(Foto: Computerworld)

Fald ikke for phishing-fiduser

Hold dig trygt under vandet og undgå selv de mest avancerede forsøg på phishing.

6. september 2010 kl. 12.09

Af Redaktionen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Phishing – dét at lokke folk til at besøge falske websites for at stjæle information – er i stigning. Alene i Storbritannien er der op til 20 millioner potentielle ofre.

Det er nemt at se, hvorfor den praksis eksisterer. Hvor der er penge, er der som regel nogle, der vi prøve at hugge dem fra dig, og på nettet er det blevet reglen snarere end undtagelsen. Det bør ikke overraske nogen, at den digitale jungle, vi bor i, er en magnet for forbrydere, der gør deres bedste for at franarre dig dine surt tjente penge.

Phishing-angreb er i stigning, og de kan an- tage meget udspekulerede former. Men hvem sender dem? Er der nogen, der falder for dem? Og hvordan skelner man en ægte e-mail fra banken fra al den ondsindede spam? Lad os vise dig, hvordan kan du være i sikkerhed.

Ude at fiske

»Disse fupnumre bliver mere avancerede, og antallet af internetbrugere stiger. Derfor stiger risikoen for at blive franarret sikkerhedsoplysninger også,« siger det britiske anti-phishing-site Bank Safe Online. Over 20 millioner bruger netbank alene i Storbritannien, og hver af dem er et potentielt offer for et phishing-angreb.

I teorien findes der et sted en fidus, som vi alle kan falde for under de rette omstændigheder. Phishing er defineret som den svigagtige handling at tilvejebringe følsomme oplysninger såsom kodeord og brugernavne ved at foregive at være lovmedholdelig.

Det er en form for social manipulation, der til dels bygger på den tanke, at folk gør, hvad man beder dem om, hvis forslaget bliver leveret på en troværdig måde af en tilsyneladende autoritet.

De forskellige former bliver ved med at lokke folk ind, fordi vi er tilbøjelige til at tage for meget for givet uden at analysere situationerne.

En konsulent i netsikkerhed blev af en ældre dame bedt om at løse hendes problem med netbank. Når hun prøvede at logge på, gav bankens site hende en advarselsmeddelelse, og hun bad konsulenten finde ud af, hvad der foregik.

Han bad hende vise, hvordan hun loggede på. Han blev rædselsslagen, da han så, at hun i stedet for at skrive bankens internetadresse eller vælge et bogmærke i browseren åbnede en phishing-mail og klikkede på dens falske link. Hun havde givet cyberkriminelle sine oplysninger, hver gang hun prøvede at logge på.

Heldigvis var oplysningerne ikke blevet brugt endnu, og en hurtig opringning til banken førte til, at hun fik tilsendt nye oplysninger. Ældre mennesker er mest tilbøjelige til at falde for forsøg på online-phishing, men de er langtfra de eneste, der gør det. Phishing er big business.

De hopper på limpinden

I 2003 kaldte FBI phishing for »den hotteste og mest bekymrende nye fidus på internettet«, men dens historie går endnu længere tilbage. Det første phishing-forsøg blev beskrevet i en artikel, der hed System Security: A Hacker’s Perspective, der blev givet til International Hewlett Packard User Group i 1987 af forskerne Jerry Felix og Chris Hauck.

Efterhånden som internettet udviklede sig i 1990’erne, var AOL en af de første store tjenesteudbydere. Den voksede hurtigt og blev et center for phishing-aktivitet. Ved hjælp af skærmnavne, der påfaldende lignede administratorers navne, sendte phisherne meddelelser til ulykkelige ofre. De skrev for eksempel, at modtageren skulle opgive deres kodeord som identitetsbevis.

På den tid var de fleste ikke opmærksomme på behovet for onlinesikkerhed, og mange brugere parerede uden videre ordre. Når kodeordet var blevet afleveret, kunne det blive ændret, og dermed var ejeren forment adgang til sin egen konto. Samtidig blev oplysningerne brugt til at spamme andre brugere eller til at begå bedrageri.

AOL-phishere opdagede hurtigt, at nogle mennesker også afleverede detaljerne på det kontokort, de brugte til at handle online. Før man skulle oplyse sikkerhedstallet på kortets bagside, skulle de kriminelle kun bruge et nummer og en dato.

Problemet blev så stort, at AOL tilføjede teksten: »Ingen ansat hos AOL vil bede om dit kodeord eller om betalingsoplysninger« til alle e-mails, der blev sendt af dets brugere.

Ved århundredskiftet var dette at skaffe kontokortoplysninger en risikabel aktivitet med ringe udbytte, for myndighederne kunne afsløre svindelen. Men der gik ikke længe, før phisherne fandt ud af, at de kunne lægge deres hænder på hele bankkonti.

Phisherne kombinerede spamteknikker med deres egne og begyndte at udsende masse-emails, der hævdede at komme fra større banker. Masse-emails gør det nemt at forfalske linjerne »Fra« og »Besvar« i en besked, så den ser lovlig ud.

Disse fup-mails advarer modtagerne om, at deres konti er involveret i illegale handlinger, og de opfordrer modtagerne til at logge på og se efter. Det afgørende – og det er stadig den centrale funktion i et phishing-angreb – er, at fup-mails tilføjer et link eller en knap, der bringer modtageren til noget, der ligner bankens login-skærmbilleder.

En hurtig test af emails gyldighed består i at se dens headere. Se på de linjer, der begynder med teksten »Received from«. De bliver tilføjet i omvendt rækkefølge, således at den oprindelige afsender kommer til sidst.

Hvis emailen er ægte, vil domænenavnet, der fremgår her, svare til afsenderens domæne. Men ofte står der blot »Unknown«, og det betyder som regel, at den kommer fra en server, der er blevet manipuleret til at blive en del af et botnet.

Når man skal se headere i Microsoft Outlook Express, skal man højreklikke på beskedens titel, vælge »Egenskaber« og klikke på »Detaljer« i det vindue, der kommer frem. I Mozilla Thunderbird vælger man beskeden og klikker »View | Headers | All«.

Du kan også føre musen hen over eventuelle links i den suspekte mail og notere dig linkets navn i informationsbjælken. Domænet ser måske korrekt ud, men undersøg det nærmere, så kommer der måske flere oplysninger, der gør det til et helt andet domæne. Der kan for eksempel stå www.facebook.com.ghdfjk.za. Hvis dette site eksisterede, ville det være i Sydafrika og ikke Facebooks domæne.

Phishing i dag

Phishing løber op i mange millioner, og det er lige så avanceret som al anden cyberkriminalitet. Ligesom anden onlinekriminalitet er phishing blevet langt dristigere og mere fokuseret.

Der er flere og flere, der udfylder deres selvangivelse online. En email, der tilsyneladende tilbyder en stor overskydende skat, er nok til at få nogle til at klikke på et fuplink. Andre cyberkriminelle teknikker finder også vej til phishing-angreb og gør dem meget sværere at afsløre.

Pharming bruger en trojansk hest til at omdirigere dig til et fup-website, når du prøver at besøge en ægte internetadresse.

Den nemmeste måde at gøre det på består i at ændre din hosts fil og tilføje ny, falsk information. Filen eksisterer på alle hjemlige operativsystemer og er en tekstfil, der parrer domænenavne med ip-adresser.

Når du klikker på et link, undersøger operativsystemet først denne fils indhold. Hvis det finder en match på domænet, bruger det blindt ip-adressen. Hvis der ikke er nogen match, konsulterer det den lokale cache med domænenavne og ip-adresser, der er indsamlet under nylige surfingaktiviteter. Hvis det stadig ikke finder en match, beder det din internetudbyders dns-servere om at levere den relevante ip-adresse.

Du kan tjekke, at der ikke er nogen, der har redigeret din hosts fil på denne måde. I alle versioner af Windows ligger hostfilen i mappen »system32driversetc«, der som regel ligger under »C:Windows. I Linux hedder filen /etc/hosts«. I begge tilfælde indeholder filen en liste over ip-adresser og deres tilknyttede domæner.

Se efter, at der ikke er blevet føjet sites til filen. Hvis der er det, er du sandsynligvis blevet inficeret. Opdater eller udskift din virusbeskyttelse og kør en komplet scanning inklusive et tjek for snigende rootkits, der kan manipulere den information, som bliver returneret af kald fra operativsystemet for at skjule processer, der igen tilføjer disse fupfiler til hostfilen.

Angrebne servere

Somme tider bliver hele dns-servere »forgiftet«, så de omdirigerer brugere til falske ip-adresser. Hvis den forgivne dns-server har leveret tjenester til mange brugere, kan det være katastrofalt. Det er et stigende problem, som bekymrer e-handel-sites, fordi man ikke kan stoppe det ved at opdatere sin virusbeskyttelse.

Hjemmebrugere kan i stigende grad køre deres egne dns-servere ved hjælp af open source-software. Hvis du gør det, er det meget vigtigt at bruge sikkerhedspatches, så snart de kommer. Det er også klogt at læse sikkerhedsdokumentationen for at lære de tip, udviklerne anbefaler.

Et andet problem er risikoen ved lokale routere. De stadig mere avancerede enheder sidder på bredbåndspunkter og er altid åbne for internettet. De fungerer som porte, der udleverer lokale ip-adresser og fortæller pc’ere på det lokale net, hvor de kan finde udbyderens dns-servere.

Det er vigtigt, at du bruger alle sikkerhedspatches, ligesom din udbyder bruger dem og bruger et stærkt (og hyppigt udskiftet) administratorkodeord.

Når du er på nettet, skal du altid være vågen, når du klikker på bannerreklamer. Se efter, at sitet har det rigtige domænenavn. Det er muligt, at det site, der hoster det banner, du har klikket på, er blevet hacket, så det omdirigerer dig til et fupsite med et navn, der påfaldende ligner det legitime navn.

Den bedste måde at tjekke om en email er ægte, er at spore den tilbage til kilden. Det kan du gøre med en onlinetracer fra ip-address.com (www.ip-address.com/trace_email). Først skal du kopiere og indsætte headerne fra din e-mail.

I Outlook Express og nyere versioner åbner du mailen og vælger »Egenskaber« i filmenuen. Klik på »Detaljer« og vælg »Meddelelseskilde«. Du copy/paster det, der står, og sætter det ind i boksen på sitet og trykker »Trace email sender«.

Kort efter kommer der en resultatside, som angiver meddelelsens kilde. Til al overflod viser Google Maps afsenderens geografiske placering. Hvis placeringen ikke er, som du havde ventet (hvorfor skulle din bank for eksempel sende emails fra Kina?), er der nok ugler i mosen.

I Mozillas Thunderbird får du adgang til headerne ved at vælge den suspekte e-mail og trykke [Ctrl]+[S]. Det åbner dialogboksen »Save fil«. Gem filen og åbn den i Notesblok. Headerne kan være omfattende, men du skal kopiere den samme tekst, der blev vist i Thunderbird, da du åbnede headerne.

Det er alt, hvad der sker, før linjen »Mime-version« kommer. Den markerer meddelelsens begyndelse. Indsæt den i sitet for at se, hvor den er fra.

Hvor stort et problem er phishing? Sikkerhedsvirksomheden Trusteer fra New York satte sig for at finde ud af det. I en rapport fra januar gør den rede for sine opdagelser om angreb, der var rettet mod ti banker i USA og Europa.

Det gennemsnitlige antal fiduser, der blev rettet kunderne i hver bank, var 16 om ugen. Det svarer til et snit på 832 angreb om året pr. bank. På grund af filtre mod spam og phishing når kun 37 procent (1 ud af 2,7) af phishing-angrebene nogensinde en indbakke. Hvis de skulle gøre det, er der til hver en tid i gennemsnit 190 aktive phishing-sites pr. bank, der stjæler ofrenes oplysninger.

Ifølge rapporten besøgte 12,5 bankkunder ud af en million hvert aktivt phishingsite for hver fidus. Det repræsenterer blot 0,00125 procent af kunderne, men tallet er vildledende, for banker har millioner af kunder. Trusteer hævder, at det samlede antal af en gennemsnitlig banks kunder, der bliver narret til at besøge et phishing-site er omkring 10.400 om året.

Tabene på grund af phishing afhænger af, hvor mange penge ofrene har på deres bankkonti. Da Trusteer anslog det gennemsnitlige tab pr. konto til USD 2.000, var det samlede tab omkring USD 9,4 millioner for hver million kunder.

Cyberkriminelle skal somme tider have hjælp til at få adgang til deres uretmæssige fortjenester. De skal faktisk bruge din bankkonto, men de vil ikke have direkte adgang til den.

Hvis du falder for et såkaldt »pengemuldyr«, kan du blive indblandet i en politiefterforskning som medskyldig i svindel, og du mister også de penge, du har tjent og kan ende med en straffeattest.

Det er ligesom de fupnumre, der skal gøre en rig i en fart. Svindelen med pengemuldyr begynder med en spammail, der tilbyder dig et nemt arbejde. Du skal arbejde derhjemme, du skal ikke investere noget, og du kan arbejde i din fritid.

Bag kulisserne er der en cyberkriminel, der har købt en liste over kontokortoplysninger af en phisher. Han bor i et land, som europæiske banker ikke vil overføre penge til, fordi der er risiko for, at overførselen er svigagtig. Hvordan får han så fat i pengene?

De bliver indsat på din konto. Derefter bruger du en onlinetjeneste til at overføre pengene minus en kommission. Disse tjenester er ikke lige så sikre som bankerne, og man bør kun bruge dem til at sende penge til folk, man kender.

Cyberkriminelle gør meget ud af at få denne fidus til at virke respektabel over for de potentielle muldyr, og de opretter websites, der ser tilforladelige ud. Ofrene får kontrakter. Bankerne gør hvad de kan for at overvåge kundernes konti så de kan afsløre og stoppe muldyragtige aktiviteter.

[themepacific_accordion]
[themepacific_accordion_section title="Fakta"]