Phishing

Hver uke mottar jeg et antall «phishing»-meldinger, som den over. Dette er meldinger fra kriminelle som forsøker å fiske etter konfidensielle data, slik som kontonummer, brukernavn og passord.

Kai A. Olsen er professor i informatikk ved Høgskolen i Molde.
Kai A. Olsen er professor i informatikk ved Høgskolen i Molde.

Det finnes mange former for «phishing»-angrep. Det vi skal se på her er meldinger der hensikten er å få tilgang til dine kontoer eller til å bestille varer og tjenester i ditt navn. Felles for de fleste meldingene er at de har en «klikk her»-lenke, som nok viser til en helt annen webside enn den teksten i lenken gir inntrykk av. For eksempel går lenken over ikke til Sparebank1, som teksten kan gi inntrykk av. Isteden fører den deg til en side som etterligner bankinnloggingen. Da blir skurkene et mellomledd, en «man in the middle», mellom deg og banken.  Alt du oppgir av brukernavn og passord går via skurkenes nettside, som da kan utnytte dataene for å få tilgang til din bankkonto.

 

Før kom de fleste slike meldinger på engelsk. Nå kommer de også på norsk, men mange av meldingene, som den over, bærer preg av å være oversatt med automatisk oversetting. Disse er lett å oppdage og mange av oss trykker delete umiddelbart når vi får meldinger skrevet på dårlig norsk. Mine tidligere skolelæreres krav om korrekt staving og grammatikk har derfor fått en helt ny betydning. Skriver du ikke korrekt, kan meldingen din bli oppfanget nettopp som «phishing».

Men også skurkene kan forbedre seg. I det siste har jeg mottatt «phishing»- meldinger skrevet på godt norsk. Da skal det ikke mye til for å trykke på gal lenke. Nå sier seriøse organisasjoner at de aldri sender ut meldinger av denne typen. Mon det? Nå har jeg mottatt meldinger både fra Gjensidige og Skandiabanken om BankId på mobil med «klikk her»-lenker. Begge er genuine og lenken går ikke direkte til innlogging. Den går til en side som forklarer alt om BankId på mobil, men som også har lenker videre til innlogging.

Her åpner vi opp for skurkene. Det de kan gjøre er å kopiere e-posten, kopiere sidene som beskriver mobilløsningen og så håpe at kundene trykker innloggingsknappen på denne siden – som da går rett til deres «man in the middle»-side. Gjør de det, skal det ikke mye til for å lure intetanende bankkunder. Gjensidige og Skandiabanken opererer altså på en farlig vei. Selvfølgelig bør de kunne sende meldinger til kundene, men disse må aldri ha lenker videre til innlogging.

Det er, som vi har sett, en klar invitasjon til skurkene.

Eneste måten for oss som kunder er å oppdage svindelen på, er ved å oppdage at lenken ikke fører dit den sier. Men smarte skurker kan lage lenker som ligner på den ekte. Vi gjorde det da vi beskrev farene ved valg på Internett. Da erstattet vi evalg.stat.no med vår egen evalg-stat.no. Ingen av våre testpersoner oppdaget den lille forskjellen. Nå vil nok noen kunder legge merke til at hengelåssymbolet og grønnfargen på nettadressen ikke kommer opp på den falske siden, men helt sikkert ikke alle.

Kan man så gjøre noe for å motarbeide phishing? Når banken oppdager at et angrep er på gang kan de forsøke å stenge de nettsidene som kundene blir sendt til. De kan også sende advarsler til kundene. Et problem er at det også finnes phishing-meldinger som nettopp etterligner slike advarsler.

Men angrep kan være det beste forsvar. Hva med å sende et falskt brukernavn til skurkene?

Når de logger inn med dette kan en gi tilgang, selvfølgelig ikke til det virkelige systemet, men til et skyggesystem. Det vil gi verdifull informasjon, om skurkenes servere, IP-adresser og ikke minst, til hvilke kontoer de forsøker å overføre penger til, til hvilke adresser de forsøker å få sendt varer, m.m. Dette er skurkenes svakeste punkt. Risikoen for å bli tatt for å sende «phishing»-meldinger fra utlandet til Norge er liten, men hensikten med dette er ofte å få verdier. Da må en ha en tilstedeværelse i Norge, ofte «mules» som bruker sin konto eller sin adresse for å motta og videresende verdiene. De kan tas!

–> Hallgeir Gammelsæter, Kjetil Kåre Haugen, Kai A. Olsen og Jenny Klinge er faste spaltister i Panorama. 

  • Tja, de trenger da ikke «mules» om de tar over flere kontoer? Da kan de jo bare sende pengene mellom uskyldiges konto, og føre pengene ut til sine kontoer fra en eller flere person(er) som de ikke tapper penger fra. Om de eventuelt fører pengene derfra til en konto i et land med dårlig lovverk, vil de nok være relativt trygge…

    • Kai_A_Olsen

      Ideen er jo å få ut penger i kontanter slik at de ikke kan spores videre. Det er heller ikke så enkelt å overføre penger direkte til konto i utlandet, i hvert fall ikke til land som har dårlig kontroll med sitt bankvesen. Her har kampen mot terror lagt mange sperrer i veien.