Af Palle Vibe, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Mange kender det gamle råd om at holde musen hen over et link, hvorpå det så fremgår nede til venstre i browseren, hvor linket faktisk fører hen. På den måde kan du sikre dig mod phishing-sites fra it-kriminelle, som gerne vil narre dig ind på deres falske hjemmesider.
”Men det råd kan du ikke altid regne med,” fastslår sikkerhedskonsulent Thomas Bøjstrup Johansen, der er tilknyttet det særlige Incident Response Team i it-sikkerhedsfirmaet Dubex. Det er nemlig muligt i CSS, Javascript og andre programmeringssprog, der definerer udseendet af et HTML-dokument, at indsætte en kode, der aktiverer en anden adresse, og så virker den ellers udmærkede funktion ikke.
Den luskede kode bevirker, at linket har én værdi, når musen bliver holdt henover, og en anden, når du klikker og aktiverer linket. Et eksempel kunne være:
<a id=”sikker” href=”https://www.dinbank.dk” onmouseover=”document.getElementById(’sikker’).href=’https://www.dinbank.dk’” onclick=”document.getElementById(’sikker’).href=’https://dubex.dk’”>
www.dinbank.dk
</a>
Ikke noget nyt påfund
Det onde kneb virker efter sigende både i Edge, Chrome og Firefox. Til gengæld skulle det ikke umiddelbart være muligt at få hverken Googles Gmail eller Microsofts Outlook til at eksekvere sådan en script-kode.
Thomas Bøjstrup Johansen kan konstatere, at samme trick i dag anvendes i flere og flere tilfælde med det formål at lokke dig ind på forskellige falske sider for at franarre dig penge eller oplysninger eller begge dele.
Forklaringen er måske, at de fleste gamle skrivebords-pc’er fik installeret gode anerkendte mail-programmer som Outlook, Outlook Express, Thunderbird eller andre, og disse mail-programmer gav ikke mulighed for at afvikle aktive koder. Men i dag anvender flere og flere webmail, der jo afvikles direkte online uden et specielt installeret mail-program, og dertil kommer, at moderne browsere mægtigt gerne vil give en god grafisk brugeroplevelse og derfor også tillader brug og ikke mindst misbrug af aktiv kode.
Mange større webmail-udbydere som eksempelvis Google, Microsoft mv. har forsøgt at overføre nogle af de sikkerhedsfunktioner, der lå indbygget i de gamle mail-programmer, til deres nye webmail-software, så de eksempelvis kan filtrere aktive koder fra, når de gengiver en HTML-mail.
Men i takt med udbredelsen af webmail er det også blevet sværere for den almindelige og ikke specielt scriptkyndige it-bruger at gennemskue, hvad der sker og gardere sig mod det, for det forudsætter en smule kendskab til HTML-koder.
Sådan laver du et script
Med et scripting-sprog som eksempelvis det særdeles anvendte programmeringssprog JavaScript, kan du skrive aktive koder direkte i dine HTML-filer og gøre din hjemmeside interaktiv/dynamisk (så indholdet kan ændres alt efter input fra brugeren). Med JavaScript kan du på den måde lave popup-vinduer, en besøgstæller og en personlig hilsen til alle besøgende, en lommeregner, en billedfremviser, advarsels-popup skilte og meget mere.
En simpel script-kode i et HTML-dokument kan se sådan ud:
kan se sådan ud:
1 <html>
2 <head>
3 <title>JaveScript<title>
4 </head>
5 <body>
6 <script type=”text/javascript”>
7 document.write(”HEJ MED DIG!”);
8 </script>
9 </body>
10 </html>
Dette simple script vil udskrive “HEJ MED DIG” på din side.
Til kamp mod aktive koder
Men bliver jeg så ikke reddet af mit antivirusprogram? Ikke nødvendigvis i første omgang i hvert fald. ”Selv om du har et antivirusprogram installeret, er det nemlig ikke sikkert, at det vil fange en helt nylavet snydekode,” advarer Thomas Bøjstrup Johansen.
”Men et ganske brugbart råd er at have lidt is i maven, og hvis mailen ikke er ekstremt vigtig vente 24-48 timer med at åbne den. For så har anti-virusprogrammet haft tid til at opdatere sin database over kendte vira, og indeholder din mail en hidtil ukendt malware, vil dit antivirusprogram sandsynligvis nu kunne spotte en eventuel ny virus og sætte en hurtig stopper for uvæsnet.
”Som bruger kan du naturligvis også sørge for at aktivere alle relevante sikkerhedsfunktioner, eller bruge plug-ins, der begrænser brugen af aktiv kode,” nævner Thomas Bøjstrup Johansen desuden.
”Men dette går jo desværre også ofte ud over brugeroplevelsen, fordi næsten alle nyere webmail-programmer som nævnt selv anvender forskellige aktive koder for at præsentere sig smukt med en flot brugerflade (Graphical User Interface eller GUI), og slår du for mange funktioner fra, virker disse sider som oftest ikke.”
En mulig løsning på dette kan evt. være at benytte flere logins til sin webmail, hvor det ene login åbner den fulde grafiske brugerflade, mens det andet skræller alle sådanne aktive koder bort fra visningen. Men det vil formentlig nok kræve hjælp af en særlig it-kyndig.
Det er desværre heller ikke blevet bedre af, at mange browsere er begyndt at skjule flere statusoplysninger for brugeren som for eksempel den ellers så velkendte og iøjnefaldende lille lås oppe til venstre i adressefeltet. Dette symbol indikerer, at afsenderen er autoriseret af diverse sikkerhedscertifikater, men den er i mange nyere browser-udgaver forsvundet fra skærmbilledet for at gøre det så rent og overskueligt som muligt. Den findes stadigvæk, men godt gemt bag et lidt uoverskueligt menu-underpunkt.
Det er desværre heller ikke blevet bedre af, at mange browsere er begyndt at skjule flere statusoplysninger for brugeren og eksempelvis ikke viser, om meddelelsen i browserens adressefelt angiver, om du er kommet ind på en HTTP- eller en HTTPS-side. En HTTP-side angiver, at der er tale om klartekst-kommunikation mellem mailprogram og server, mens HTTPS angiver, at der er tale om krypteret kommunikation (S står for ”Secure” (sikker)).
Thomas Bøjstrup Johansen anbefaler selvsagt HTTPS, selv om han dog også medgiver, at det ikke er så ligetil heller at lave MITM på HTTP-trafik mellem eksempelvis et mailprogram og en webserver. MITM betyder ”Man in the Middle”, der i den forbindelse henviser til den it-kriminelle, der figurlig talt sidder i midten og ”klipper snoren over”. Til gengæld er det ikke så svært at kikke med, hvis det forinden er lykkedes ”mellemmanden” at smugle malware ind på din computer på et sted, der ligger før krypteringen.
Bruger du imidlertid en åben Wi-Fi-forbindelse uden sikkerhedskryptering (f.eks. i en lufthavn eller på et hotel), kan alle og enhver gå ind og se alt, hvad du sender og modtager. Og selv om du vælger en forbindelse med sikkerhedskryptering, kan en it-kriminel se, hvor du har været henne på nettet ud fra den DNS-søgning (Domain Name System), som din webbrowser foretager for at finde ip-adressen på de servere, du vil besøge.
Selve datastrømmen er godt nok krypteret, men har du eksempelvis besøgt nogle mere lyssky sider på nettet, kan du risikere forskellige forsøg på afpresning. Derfor undgå så vidt muligt helt åbne Wi-Fi-forbindelser eller brug VPN-services (Virtual Private Network) altså virtuelle private netværk, som krypterer al din datatrafik.
”Så i og med at de nyere browsere lægger større vægt på flot udseende og hurtig indlæsning, bliver det tilsvarende sværere for alle almindelige brugere at tjekke, hvem der reelt står bag de sider, du besøger”, erkender Thomas Bøjstrup Johansen. Og han opfordrer generelt alle til at lade være med at åbne mails, modtagerne ikke ved, hvor kommer fra, ikke ved hvad den indeholder, eller hvorfor de overhovedet har fået.
”Og hvis det er muligt, så spørg en it-kyndig i familien eller venne-kredsen. Det er bedre at spørge ham eller hende en gang for meget end en gang for lidt, og så risikere at pågældende måske skal bruge en hel weekend på at hjælpe med at rense og geninstallere alle programmer i din computer,” råder Thomas Bøjstrup Johansen.