Alle får i ny og ne en mail som ber deg logge inn på en eller annen tjeneste eller vil ha deg til å laste ned et eller annet. Men hvorfor er dette egentlig så utbredt? Alle nettadresser må jo registreres med navn og man kan jo spore opp hvor en IP-adresse ligger, så det burde jo være lett å spore opp de som driver med dette, ikke sant?
Når vi snakker om phishing, så er dette e-poster som prøver å lure deg til å gi senderen innloggingen din til diverse tjenester. Noe phishing ser mer ekte ut enn andre.
Først og fremst er det viktig å vite at i mange tilfeller nå til dags kommer ikke phishing fra nettsider bakmennene eier. Phishing kommer ofte i fra nettsider som har blitt hacket. Det er så mange gamle tjenester ute på nettet nå som ikke brukes lengre, forum og blogger som ikke har blitt oppdatert på lenge fordi eierne totalt har glemt bort at de fortsatt har det. Vi kan derfor, i beste tilfelle, bare spore opp de som er eierne, men i det de har fått bort all skadevare er det allerede for sent. Vi har heller ikke lov å hacke disse sidene selv for å ta det bort. Derfor blir dette stående oppe uten at noen får gjort noe med det.
Det samme er med e-postadressene phishing sendes ut fra, det er nettsider som har blitt hacket og det sendes da ut e-post fra dem. Nylig så jeg et tilfelle der det sendt ut masse ondsinnet e-post fra e-postadresser eid av studenter på et universitet i USA. Dette er da enten studenter som aldri har byttet fra standard-passordet de har fått eller så har noen hacket universitet og sendt ut e-poster fra dem.
Det er også vanskelig å automatisk blokkere e-poster som dette fordi de hele tiden tilpasser seg filtrene vi lager. Grunnen til at du ofte ser stavefeil i disse typen e-poster er fordi de prøver å omgå filtre som fanger opp fraser som “kontoen din blir snart blokkert, du må logge inn”, og da bytter de over til “knotoen din blir snart blokert, du må loggge inn”. Det går naturligvis an å lage filtre som prøver å oppdage disse stavefeilene også, men det blir enda verre når aktørene bytte ut en liten l med en stor i. “Vennligst Iogg inn” ser nesten helt likt ut som “Vennligst logg inn”, men er veldig forskjellig for en datamaskin. I tillegg til helt bokstaver i det latinske alfabetet som ligner hverandre finnes det utallige andre alfabeter med andre bokstaver som ligner våre. “Blokkеrt” med en russisk е ser helt likt ut som “Blokkert” med latinsk e, men er, igjen, totalt forskjellig for en datamaskin.
Hvorfor?
Det varierer hva målet til aktørene er når man mottar ondsinnet e-post. Hvis du blir bedt om å laste ned noe, så er målet ofte å låse ned alle filene på maskinen din og be deg om betaling for å åpne dem igjen. Hvis de fisker etter innloggingsdetaljer, vil de bruke kontoen din til å betale for ting de kan selge videre, eller bruke informasjonen på den kontoen til å komme videre til bankkontoinformasjon eller lignende. Det kan være uforståelig hva noen skal med Facebook-kontoen din eller Twitter-kontoen, men aktører som dette kommer alltid frem til penger i enden. Hvis de fisker etter bedriftskonto er det som regel for å få tilgang til sensitiv informasjon de kan utpresse bedriften med eller selge videre.
Det er med andre ord vanskelig å blokkere dette 100% og alle kan falle for slik ondsinnet e-post, uansett hvor datakyndig man er. Det beste du kan gjøre er å melde inn alt av phishing til IT-avdelingen din på jobb, bare skriv noe som “mottok akkurat denne, mistenker at det er ondsinnet”. Om du mottar dette privat eller ikke har en IT-avdeling, kan du sende det over til meg på phish@bordplate.no, så kan jeg gi respons på om det er et phishing-forsøk og deretter sørge for at det blir blokkert i de største nettleserne.