Artikel top billede

(Foto: Computerworld)

Phishing – undgå at blive snydt!

Se her, hvad du skal være opmærksom på, når du åbner dine e-mails.

Af Tom Madsen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Vi har i det seneste år været vidne til et stigende antal af angreb på både firmaer og privatpersoner, der ankommer i form af en phishing-e-mail. Phishing er en form for spam, hvor målet er enten at få brugeren til at indtaste sine bankoplysninger på et website, der er designet til at se ud som deres bank eller andre lyssky formål.

Som det ses på Figur 1, er der et eksempel på en mail, der ser ud til at komme fra en sportsforretning i England. Læg mærke til, at der er en vedhæftning med. I dette tilfælde er det ret nemt at spotte, at det er en phishing-e-mail, fordi jeg ved, at jeg ikke har handlet i England, og derudover ser selve e-mailen heller ikke særlig professionel ud. I dette tilfælde ville word-filen, hvis altså jeg åbnede den, fylde min pc med diverse former for malware, der kan overvåge alt, hvad jeg foretager mig på min pc og sende f.eks. mine logon-oplysninger fra min netbank til folkene, der står bag e-mailen.

Figur 1: Her er et eksempel på en phishing- e-mail, der er relativ nem at gennemskue. Figur 1: Her er et eksempel på en phishing-
e-mail, der er relativ nem at gennemskue.



Hvordan genkender man en phishing-e-mail?
Nogle e-mails er altså relativt nemme at spotte, men der er også e-mails, der er sværere at gennemskue. De ser måske ud til at komme fra firmaer, du kender og handler med såsom mails fra Skat eller Post Danmark. Hvordan skal du kunne se en phishing-e-mail, for hvad den er? Meget af det kommer selvfølgelig an på øvelse, men der er faktisk nogle tricks, som du kan anvende på en e-mail, som du er i tvivl om er ægte.

Bruger du Outlook, kan du lade din mus svæve over et link i en e-mail. Herefter vil Outlook i en pop op fortælle dig, hvor linket peger hen. Du kan se et eksempel på dette på Figur 2. Her er det en e-mail fra Pluralsight, og linket i e-mailen peger på et Pluralsight-domæne, så der er god sandsynlighed for, at linket er sikkert. Hvis du har fået en mail fra Skat eller Post Danmark og linket i pop op’en henviser til en hjemmeside med en anden adresse, er der risiko for, at mailen ikke kommer fra Skat eller Post Danmark. I disse tilfælde er det bedre at gå direkte ind på firmaets hjemmeside og selv indtaste adressen.

Figur 2: I Outlook kan du se, hvor et link peger hen. Figur 2: I Outlook kan du se, hvor et link peger hen.

Men der er også eksempler på links, som det kan være sværere at vurdere, om det har et tilhørsforhold til den e-mail, man kigger på. Tag et kig på Figur 3. Her er e-mailen fra Hackin9, og er en e-mail som jeg selv har bedt om at modtage med jævne mellemrum fra Hackin9. Men linket i pop op’en ser ikke ud til at pege et sted hen, som jeg kan genkende som tilhørende Hackin9, og her er svagheden ved denne teknik. Mange firmaer bruger tredjepartsleverandører til deres kampagner, og derfor vil mange links i ellers sikre e-mails se ud som om, de går til et domæne, som ikke har noget tilhørsforhold til det firma, som e-mailen kommer fra. Der findes desværre ikke nogen skudsikker måde at genkende en phishing-e-mail på. Selv de spamfiltre, som vores leverandører har, kan ikke fange al spam, så vi skal regne med, at phishing-e-mails vil dukke op i vores indboks i en rum tid endnu.

Figur 3: Det er ikke altid lige nemt at gennemskue, hvor et link peger hen, og om det er sikkert at klikke på. Figur 3: Det er ikke altid lige nemt at gennemskue, hvor et link peger hen, og om det er sikkert at klikke på.

Det eneste forsvarsværk vi har, når en phishing-e-mail ankommer, er os selv. Så vær på vagt, og er du i tvivl, så lad være med at klikke på links i e-mails og lad være med at åbne vedhæftede filer! Tricket med at lade musen svæve over et link fungerer også i en browser. På Figur 4 kan du se, hvor et link peger hen i nederste venstre hjørne af browservinduet.

Figur 4: Hjælp til at finde ud af, hvor et link peger hen findes også i browseren. Figur 4: Hjælp til at finde ud af, hvor et link peger hen findes også i browseren.


Phishing i chatprogrammer
Nu er phishingangreb ikke kun noget, der kommer vi e-mails. Langt de fleste af os bruger chatprogrammer som en del af vores kommunikation, både privat og på vores arbejde. Det er ligeså nemt for en angriber at bruge chat som e-mails til sine underlødige handlinger. Specielt hvis angriberen allerede har fuld kontrol med en pv, som en af dine chatkontakter bruger. Så vil chatbeskeden se ud som om, den kommer fra en, du stoler på.

Uanset om du bruger Skype, IRC, Jabber eller andre, kan chatprogrammer overføre filer. Så det er ikke kun links i chatbeskeder, du skal være opmærksom på, men også de filer du modtager.

Udfordingen ved chat er, at kommunikationen er øjeblikkelig. Man har ikke den samme tid til lige at tænke sig om, som i tilfældet med e-mail. Fordelen er dog, at du med det samme kan skrive tilbage til kontakten og spørge, om linket eller den sendte fil er noget, som kontakten kender til. Hvis det er en angriber, der har overtaget kontrollen med din vens pc, vil du næppe få et svar tilbage, og du kan gøre din ven opmærksom på, at hans eller hendes computer er inficeret.

I chat-tilfældet skal du være opmærksom på de samme ting som med e-mail, men du skal samtidigt være forsigtig med de kontakter, du har i dit chatprogram! Lad være med bare at acceptere en kontaktanmodning, uden at finde ud af, om kontakten kommer fra en person i din omgangskreds.

Også på telefon og web
Phishing sker også via websider og på din telefon. Lad os tage telefonen først. Du får en opringning fra en person, der hævder at komme fra Microsoft eller et andet supportfirma, men for tiden er det typisk, at de siger, at de er fra Microsoft. Personen vil så fortælle, at de kan se, at din pc er inficeret med malware, som de gerne vil hjælpe dig med at fjerne. Gratis naturligvis. Du skal bare ’lige’ browse til en webside, og downloade et stykke software der vil hjælpe dig med at fjerne malwaren. Det der i virkeligheden sker er, at du nu downloader malware til din pc og installerer det. For tiden er Danmark stærkt plaget af denne form for phishing via telefon. Du kan ofte på din mobiltelefon se, at telefonnummeret har udenlandsk oprindelse, og ofte kan en hurtig google-søgning på nummeret vise, at der er tale om et phishing-forsøg.

I tilfældet med websider, så sker et angreb typisk via en hjemmeside, som du bruger jævnligt. Det kan f.eks. være cnn.com. Langt de fleste hjemmesider har aftaler med tredjepartsleverandører, der tager sig af arbejdet med at placere alle de forskellige reklamer, som mange af disse sider lever af. Både websiden og tredjepartsleverandører kan blive hacket, og af den vej kan en angriber placere en reklame på en webside, der i virkeligheden vil downloade et stykke software til din pc. Det kan f.eks. ske ved, at siden hævder, at du ikke kan komme videre uden at downloade og installere en browser-plugin. Eller som i tilfældet med telefon-phishing, kan siden hævde, at du er inficeret med malware og påstå at hjælpe med at fjerne den.

Du er din egen firewall
Fælles for alle phishing-angreb er, at de kræver din aktive deltagelse. Du skal selv foretage en handling, der gør, at angrebet lykkes. Du skal klikke på et link eller installere noget software. Så når du modtager en phishing-e-mail, et telefonopkald eller en besked fra en chatkontakt, så er du reelt din egen firewall. Hvis du ikke lader dig narre, så kan du lykkeligt fortsætte din browsing i sikker forvisning om, at du ikke blev narret. Denne gang! For phishing udvikler sig lige så hurtigt, som virus gør det, og vi kan regne med, at der bliver lagt en masse kræfter i at udvikle phishing for at lokke flere i fælden.

Crypto Locker
Hvad er det så for noget malware, der typisk bliver installeret på vores pc’er? Det kan være mange ting, men blandt de mest populære former for malware findes f.eks. Crypto Locker og Spyware. En Crypto Locker vil kryptere alle dine filer og kræve en løsesum for nøglen, der kan dekryptere filerne. I det forgangne år er flere danske kommuner blevet ramt af det. Har man en god backup, så er det relativt nemt at komme sig efter sådan et angreb. Som privat-person uden backup er problemet noget større. Her er valget imellem at betale eller afskrive filerne som tabt. Du kan være heldig, at den Crypto Locker, du er blevet ramt af, ikke er så velskrevet, så der er blevet udviklet værktøjer til at dekryptere filerne af en antivirus-leverandør. Men chancerne for det er desværre små.

Spyware har vi set igennem mange år. Formålet med denne form for malware er at høste detaljer om dine logon-oplysninger til netbank m.m. Hvis du er ’heldig’, så vil malwaren kun gøre dig til en del at et botnet – dvs. at din pc nu kan bruges til de globale DDoS-angreb, der hele tiden sker på internettet. Hvis du vil se et udkast af de mange DDoS-angreb, der sker, så tag et kig på siden map.norsecorp.com. Her kan du se de angreb, som bliver monitoreret af firmaet Norsecorp, sammen med den/de protokoller som bliver brugt i angrebet.

Tænk dig om
Selvom du ikke synes, at du har noget på din pc, som andre ikke må se, og derfor er ligeglad med antivirus og spamfiltre m.m., så kan du risikere, at din pc bliver inficeret og bliver brugt som et botnet, og derved hjælper til at angribe andre. Det er altså værd at tænke sig om, også selvom pc’en kun bliver brugt til nyhedssurfing og indkøbslister. Det kan betale sig at være opmærksom på de e-mails, du modtager, de chatbeskeder du modtager, og de beskeder du måtte få fra hjemmesider.