Det kan sammenlignes lidt med tricktyveri, hvor de manipulerer dig til selv at åbne din taske eller give dem nøglen til huset. En fælles ting ved social engineering er, at det skal gå stærkt.
| Navn på svindel | Definition | Eksempel |
| Phishing | E-mail med link eller fil, der inficerer din computer med malware, hvis du klikker på den | Du modtager en mail, der udgiver sig for at være fra IT, der skriver, at du skal installere den nyeste opdatering med det samme – og du kan nemt gøre det via linket. |
| Vishing | Kombination af “voice” og phishing. Svindler ringer for at få dig til at udlevere følsomme informationer | Du modtager et opkald fra en person, der udgiver sig for at være ansat i din bank. Han siger, at nogen er i gang med hæve penge på din konto, men de kan stoppe det – du skal “bare” oplyse dine login-oplysninger. |
| Smishing | Samme som phishing, men foregår via SMS i stedet for mail | Du modtager en SMS om, at din konto hos fx FB er blevet lukket, og du skal bekræfte din identitet inden for 24 timer, hvis den ikke skal lukkes permanent. Du bekræfter ved at klikke på et link i SMS’en. |
| Spear | Målrettet en person eller organisation med formålet at stjæle følsomme oplysninger – indeholder typisk personlige oplysninger fra fx SoMe for at fremstå legitim | Du modtager en mail omkring et event, du lige har været til. Der står, at du kan få slides fra dagen ved at klikke på linket i mailen. |
| Whaling | Minder om spear, men er målrettet den øverste ledelse eller berømtheder. Er typisk meget sofistikerede, matcher virksomhedens Tone of Voice og indeholder personlige oplysninger om personen og organisationen | Du modtager en mail, der handler om et oplæg, du skal holde om et par uger. Afsenderen er din assistent, som har lavet et udkast til et oplæg, som I snakkede om. Mailen indeholder en kort beskrivelse af formål og indhold med link til oplægget. |
| Baiting | Svindleren lokker med gratis download af fx musik og film, hvis du giver dine login-oplysninger. Eller de efterlader en USB-stick, der er inficeret med malware, hvor de er sikre på, at nogen finder det | Du finder en USB-stick på en café og tager den med på kontoret. Du sætter den i din computer, fordi du gerne vil gemme en større fil og give din kollega den. |
| Tailgating | Svindleren følger med en person eller ansat ind på kontoret og kan dermed få adgang til personlige oplysninger | Et bud venter ved indgangen til kontoret. Han spørger, om du vil bippe ham ind, da han har et brev, der skal afleveres. Du må normalt ikke lukke fremmede ind, men du gør en undtagelse, da han virker troværdig. |
Mennesker stoler på hinanden. Det er derfor, social engineering virker. Nogle svindlere er eksperter i disciplinen og kan lokke personlige informationer ud af dig, uden at du overhovedet opdager det.
Derfor er det vigtigt, at du altid er kritisk, hvis du bliver bedt om at gøre noget hurtigt (fx har phishing-mails og lignende altid en kort deadline), eller du skal klikke på et link. Ring eventuelt til personen, der (angiveligt) har sendt mailen, eller læg vejen forbi kollegaens kontor.
Det er desværre nemt at få en mail til at se ud som om, det er en anden, der er afsender. Det kaldes for spoofing, men du kan som regel se den rigtige mailadresse, der har sendt mailen, hvis du holder musen over navnet.
Hellere være på den sikre side end risikere, at uvelkomne får adgang til dine egne personlige oplysninger samt virksomhedens data.
Et eksempel på økonomisk kriminalitet
Et eksempel på økonomisk kriminalitet er fx, hvis en svindler sender en mail til bogholderen i en virksomhed med en besked om at betale en vedhæftet faktura. Mailen ser ud til at være sendt fra chefens mail, men der er tale om spoofing og dermed en falsk faktura.
Økonomisk kriminalitet kan også være, at du får en opringning fra en person, der fortæller dig, at din bankkonto er i gang med at blive hacket. Personen vil gerne hjælpe dig, men har brug for at bekræfte din identitet. Personen beder derfor typisk om dine login oplysninger, og at du skal bekræfte et login via MitID. Det bruger svindleren til at tømme din konto.
Nummeret er din banks, da der er tale om et spoofing. Det er nemlig nemt for svindlere at få det til at se ud som om, de ringer fra et andet nummer, end de gør.
Gode råd til at undgå social engineering og svindel på nettet
Det bedste råd i forhold til at undgå social engineering er at trække vejret en ekstra gang og være helt sikker, inden du klikker på noget eller deler følsomme oplysninger med andre.
- Brug altid stærke passwords og to-faktor-godkendelse
- Undgå “underholdende” test på fx Facebook
- Luk aldrig folk ind på kontoret, du ikke kender
- Lås altid din computer og mobil, når du ikke bruger dem
- Brug aldrig fremmede USB-sticks
- Hav et gæstenetværk (så du ikke skal give adgang til dit primære)
Ingen er perfekte. Derfor vil der selvfølgelig ske fejl. Hvis du ser en person på din arbejdsplads, du ikke kender, kan du venligt spørge dem, om du kan hjælpe med noget. Hvis de leder efter en navngiven kollega, kan du fx følge dem hen til denne.
Sådan anmelder du økonomisk svindel på nettet
Du anmelder økonomisk svindel på nettet digitalt hos Politiet. På Politiets hjemmeside kan du anmelde flere forskellige former for økonomisk svindel:
Husk, at du altid bør kontakte din bank eller NETS, hvis du er blevet franarret dine kortoplysninger eller fået stjålet dit kort, så du kan få spærret dit kort.
Du kan anmelde svindel på nettet og anden IT-kriminalitet som enten borger, forening eller virksomhed. Cyberhotline for digital sikkerhed hjælper borgere og virksomheder med at håndtere og forebygge digital svindel og cyberangreb.
Hvis andre har fået adgang til dine MitID-oplysninger, skal du selv spærre det – enten permanent eller midlertidigt. Har en svindler fået fat på dit CPR-nummer, bør du altid både anmelde det til politiet samt oprette en kreditadvarsel på borger.dk. Læs mere her.
*CEO-svindel er, når en svindler udgiver sig for at være chef i en virksomhed (CEO) eller en anden større organisation og beder en medarbejder om at overføre et stort beløb til en (ofte udenlandsk) konto.
Strafferamme for økonomisk kriminalitet
Økonomisk kriminalitet dækker over flere forskellige forbrydelser. Fællestrækket er, at en person får en uberettiget økonomisk vinding på bekostning af en anden.
Økonomisk kriminalitet er bl.a. reguleret i straffelovens:
Det er svært at definere en generel strafferamme for økonomisk kriminalitet. Det resulterer ofte i en betinget straf i denne slags sager, men det varierer fra sag til sag.
De almindelige strafferammer for fx tyveri, bedrageri og underslæb er fængsel i 1.5 år (straffelovens § 285) og kan stige til henholdsvis 6 og 8 år under skærpende omstændigheder eller reduceres til en bøde under formildende omstændigheder.
Er IT-kriminalitet, scam og svindel på nettet det samme?
IT-kriminalitet er et overordnet begreb for kriminalitet, der er begået ved hjælp af IT, hvor formålet er økonomisk berigelse – fx tyveri af finansielle oplysninger og penge, bedrageri og afpresning.
Scam er måderne, svindlerne bruger til at franarre dig dine oplysninger og penge. Det gør de fx via phishing og vishing, som vi beskrev under “social engineering” tidligere. Svindel på nettet er også forskellige måder at snyde personer online – fx med falske fakturaer og misbrug af din identitet.
Forsikring til IT-kriminalitet
Der findes forsikringer, der beskytter dig mod online kriminalitet og cyberangreb. Det er dog vigtigt at sige, at det ikke er en garanti for, at det aldrig vil ske.
Det kaldes typisk en cyberforsikring til private, mens virksomheder kan tegne en IT-forsikring. Forsikringerne til virksomheder dækker som regel indbrud i netbank, udgifter til at fjerne virus fra IT-systemer og genetablering af data.
Kontakt dit forsikringsselskab for at høre, om de har en forsikring til IT-kriminalitet. Codan og IF-forsikring har fx forsikringer mod IT-kriminalitet til virksomheder.