Fagstoff

Phishing – nettfisking

Publisert: 04.09.2013, Oppdatert: 05.03.2017
  • Innbygg
  • Enkel visning
  • Lytt til tekst
  • Skriv ut
Forstørrelsesglass

I takt med at teknologien og sikkerheten i datasystemer er blitt bedre, er brukeren blitt det svakeste leddet. Det har gjort phishing – nettfisking – til et stadig større problem.

 

Thomas DahlThomas Dahl, spesialetterforsker ved Politiets datakrimsenter etterforsker phishing – svindel på Internett.
Fotograf: Jan Tomas Espedal
 

Phishing er i utgangspunktet hackersjargong for «fisking» (fishing) og henspiller på at man «fisker» etter sensitiv informasjon, passord og lignende. Målet kan også være identitetstyveri.

Den vanligste framgangsmåten er å sende en e-post som ser ut som om den kommer fra en kjent bank, og be om at mottakeren bekrefter informasjon som gjelder konto, kredittkort eller lignende, ved å klikke på en vedlagt lenke. Teksten i e-posten forklarer gjerne at dette er nødvendig av sikkerhetshensyn, eller at kontoen vil bli stengt hvis ikke informasjonen blir bekreftet. Denne informasjonen brukes så til å tappe kontoen for penger.

Svindlerne forsøker å gjøre det hele så troverdig som mulig ved å lage en nettside som ser identisk ut med bankens ekte nettsider, eller ved å kjøre et script som først åpner bankens faktiske nettsider og deretter et mindre vindu over dette hvor man blir bedt om å skrive inn person- og kontoinformasjon.

Andre teknikker inkluderer henvendelser via SMS, nettprat eller telefon.

Spearphishing og whaling

Noen metoder for phishing har etter hvert fått egne betegnelser. Spearphishing – spydfisking – er en mer målrettet form for nettfisking som gjerne brukes overfor enkeltpersoner eller virksomheter. Svindleren samler først inn informasjon om virksomheten på forhånd for å kunne gjøre svindelforsøket mer troverdig – for eksempel hvem som jobber i ulike stillinger, kundeforhold, leverandører, samarbeidspartnere og så videre. Denne typen phishing ble tidligere kalt for sosial manipulering (social engineering).

En annen variant er whaling – hvalfangst, hvor svindleren retter seg spesielt mot direktører og personer i lederstillinger.

Eksempel på phishing 

E-posten under er et typisk eksempel på nettfisking. Personinformasjon og lenker er gjort uleselige.

Avsenderen utgir seg for å være Visa Europe, og innholdet er en oppfordring til å registrere en ny kode for Verified by Visa og MasterCard SecureCode som skal gi deg sikrere og enklere netthandel.

Legg merke til det dårlige språket. Det er et tegn på at avsenderen har begrenset kjennskap til norsk eller har brukt Google Oversetter fra et annet språk. Du bør likevel ikke gå ut fra at du kan avsløre alle phishingforsøk ved å se på språket. Det dukker også opp svindelforsøk på feilfritt norsk.

Uansett sender aldri banker eller kredittinstitusjoner ut e-post hvor de ber kunder om å oppdatere informasjon eller verifisere kontoer. Alle slike meldinger er derfor forsøk på svindel.

 PhishingDette brevet er et eksempel på nettfisking – phishing.
Opphavsmann: Arne Jansen
 

Hvis man klikker på lenken nederst i e-posten, kommer man til nettsiden under.

Merk at du ikke bør klikke på lenker i mistenkelige e-poster. I tillegg til å forsøke å lure deg til å oppgi sensitiv informasjon vil nettsiden som åpnes, ofte også forsøke å installere spionprogramvare på maskinen din. Vi tok derfor ekstra forholdsregler da vi åpnet siden for å kopiere skjermbildet. Det korrekte å gjøre er å slette e-posten permanent med én gang.

Forfalsket nettsideEksempel på forfalsket nettside som er brukt ved phishing – nettfisking.
Opphavsmann: Arne Jansen
  

Nettsiden ligner på dem som brukes ved sikker betaling på nett, og den ser tilsynelatende legitim ut med logoer fra både Visa og MasterCard. Lenkene i bunnen av siden går også til ekte informasjonssider hos Visa.

Men legg merke til at protokollen som brukes, er http og ikke https. Overføringen er altså ikke kryptert, slik all betalingsinformasjon via Internett alltid skal være.

Videre ber siden om all personinformasjon og kortinformasjon inklusive passord på den samme siden. På ekte betalingssider blir man ikke spurt om all informasjon samtidig, for betalingssystemet må ta kontakt med banken for å verifisere kortet før man får spørsmål om eventuelt passord og kode.

Det er heller ikke noen bank som lar deg bytte passord uten at du først har logget deg inn med det gamle passordet og en gyldig kode.

 

På ekte betalingssider blir man ikke spurt om all informasjon samtidig, for betalingssystemet må ta kontakt med banken for å verifisere kortet før man får spørsmål om eventuelt passord og kode.