Nätfiske och den okända avsändaren

En av de vanligaste metoderna för att komma över känslig information på nätet och sprida skadlig kod, trojaner och virus är med hjälp av det som kallas för “phishing”. Ordet är en omskrivning för “fishing”, och brukar översättas till nätfiske på svenska. I korthet går det ut på att en angripare lurar dig att lämna ifrån dig känslig information genom att låtsas vara någon annan. I det här kapitlet går vi igenom de vanligaste formerna av nätfiske, och förklarar hur du skyddar dig.

Ibland kan nätfisket vara lätt att genomskåda: Alla nätsurfare är bekanta med de enorma mängder skräppost som landar i våra e-postlådor varje dag. Ibland är det en påstådd släkting i ett avlägset land som lovar att överlämna ett bortglömt arv om du bara skickar över en liten administrationsavgift. Ibland är det en påstådd vinst i en tävling, där värdefulla prylar blir dina om du bara uppger dina bankuppgifter för avsändaren.

mejl-bank
Falsk e-post som ser ut att komma från din bank eller ditt kreditkortsföretag är en vanlig form av nätfiske.

De flesta har lärt sig att genomskåda sådana enkla bluffar och snabbt förpassa dem till papperskorgen. De flesta mejlprogram har dessutom inbyggda filter för att automatiskt sortera bort oönskad skräppost.

På senare år har dock många nätfiskare blivit mer sofistikerade. Framförallt de phishing-mejl som försöker komma över inloggningsuppgifter till banker har blivit svårare att skilja från äkta vara. Genom att använda logotyper, text och bilder stulna från bankens verkliga webbplats går det att få till mejl som ser ut att vara äkta. Inte sällan ber avsändaren dig logga in för att bekräfta exempelvis din adress, eller installera en säkerhetsuppdatering. I själva verket smusslas dina inloggningsuppgifter undan och används sedan av angriparen för att länsa ditt konto (se kapitel 7: ”Så skyddar du dina pengar”, för mer om detta). Regeln här är att din bank aldrig någonsin mejlar och ber om dina inloggningsuppgifter eller att du ska logga in på en sida för att kolla att dina uppgifter stämmer.

Din vän kan vara vem som helst

Att många försök till nätfiske är enkla att genomskåda beror på att avsändarna siktar brett. De flesta skräppostare skickar ut sina mejl till flera miljoner mottagare, ofta på flera språk och i många olika länder. Strategin ger dem väldigt lite utrymme att anpassa utskicken till just dig. Det tvingar dem att formulera sig brett och opersonligt i sina texter, och det gör det lättare för e-postprogrammens automatiska filter att identifiera skräpposten och omedelbart förpassa den till papperskorgen.

Givetvis är det en svaghet som listiga angripare lärt sig utnyttja. Det kanske bästa sättet att göra nätfiske mer effektivt är nämligen, något paradoxalt, att begränsa antalet mottagare. Om en angripare bara väljer ut svenskar kan hen koncentrera sig på att förbättra språkbruket, exempelvis. Genom att bara välja kunder till ett visst företag, eller boende i ett visst område, går det att bättra på trovärdigheten ytterligare genom att strössla texten med bekanta detaljer och referenser.

Genom att gå ännu ett steg längre, och fokusera utskicket på just dig, kan en skicklig nätfiskare göra bluffen nästan omöjlig att upptäcka. Det kallas för “spear fishing”, spjutfiske på svenska, och syftar på nätfiske där måltavlan har krympts ned till att omfatta en enskild individ, eller en mycket liten grupp av mottagare.

Ett välkänt exempel inträffade år 2011, och fick minst sagt ödesdigra konsekvenser. Någon skickade då ett mejl till en handfull anställda på säkerhetsföretaget RSA, med det bifogade exceldokumentet “2011 recruitment plan.xls”. Mottagarna valdes noggrant ut av angriparen – de var just sådana som skulle beröras av en rekryteringsplan. En av dem gick på bluffen och öppnade den bifogade filen. I exceldokumentet gömde sig ett stycke skadlig kod, som snabbt tog kontroll över den anställdes dator och letade sig vidare på företagsnätverket. Måltavlan var RSA:s mest känsliga företagshemlighet, krypteringstekniken SecurID, som används av mängder av företag för tvåfaktorsautentisering (läs mer om den tekniken i kapitel 5: ”Lösenord och tvåfaktorsinloggning”). Angreppet lyckades, och årets största säkerhetsskandal var ett faktum. Allt tack vare ett oanseligt nätfiskemejl.

Att fejka en avsändare är ingen konst

Metoden som användes för att komma åt säkerhetsföretaget RSA:s hemligheter kan enkelt anpassas även mot privatpersoner. I regel är folk mer benägna att klicka på länkar eller lämna över viktig information till personer de känner och litar på. Det är inte så konstigt – men hur vet du att vännen som mejlar, eller pratar med dig på Facebook, verkligen är den hen utger sig för att vara?

Det finns inga inbyggda spärrar på internet som förbjuder oss att registrera exempelvis e-postadresser i falskt namn, så länge just den adressen inte är upptagen. Dessutom finns verktyg på nätet som låter en angripare fejka en avsändaradress utan att ens registrera den på riktigt. Hösten 2012 roade sig exempelvis en skämtsam hackare med att skicka tramsigt skrivna mejl från adressen “jimmy.akesson@sverigedemokraterna.se” till journalister. För den som inte noterade stavningen i förnamnet (Sverigedemokraternas partiledare skriver Jimmie, inte Jimmy) var bluffen svår att genomskåda. I det fallet var avsikten bara att roa, men samma metod kan användas även för att sprida trojaner och maskar. Fråga dig själv: Hur noga tänker du efter innan du laddar ned en fil eller klickar på en länk som skickats till dig av en vän?

Checklista!

Tre anledningar att bli misstänksam

De flesta phishingmejl är lätta att avslöja. Här är tre saker att vara uppmärksam på när du försöker avgöra om avsändaren är den hen utger sig för att vara.

1. Stavfel
Nätfiskare behöver inte vara svenskar även om de försöker lura svenska användare. Ofta översätts textinnehållet i mejlen automatiskt med hjälp av verktyg på nätet. Var därför uppmärksam på märkliga formuleringar, rena stavfel och underliga ordval. Brukar din bank inleda mejl till dig med “Käre herre/fru”? Brukar din mobiloperatör inleda påminnelser om obetalda fakturor med orden “Fel bill”, en misslyckad översättning av det engelska ordet för räkning? Båda är exempel ur verkligheten, och lätta att genomskåda för den som läser noga.

2. Varifrån kommer mejlet?
Ett enkelt sätt att avgöra ett mejls äkthet är att kika närmare på avsändaren. Intill eller strax under namnet (beroende på vilket mejlprogram du använder), ser du mejladressen i sin helhet. Titta noga på e-postdomänen, det vill säga vad som står efter “@” i adressen. Ett mejl från Telia bör rimligen komma från telia.com eller telia.se, inte från exempelvis global.client@receive.com. Även det är ett exempel från verkligheten, och ett tydligt tecken på att något inte står rätt till. Men även om adressen stämmer ska du inte känna dig helt säker, det går faktiskt att fejka en riktig avsändaradress.

3. Vart leder länkarna?
De flesta nätfiskare försöker få dig att klicka på en länk i mejlet, antingen för att skicka dig vidare till en falsk inloggningssida eller för att installera skadlig kod på din dator. Undersök därför länkarna lite extra innan du klickar. I de flesta mejlklienter kan du enkelt förhandsgranska länkar genom att hålla muspekaren över dem. I fönstrets botten, eller intill muspekaren, visas då destinationsadressen. För att återgå till exemplet ovan: I ett mejl från Telia bör länkarna rimligen leda till telia.se- eller telia.com-adresser. Inte, som i detta fall, till en suspekt tysk shoppingsajt. Tyvärr har banker och e-handelssajter ofta långa och komplicerade adresser till specifika sidor och tjänster så här gäller det att vara extra uppmärksam.

Av samma anledning är inloggningsuppgifter till konton på sociala medier, exempelvis Facebook eller Twitter, mycket åtråvärda. Genom ett stulet Facebook-konto är det i många fall en barnlek att lura av andra känslig information – kanske pojk- eller flickvännen kan övertygas att knappa in sitt kontokortsnummer i chattfönstret för att lösa en akut situation? Kanske kan bästa vännen övertygas att ladda ned ett roligt spel, som i själva verket innehåller en lömsk trojan? Bläddra till kapitel 5 för att läsa mer om detta.

Det bästa sättet att skydda sig från nätfiske är alltså att så ofta det går kontrollera om avsändaren verkligen är den hen utger sig för att vara. Ett enkelt knep är att helt enkelt kontakta avsändaren via en e-postadress du har sedan tidigare, och be avsändaren bekräfta sin identitet. Vill du vara extra säker så ställ en kontrollfråga som bara avsändaren kan svara på. Kanske minns din vän någonting som hände i er barndom? Kanske kan dina föräldrar svara på någonting som är välkänt i familjen, men inte för andra?

För den verkligt försiktige finns ännu en åtgärd att ta till: Lyft telefonen och ring upp! Då kan du helt enkelt fråga avsändaren om hen verkligen skickat just det där misstänkta meddelandet till dig eller ej.

Överkurs!

”Ingen klickar väl på spam?”

Det kan tyckas märkligt att skräpposten fortsätter att flöda in i våra e-postlådor år efter år. Ingen kan väl vara så dum att den klickar på vad som i de flesta fall så uppenbart är försök till bedrägeri? Faktum är att nätfiske är ett mycket effektivt verktyg för att sprida skadlig kod och lura av nätsurfare känslig information.

År 2009 genomförde företaget Trusteer en undersökning där mer än tre miljoner nätanvändares beteende analyserades under en tremånadersperiod. Resultatet visade att ungefär en procent av alla amerikanska bankkunder luras att klicka på en länk i ett nätfiskemejl, som utgett sig för att komma från deras bank, under varje enskilt år. Av dem fyller nästan hälften i sina inloggningsuppgifter på sidan de sen skickas vidare till.

En av hundra kanske inte låter mycket, och mycket riktigt är träffgraden på ett enskilt skräppostutskick låg. Men med tanke på de enorma volymer som skickas ut räcker den ändå långt. Erfarna spammare jobbar nämligen enligt hagelbösseprincipen, och siktar så brett det bara går och hoppas att tillräckligt många går på bluffen.

En titt på siffrorna räcker för att bekräfta den bilden. En vanlig dag skickas som regel tiotals miljarder skräppostmeddelanden. Inte sällan utgör den mer än två tredjedelar av all e-posttrafik som flödar över nätet. Världen över skickas det alltså dubbelt så mycket skräppost som “riktig” e-post. Det mesta är dåligt formulerade säljbrev för billig Viagra och suspekta dejtingsäjter, men även försök att komma över bankuppgifter eller annan känslig information är vanligt förekommande.

Enligt en undersökning gjord av säkerhetsföretaget Symantec var 0,35 procent av alla mejl som skickades i världen under juni 2011 utformade för att lura mottagaren att lämna ifrån sig ett lösenord, ett kontokortsnummer eller någon annan form av känslig information.