Lad dig ikke narre!

Phishing er et forsøg på at narre folk til at afsløre deres personlige oplysninger på internettet, f.eks. kreditkortnumre, adgangskoder og andre bankoplysninger. Phishing har fundet sted siden midten af 90'erne, og bagmændene sender hundredetusinde eller flere millioner e-mails i håbet om at narre nogle enkelte intetanende ofre.

Bedrageriet starter med, at du modtager en e-mail, der tilsyneladende kommer fra en pålidelig, legitim virksomhed – typisk eBay, PayPal, Amazon.com eller en velkendt bank. E-mailen indeholder ofte en beskrivelse af et påtrængende problem med din konto. Når du klikker på linket i e-mailen, omdirigeres du til et websted, som ligner et officielt virksomhedswebsted – men som i virkeligheden er et falsk websted, der tilhører bedragerne, og hvor du bliver du bedt om at udfylde en formular med dine personlige data.

Selv hvis du ikke afslører dine personlige oplysninger, kan det være farligt blot at besøge det bedrageriske websted. Webstedet vil muligvis forsøge at installere skadelig software (malware) på computeren, herunder keyloggere og trojanske heste, der giver forbryderne adgang til det, de er ude efter, på andre måder.

Ofte hører man dem, der har været ofre for phishing, fortælle, at de var overraskede over, hvor "ægte" phishing-forsøget virkede. Så sent som i sidste uge hørte jeg en økonomichef forklare, hvorfor han klikkede på et phishing-link, ved at sige "Jamen, de sendte mig en regning – hvad kunne jeg have gjort anderledes?" Lad os se nærmere på en phishing-e-mail, jeg modtog forleden, så du kan se, hvor ægte den slags kan se ud. Jeg valgte denne e-mail, fordi den tjeneste, det drejer sig om – eBay – har taget ekstra forholdsregler for at beskytte os mod den slags svindel, hvilket beskrives nærmere senere i denne artikel.

Den e-mail, jeg modtog, lignede den ægte vare – men den er falsk

I dette eksempel virker afsenderadressen legitim, og hele e-mailen ligner den ægte vare. Det er længe siden, jeg sidst har solgt noget på eBay, men hvordan kan jeg være sikker på, at der ikke er nogen, som har fået adgang til min konto, eller at der ikke er sket en fejl af en art?

Lad os se nærmere på noget mistænkeligt: linket i e-mailen. Når jeg holder markøren over knappen Respond Now (Svar nu), vises der en URL-adresse (en webstedadresse) på statuslinjen nederst i e-mailen (i nogle e-mail-programmer vises URL-adressen i et lille pop op-vindue). Nu er det sådan, at den IP-adresse, der vises i URL-adressen, nemlig 83.234.183.44, tilhører en server i Samara i Rusland, selvom meddelelsen giver sig ud for at være fra eBay i USA. Det er et tydeligt tegn på, at e-mailen nok ikke er fra eBay. Desuden bruger de fleste legitime websteder ikke IP-adresser i den første del af URL-adressen – endnu et tegn på, at der er noget galt.

Hvis du jævnligt bruger en bestemt onlinebutik eller netbank, vil jeg anbefale, at du gør dig fortrolig med deres retningslinjer for e-mail, så du lettere vil kunne identificere phishing-e-mail. For eksempel beder eBay aldrig om personlige oplysninger via e-mail (se selvstudiet i at genkende falske e-mails på eBays websted). Du kan finde gode råd om at identificere phishing-e-mails i artiklen Genkend phishing-svindel og falske e-mails på Microsofts websted.

Jeg vil vise dig, hvad der sker, hvis man klikker på et link i en phishing-meddelelse i Internet Explorer 7, så derfor klikker jeg på Respond Now (svar nu) i den falske eBay-e-mail. Advarsel: Forsøg ikke selv at udføre dette forsøg med de phishing-e-mail, du modtager. Den computer, jeg bruger, har den nyeste software til beskyttelse mod virus og malware, og desuden er der ingen vigtige data på den – så jeg mister ikke noget, hvis det går galt, og jeg skal omformatere den.

Når jeg klikker på knappen, bliver jeg straks advaret om, at jeg besøger et rapporteret phishing-websted, og adresselinjen bliver rød. Sådan virker Phishing-filter. Phishing-filter er en ny funktion i Internet Explorer 7. Den bruges til automatisk at blokere for websteder, som vides at blive brugt til bedrageriske formål, og der vises en advarsel, når du besøger mistænkelige websteder. Vi ser nærmere på, hvordan det virker, om et øjeblik.

Hvis denne side vises, bør du følge advarslen!

Da jeg bruger en computer, som er godt beskyttet, og gør det for at vise, hvordan phishing virker, og ikke mindst fordi det ikke gør noget, hvis der sker noget med denne computer, klikker jeg på Fortsæt til dette websted (anbefales ikke). Nu åbnes phishing-webstedet i Internet Explorer, og det viser sig at være en overraskende god kopi af eBays side til at logge på. Alle linkene på siden fører til en legitim eBay-side. Der er endda et TRUSTe-logo, hvilket normalt er en garanti for, at ens personlige oplysninger er beskyttet. Det eneste formål med denne falske webside er, at registrere de eBay-brugernavne og -adgangskoder, der angives på den.

Hvad har vi, hvis det ikke var for den røde adresselinje? En næsten perfekt kopi af en eBay-side

Nu jeg er kommet så langt, at jeg lige så godt kan fortsætte og se, hvad der sker. Jeg angiver et falskt brugernavn og en falsk adgangskode (alting accepteres på siden) og klikker på knappen Sign In Securely (log sikkert på). Bagmændene er meget snu, for nu omdirigeres jeg til det rigtige eBay-websted.

Hvor smart — nu hvor forbryderne har fået fat i mit brugernavn og min adgangskode, fører de mig gladeligt videre til det rigtige eBay-websted. Det var den phishing-historie.

På et phishing-websted er der ofte tegn på, at noget er galt, men de kan være svære at spotte og kræver, at man har lidt erfaring med den slags. Med Phishing-filter i Internet Explorer 7 er man bedre beskyttet takket være de visuelle advarsler, der vises i forbindelse med farlige websteder.

Når Phishing-filter er aktiveret, kan det bruges til at identificere phishing-websteder vha. en kombination af realtidsanalyser og sammenligninger med lister over websteder, som enten vides at være sikre eller usikre. Sådan fungerer det.

• Liste over sikre websteder. Når du åbner et websted, er det første, Phishing-filter gør, at tjekke det mod en liste over sikre websteder, som er gemt på din computer. Denne liste består af de mest besøgte websteder på de største markeder verden over, og dataene stammer bl.a. fra Nielsen NetRatings og Microsofts interne data. Hvis URL-adressen er på denne liste, sker der ikke mere, og webstedet åbnes i Internet Explorer. Listen over sikre websteder opdateres via Windows Update.

• Liste over phishing-websteder. Hvis et websted enten ikke findes på listen med sikre websteder eller ikke er gemt i cachen med tidligere besøgte websteder på computeren, kontrolleres det i forhold til Microsoft URL Reputation Service, som udgør fundamentet i Phishing-filter. Denne tjeneste består bl.a. af en liste over kendte phishing-websteder, og den opdateres mindst en gang hver time som følge af rapporter fra eksterne dataudbydere og almindelige brugere. Hvis URL-adressen er på denne liste, blokerer Internet Explorer for webstedet, der vises en advarselsside, og adresselinjen bliver rød.

• Realtidsanalyse. Hvis et websted hverken identificeres som sikkert eller som et phishing-websted, og det ikke er i zonen Websteder, du har tillid til, eller i en lokal intranetzone, analyseres webstedet vha. heuristik. Det vil sige, at det undersøges, om webstedet har karakteristika, som kendetegner phishing-websteder. Hvis webstedet er mistænkeligt, vises der en advarsel i Internet Explorer, og adresselinjen bliver gul. Der blokeres imidlertid ikke for webstedet.

Fare! Pas på! Der er muligvis forbrydere forude!

Phishing-filter er en del af Internet Explorer 7, men den automatiske kontrol (sammenligning af de besøgte websteder med listen over kendte phishing-websteder) er som standard deaktiveret. Medmindre du aktiverer den automatiske kontrol, den første gang du bruger Internet Explorer 7, gør Phishing-filter ikke noget, før du åbner et websted, som ikke er på listen over sikre websteder. Og selv da er det nødvendigt at tillade, at Internet Explorer overfører URL-data. Du kan finde flere oplysninger om Phishing-filter og beskyttelse af personlige oplysninger i afsnittet om Phishing-filter i erklæringen om beskyttelse af personlige oplysninger for Internet Explorer 7 på Microsofts websted.

Det er en god ide at lade Phishing-filter kontrollere webstederne automatisk

Du kan til enhver tid slå Phishing-filter til eller fra. Klik på menuen Funktioner, klik på Phishing-filter, og klik derefter på Slå automatisk kontrol af websteder til (eller fra). Klik på den ønskede indstilling, og klik derefter på OK.

Hvis du foretrækker at slå den automatiske kontrol af websteder fra, kan du stadig kontrollere websteder enkeltvis. Klik på ikonet for Phishing-filter på statuslinjen, og klik derefter på Kontroller dette websted.

En stor del af Phishing-filters succes skyldes de millioner af Internet Explorer 7-brugere, som rapporterer websteder, de mistænker for at være phishing-websteder, direkte til Microsoft. Hvert af de rapporterede websteder tjekkes af en medarbejder, og hvis det viser sig at være et phishing-websted, føjes det til URL Reputation Service inden for få timer.

Hvis du vil rapportere et websted, som du mistænker for at blive brugt til phishing, til Microsoft, skal du klikke på menuen Funktioner klikke på Phishing-filter og derefter klikke på Rapporter dette websted. Herefter åbnes der et nyt browservindue, hvor du skal følge anvisningerne for at indsende den pågældende URL-adresse. Du kan bruge samme metode til at rapportere websteder, som du mener er blevet blokeret eller angivet som mistænkelige ved en fejl.

Rapporter de websteder, du mistænker for at blive anvendt til phishing – det føles rart at vinde en sejr over bedragerne

Lad os se nærmere på statistikkerne for at få et indtryk af, hvor stor betydning brugernes rapporter kan have. Allerede i juni 2006, inden Internet Explorer 7 var udgivet, blev der føjet ca. 6.000 bekræftede phishing-websteder til URL Reputation Service hver måned. Internet Explorer 7 blev udgivet i oktober 2006, og ved udgangen af januar 2007 var browseren blevet installeret mere end 100 millioner gange. I marts 2007 var antallet af bekræftede phishing-websteder, der blev føjet til URL Reputation Service, steget til 10.000 websteder om ugen.

Velkendte websteder, hvor der angives bankoplysninger (f.eks. eBay, Paypal og de større banker), er dem det oftest går ud over i forbindelse med phishing, selvom phishing-bagmændene også angriber websteder, hvor der ikke angives bankoplysninger, bl.a. websteder til sociale netværk og internetbaserede e-mail-udbydere. Det er ikke muligt at finde og blokere alle de phishing-websteder, der findes, men de enkelte websteder kan nu bevise, at de er ægte, via et brancheomfattende initiativ, der hedder Extended Validation SSL-certifikater (Secure Socket Layer) eller EV-certifikater.

EV-certifikater udstedes kun til et websted, efter at webstedets ejer har bestået en række grundige kontroller af deres juridiske identitet og forretningslicens. Når du ser et websted med et EV-certifikat, kan du derfor være sikker på, at det er et websted, hvor der drives en legitim forretning. I Internet Explorer 7 kan du se, når du besøger et websted med et EV-certifikat, da adresselinjen bliver grøn. Desuden skifter den adresselinjens højre side mellem at vise navnet på den juridiske enhed, der kontrollerer webstedet, og navnet på den certificerende myndighed.

Det er ligesom med et trafiklys – grøn betyder, at det er ok at fortsætte

Mange af de mest besøgte websteder er begyndt at bruge EV-certifikater på de sider, hvor brugerne logger på. Det gælder bl.a. eBay, PayPal, SecureTrust og GoDaddy. Du kan finde flere oplysninger på siden om Extended Validation SSL-certifikater på Microsofts websted.

Jeg tror på, at phishing gradvist vil uddø i takt med at Phishing-filter bliver stadig mere effektivt, antallet af brugere, der rapporterer phishing-websteder, stiger, og stadig flere websteder gør brug af EV-certifikater for at bevise deres identitet for de besøgende. De kriminelle forsvinder ikke bare sådan og vil sikkert prøve nye trick, men det er ikke længere lige let for dem at snyde uforsigtige brugere.

Om forfatteren

Sandi Hardmeier er en Microsoft MVP (Most Valuable Professional), der er specialiseret i Internet Explorer, Outlook Express og Windows Mail. Hun er it-koordinator for et mellemstort advokatfirma samt skaberen af www.ie-vista.com, det første supportwebsted til Internet Explorer 7, der fandtes på internettet.

Har du en kommentar til skribenten? Skriv din feedback ved at bruge værktøjet nedenfor. (Du vil kunne se kommentarfeltet, når du klikker på en af knapperne). Bemærk, at selvom skribenterne læser din feedback, kan de ikke sende dig et personligt svar pga. de mange tilbagemeldinger, der modtages.