Känner du igen lösenordsfiske? Det är väldigt viktigt, och vanligt!

Jaha, nu är det nåt skumt på gång med mitt e-postkonto igen. Nån form av nollning av lösenordet, undrar vad det betyder? Men bäst att fixa det genast innan posten slutar funka!

Så här börjar ett av de absolut vanligaste tricken i cyberbrottslingarnas verktygsback. Om man ska ta fram en lista på nödvändiga cybersäkerhetsfärdigheter så är att känna igen lösenordsfiske, ”phishing”, definitivt nära toppen. Vi ska alltså ta en titt på en konkret attack, och längre ner göra en lista på hur man känner igen dem.  Och BTW, det här är igen i kategorin ”do not try this at home”.

Lösenordsfiske steg för steg


Typiskt lösenordsfiske, e-posten varnar för att “nån försöker nolla lösenordet”

Det börjar alltså med ett mejl som vanligen handlar om nåt påhittat problem med kontot. Alternativt kan det vara frågan om en vinst eller annan förmån som man måste lösa in. I det här fallet riktar sig attacken tydligen mot e-postkonton hos Microsoft. Storyn är att nån annan har inlett en ändring av lösenordet och det här är din sista chans att stoppa kapningen av kontot. Ironiskt nog så inleder du kapningen om du följer instruktionerna. För att betjäna kunden innehåller e-posten naturligtvis en länk som man ska följa.


Inloggningsruta som imiterar Microsofts

Länken leder till en sida dän man ska logga in. Inloggningen är en kopia av Microsofts, men körs från en helt annan server som kontrolleras av skojarna. Observera adressen i webbläsarens URL-fält. Man har också lagt in ordet ”secure” på flera ställen i länken, så att det ska se tryggt och säkert ut.


Microsofts autentsika inloggningsruta

Som jämförelse en bild av Microsofts riktiga inloggningsdialog. Kopian är inte perfekt men tillräckligt bra för att se trovärdig ut.


Firefox blockerar skadliga webbsidor

Hoppsan. När jag vill gå vidare stöter jag på patrull. Webbläsaren Firefox har inbyggt skydd mot skadliga sidor och de har tydligen fått nys om den här attacken bara några minuter efter att jag började testa. Men man kan gå vidare på egen risk. Det ska man inte göra, men jag gör det ändå.


Lösenordsfiskesida som använder skyddad uppkoppling och ett riktigt certifikat

Ja just det. Låset bredvid adressen berättar att man använder en säkrad uppkoppling och vem som äger servern. En säkrad uppkoppling är naturligtvis förtroendeingivande. Vi ska klicka på låset och kolla serverns certifikat. Hoppsan! Det är inte Microsofts server utan nån helt annans!


Inmatade lösenord kollas och fel lösenord accepteras inte

Här är det frågan om en lite mer avancerad form av lösenordsfiske. Den förfalskade inloggningssidan kollar lösenordet mot Microsofts server och godkänner inte ett felaktigt.


Lugnande meddelande när rätt lösenord matats in

Om man matar in rätt lösenord så får man ett lugnande meddelande om att allt är OK och Microsoft ser till att man är trygg. Va fint! I det här skedet har cyberbrottsligen alltså det rätta lösenordet till din e-post.


Listan över inloggningar visar att skijarna försökte logga in ca. 45 minuter senare

Och mycket riktigt. 45 minuter senare har vi långväga besök från Nigera. Det är i och för sig frågan om ett tomt testkonto, men jag bytte ändå lösenordet direkt efter testet. Det är en bra påminnelse om att man kan reparera skadan om man inser sitt misstag och agerar tillräckligt snabbt.


Hur känner man igen lösenordsfiske?

Alla attacker uppfyller inte alla de här kriterierna. Men också en eller ett par är tillräckligt för att väcka misstanke.

  • Du får e-post angående nåt problem i ett av dina konton, eller alternativt en chans att vinna något värdefullt.
  • Det är bråttom, du måste reagera genast! Desto mer offret hinner tänka efter, desto större risk att hen genomskådar bluffen.
  • För musen över länken för att se vart den egentligen pekar

    Lösenordsfiske innehåller alltid en länk till en webbsida som inte ligger hos den firma som nämns. På en dator kan du föra musen över länken och se vart den för dig före du klickar.

  • Kolla från vilken adress mejlen kommer. I exemplet slutar den på ”org.com”, inte på ”microsoft.com”, vilket skulle ha varit logiskt.
  • Adresslistor för skräppostning innehåller ofta dubletter. Fick du flera kopior av samma mejl? Antingen identiska eller med små variationer? Det är också en varningssignal. Det kom fyra kopior av attacken som används som exempel här.
  • E-posten innehåller inte någon annan personlig info om dig, t.ex. ”Bästa herr Svensson…”. Skojarna vet inte vem du egentligen är, de har vanligen bara en e-postadress.
  • E-posten kommer oväntat. Om du gör någon ändring i ett konto kan det skicka mejl och be dig bekräfta, men det är en annan sak för du vet att du gjorde ändringen och kan vänta ett mejl.
  • Lösenordsfiske skickas ofta ut blint till många adresser, inkluderande många som inte ens har konto på det berörda systemet. Då är det lätt att ana ugglor i mossen.
  • E-posten kan vara på engelska fast du använder kontot på nåt annat språk, eller vara på ditt språk men dåligt översatt. Att de skandinaviska tecknen saknas är ett vanligt problem, och kyrilliska här och där verkar skumt.
  • E-postens allmänna layout kan också vara av en kvalitet som man inte förknippar med proffsiga storbolag.
  • Kom ihåg att fin layout, korrekt språk och rätt logo INTE är en garanti för att e-posten är äkta. Allt det där går att kopiera.

Hur ska man agera om man misstänker lösenordsfiske?

Agera så här om du får en misstänkt e-post:

  • E-post som ber dig logga in och lösa nåt problem i ditt konto är till nästan 100% lösenordsfiske. Utgå från att det är ett falskt mejl, och klicka INTE på länken.
  • Om du ändå är osäker så gå till kontot ifråga, men INTE via länken i mejlet. Öppna kontot så som du vanligen gör, via ett bokmärke eller genom att skriva adressen. Om det verkligen är nåt problem så kommer du att få info om det när du loggat in.
  • Om du trots allt har fallit för tricket och matat in lösenordet i skojarnas falska inloggning, så agera snabbt. Logga in och ändra lösenordet eller kör nån ”säkra mitt konto”-funktion som nuförtiden finns i många bättre system. Man kan hinna göra det i tid om man är snabb.

Micke