Begreppet vishing

Vishing är en typ av cyber­attack där bedragaren försöker lura till sig sekretess­belagd information via telefon­samtal. Bedragaren kan till exempel ringa upp personer från ett specifikt geo­grafiskt område och påstå sig representera den lokala banken eller polisen för att fiska åt sig lösen­ord, bank­koder eller person­uppgifter.

Vishing syftar på samtals­fiske via telefon­dialog och är en kombination av de engelska termerna voice och phishing. Telefoner med fast anslutning har traditionellt varit trygga att använda men med tekniker som VoIP (Voice over Internet Protocol), falska identiteter eller automatiserade IVR verktyg (Interactive Voice Response) äventyrar dagens bedragare enkelt också din informations­säkerhet. Till exempel VoIP-metoden möjliggör snabbt och enkelt skapande av förfalskade eller dolda telefon­nummer. Dessa nummer är utmanande att spåra och därför kan vem som helst bli utsatt för vishing.

Bedragare kan få tag på offers telefon­nummer från läckt information i samband med data­intrång. De kan även lura åt sig telefon­nummer via phishing-attacker. En person som lätt är villig att ge ut sitt telefon­nummer har även större risk att bli utsatt för en vishing-attack.

Misstänker du att du är ett lockande mål för bedragare? Du kan alltid göra ditt telefon­nummer privat. Du minskar även risken att bli utsatt för vishing genom att fundera ordentligt på vem du ger ditt telefon­nummer till. Genom att begränsa informationen som dina appar har tillgång till före­bygger du att bli utsatt för vishing. När en app inte har tillgång till alla nummer i din kontakt­lista hjälper du även dina bekanta att undvika bedrägeri­samtal.

Exempel på vishing

Både företag och privat­personer kan bli utsatta för vishing. En cyber­brottsling kan till exempel få tag på en arbets­tagares kontakt­information, kontakta hen och påstå sig vara dennes chef. Genom att exempel­vis uppmana till att betala en faktura eller utföra en upp­datering kan brottslingen få tag på hemlig information.

Skickliga cyber­brottslingar varierar sina incitament beroende på årstid, världs­läge eller nyheter. Som följd av COVID-19-pandemin har samtal där bedragare lovar ut vaccin eller tester i utbyte mot bank­koder ökat markant. Vi listar sju generella vishing-teman som hjälper dig identifiera ett vishing-försök.

Representant från myndighet

Personen som ringer påstår sig kontakta dig på ett statligt organs eller annan myndighets vägnar. Det kan vara fråga om Pensions­myndigheten, Skatte­verket eller någon annan auktoritär organisation. För att verifiera din identitet bes du uppge sekretess­belagd information som bedragaren kan utnyttja i en identitets­stöld.

IT-stöd

Bedragarna hävdar sig representera en IT-avdelning från ett stort teknik­företag, till exempel Microsoft, Amazon eller en alternativ lokal leverantör. IT-personalen påstår sig ha märkt avvikande aktivitet på ett användar­konto och ber dig uppge till exempel din e‑post för att motta en länk till uppdatering. Länken kan innehålla skadlig program­vara, så kallad malware, som ger din enhet ett virus.

Investerings­offerter eller erbjudande på lån

Ett typiskt känne­tecken för vishing är ett finansiellt erbjudande som verkar för bra för att vara sant. Du sägs till exempel kunna tjäna miljoner kronor eller betala bort alla dina skulder väldigt enkelt. Kärnan ligger i att du måste agera snabbt. Riktiga investerare och lån­givare brukar varken kontakta dig utan förvarning eller erbjuda otroliga offer utan djupare bak­grunds­information.

Bank- eller kredit­korts­konto och betalnings­problem

Bedragaren övertygar dig om ett problem med ditt bank­konto eller en betalning som du nyligen utfört. Förfalskat samtals-ID används ofta i dessa fall och bedragaren påstår sig ringa från till exempel din bank. Du uppmanas logga in på kontot och uppge bankid för att en lösning ska kunna hittas. Var på din vakt, konto­över­tagning kan ske mycket lättare än du tror och kom även ihåg att varken polisen eller banken någonsin frågar efter ditt kredit­korts­nummer per telefon.

Försäkrings- eller medicinsk bluff

Om du får ett oväntat samtal från en medicinsk institution eller försäkrings­organisation kan det vara fråga om vishing. Mål­gruppen är ofta äldre vuxna med någon typ av hälso­problem, men även unga och friska personer kan bli utsatta. Genom att uppge ditt person­nummer eller annan sekretess­belagd medicinsk information kan bedragaren fiska medicinska förmåner eller pengar från dig.

Telefon­försäljning eller vinst av tävling

Ett typiskt bedrägeri­försök är att påstå att du plötsligt vunnit en tävling. För att kunna motta priset antingen digitalt eller fysiskt bör du uppge konfidentiell information så som e‑post­adress eller hem­adress.

4 tips för att känna igen vishing

Det är möjligt att känna igen vishing innan skadan är skedd. Vi listar 3 karaktärs­drag som under­lättar identifierandet.

1. Du måste uppge privat information. Det kan handla om bank­id, adress, födelse­datum, användar­koder eller person­nummer. Om du miss­tänker att du uppgett finansiell information till en bedragare, kontakta din bank omedelbart för hjälp.

2. Desperat brådskande. Bedragare spelar på dina känslor och vill få dig att agera snabbt utan att över­väga möjliga konsekvenser. De hotar ofta med att stänga dina användar­konton, men detta händer sällan på riktigt.

3. Samtal från myndighet eller stort företag. Samtalet tar bara några sekunder och ingen säger något. Målet är att få dig att ringa tillbaka med ett mycket dyrare samtal.

4. Tystnad. Samtalet tar bara några sekunder och ingen säger något. Målet är att få dig att ringa tillbaka med ett mycket dyrare samtal.

Om du misstänker att en bedragare ringt dig, kontakta genast en tjänst som kan få reda på vem avsändaren är med hjälp av telefon­numret. Du kan även Googla numret eftersom många allmänna bedrägeri­nummer publiceras på nätet.

Så skyddar du dig mot vishing

Det räcker inte att du har kunskap om bedrägerier, du bör även veta hur du ska agera när du befinner dig mitt i samtalet. Följ vår lista för handla rätt i stunden och förebygga hoten.

Avsluta samtalet

Om du får ett oväntat, irrelevant eller obehagligt samtal behöver du inte vara artig. Tryck på röda luren och under­sök ämnet själv. Det är aldrig värt att äventyra din informations­säkerhet.

Svara inte

Ett mystiskt nummer eller ett okänt ID på skärmen kan vara förfalskat. Personen som ringer upp dig kan alltid lämna ett röst­med­delande i svararen som du kan lyssna senare.

Tryck inte på siffror eller svara på uppmaningar

Agera aldrig om du hör tryck 1 för att pre­numerera eller säg ja för att prata med handledare. Bedragarna kan banda in din röst för att använda den till röst-styrda funktioner i dina konton.

Verifiera identitet

Om ett företag ringer dig kan du alltid leta upp institutionens allmänna nummer och be om hjälp. Tryck aldrig på länkar och kontakta inte nummer som du uppmanas ringa till­baka till.

Fråga frågor

Om personen som ringer dig vägrar svara på dina frågor, har konstigt formulerade svar eller kringgår dina frågor, tryck på röda luren. Efter­som du inte är i fysisk kontakt med personen har du svårt att avgöra tro­värdighet.

Skillnad mellan vishing, smishing och phishing

Vishing är en del av den bredare termen phishing, även kallat nät­fiske. Phishing är ett samlings­namn för bedrägeri­försök via e‑post, text­meddelanden och falska webb­sidor. Vid vishing är den primära kanalen för utövning telefon­samtal och denna metod används ofta i kombination med phishing för att verkställa ett bredare data­intrång.

Likt vishing är smishing också en typ av phishing men i detta kontext skickar bedragaren flaska sms. Med­delandena inne­håller elakartade länkar som mot­tagaren ska klicka på och som följd kan enheten infekteras med ett virus, en trojan eller ett gisslan­program.

Alla tre bedrägeri­metoder har ett gemensamt mål: att få tag på privat information, pengar eller inloggnings­uppgifter. Bedrägerier baserar sig ofta på emotionell aktivering av offret då känslo­argument lätt ger upphov till handling.

Exempel på vishing i Sverige

2011 lanserades en mobil bank-id app i Sverige. För att logga in i en nät­bank på till exempel en dator krävs en två­stegs­verifiering i appen. På 2010-talet ringde många cyber­kriminella runt och påstod sig ha hittat problem i folks bank-id appar. Offren loggade in i appen under samtalen och på det sättet hamnade mängder av bank-id:er i fel händer. Detta möjlig­gjorde över­föring och stöld av pengar. För att undvika vishing utrustades appen 2018 med en QR kod som försäkrar att datorn och telefonen befinner sig i samma utrymme vid inloggning.

Det är inte enbart penga­stöld som äventyrar din säkerhet i samband med vishing-försök. Varje distans­arbetare borde idag vara förberedda på samtals­fiske till exempel i diverse IT-företags namn. Läs mer om online­säkerhet och lär dig skydda alla dina enheter med våra 8 tips för att jobba säkert på distans!

Skydda dig mot hot på nätet med F‑Secure TOTAL

Vishing är bara ett av flera trick som bedragare använder för att få tag på konfidentiell information eller infektera din enhet med malware. Därför måste du vara skyddad på alla dina enheter.

F‑Secure TOTAL håller dig säker online, både på mobilen och på datorn. Utöver ett avancerat anti­virus­program erbjuder TOTAL också VPN för privat surf över­allt, en lösen­ords­hanterare och många andra verktyg som håller din integritet i skydd. Prova F‑Secure TOTAL kostnads­fritt!

Läs mer och prova kostnads­fritt