Tur – ett av cyberbrottslingens viktigaste verktyg

Man kan inte betona det för mycket, lösenordsfiske är ett av nät-skojarnas viktigaste verktyg. Men det räcker inte, tur är faktiskt viktigt också. Framför allt eftersom den här typen av brottslighet bygger på stora volymer. Man skickar ut miljontals skojeri-mail och hoppas på att ens en liten del faller för det. Så slumpen, eller turen, vad man nu vill kalla det, spelar utan vidare en stor roll. Här kommer ett exempel på hur en slump kan göra skojeriet mer trovärdigt.

Lösenordsfiske som lockar användare att logga med ett påhittat kreditkortsproblem

Det börjar som vanligt med ett mejl om att man måste logga in för att reda upp nåt sorts problem. I det här fallet med kreditkortet som ens Netflix-konto betalas med. Och det är just här som turen kommer in i bilden. Kreditkortsbolaget ringde mig för en vecka sedan för att meddela att mitt kort spärrats. Det hade igen skett ett dataläckage från nån firma som jag handlat med. Nytt kort kommer så småningom på posten, men det spärrade kortet innebär att prenumerationer, som t.ex. Netflixs filmer, inte kan fakturera den månatliga avgiften. Och då borde det komma ett mejl av just den här typen. Därför tänkte jag först ignorera mejlet och fixa det när nya kortet kommit. Men nyfikenheten fick mig ändå att öppna och kolla.

Som sagt, i det här fallet hade skojarna alltså tur. De kunde omöjligt veta att just jag har ett spärrat kort just nu. Men om man skickar ut tillräckligt stora volymer så träffar man rätt ibland.

Klicka på bilden ovan och kolla några viktiga detaljer. Observera de här tecknen på att allt inte står rätt till:

  • E-post-programmet varnar om att det här kan vara bedrägeri. Ja, de här varningarna börjar bli riktigt användbara. Ta dem på allvar.
  • Avsändaren är inte Netflix. Man kan ha vad som helst före @-tecknet, men det som kommer efter anger organisationen.
  • Texten som utgör länk ser ut att vara en korrekt adress till Netflix, men det som du ser på skärmen är INTE själva länken. Den kan peka nån helt annanstans. För musen över och den egentliga länken visas, i det här fallet i fönstrets nedre kant.

Sånt här lösenordsfiske mot just Netflix har förresten pågått redan i flera år, med ett praktiskt taget identiskt meddelande. Så det är uppenbart att upplysningen inte biter så bra, och det här alltså fortfarande funkar. Volymerna stulna Netflix-konton på svarta marknaden tycks inte minska utan tvärtom snarare öka. Prisutvecklingen på ca. $4 för några år sedan till så lite som $0.25 nu talar sitt tydliga språk om att det inte tycks vara nån bristvara.


Men hur ser då själva lösenordsfiskesidan ut? (Låt bli att öppna misstänka bedrägerisidor om du inte har specialarrangemang för att undvika virus och annat strul.)

Lösenordsfiskesida som kopierar Netflixs inloggning.
Originalsidan, Neflix riktiga login-sida

Vi kan alltså konstatera att skojarnas sida är en bra kopia av originalet. Notera följande saker:

  • Det kan vara praktiskt taget omöjligt att känna igen lösenordsfiskesidor baserat på hur de ser ut, så lita inte på en fin sida. I det här fallet är de mest synliga skillnaderna att layouten är lite annorlunda och Facebook-knappen fattas. Men också legitima sidor uppdateras och ändras med jämna mellanrum, så den riktiga sidan kan också plötsligt se annorlunda ut, utan att det för den skull skulle vara nåt på tok.
  • Förr nämndes det att man kan kolla om sidan använder skyddad uppkoppling eller inte, eftersom skojarna vanligen inte brydde sig om sånt. Läs mer om vad skyddad uppkoppling betyder i den här artikeln. Men nu håller alltså hela Internet på att gå över till skyddad trafik, och det tvingar skojarna att följa efter. Att det finns ett grönt hänglås vid länken och att den börjar på https:// (istället för http:// utan s) är alltså INTE längre nån indikation om att sidan är säker.
  • Att kolla länken och certifikatet är ett pålitligt sätt att känna igen falska sidor. Nej, där står det inte Netflix!

    Men det som är säkert är att kolla länken och vem som äger certifikatet. Det gör man genom att klicka på hänglåset. Namnet som visas ska vara den firma man försöker logga in till, annars ska man låta bli.

Läs mer om hur lösenordsfiske funkar i det här inlägget.

Micke