«Phishing» er en form for nett-ID-svindel som er nært knyttet til avansert spam. Fenomenet er absolutt ikke nytt. Men flere kilder melder om en voldsom økning de siste månedene, og i Storbritannia ble tolv medlemmer av en russisk liga arrestert i går for hvitvasking av «phishing-gevinster».
Les også:
- [02.12.2004] Trussel fra «fisking» er overdrevet
- [28.07.2004] Se opp for nettsvindlere
- [30.12.2003] Falsk e-post lurer millioner
Phishing innebærer å masseutsende e-post som ser ut som det kommer fra store og kjente nettsteder, blant dem auksjonstjenester som eBay og bank- og finansinstitusjoner. E-posten lokker folk til å klikke på lenker til phishernettsteder som er utformet som tro kopier av de virkelige tjenestene. Der legger de gjerne igjen person- og kontoopplysninger som phisherne utnytter videre.
En amerikansk bransjegruppe kjent som Anti-Phishing.org eller Anti-Phishing Working Group melder at den registrerte 402 ulike phishing-opplegg i mars, 43 prosent flere enn de 282 den merket seg i februar. I Storbritannia opplyser MessageLabs at tallet på oppfangede phishing-meldinger økte fra 279 i oktober 2003 til 215.643 i mars 2004,
I går offentliggjorde analyseselskapet Gartner en rapport om phishing i USA, basert på intervjuer i april med 5000 tilfeldig valgte voksne amerikanere. Gartner anslår at minst 970.000 amerikanere har latt seg lure av phishere, og at de er svindlet for til sammen 1,2 milliarder dollar. 76 prosent er svindlet det siste halvåret, 92 prosent de siste tolv månedene.
Gartners undersøkelse viser at langt flere er i faresonen. Anslagsvis 57 millioner amerikanere har mottatt phish-post, og 11 millioner – 19 prosent – har fulgt lenkene til de falske nettstedene. 1,78 millioner – 3 prosent av phish-mottakerne – husker at de har oppgitt følsomme opplysninger. Gartner mener at en ytterligere en million kan ha gitt fra seg personopplysninger uten å huske det. Det innebærer at treffprosenten for phish-post – andel mottakere som lar seg lure til å avgi person- og kontoopplysninger – kan være så høy som mellom fire og fem prosent.
Gartner-analytiker Avivah Litan advarer i amerikansk presse at dette truer all e-handelsvirksomhet, fordi folk taper tillit. Undersøkelsen viser at selv om 73 prosent av alle amerikanere handler på nett, og 45 prosent betaler regninger på nett, oppgir 58 prosent at de er «svært urolige» i forhold til hvor sikker denne virksomheten er.
– Vi har nådd det punktet hvor phishing begynner å merkes, og tjenestetilbyderne er nødt til å gjøre noe med det, sier hun til Wall Street Journal.
Litan spår at svindeltallene vil være opptil 20 prosent høyere om et års tid. Hun sier til ZDNet at tillitssvikt vil bremse e-handelsveksten til ti prosent eller mindre innen 2007 dersom det ikke gjennomføres effektive tiltak mot phishing.
En undersøkelse gjennomført av Cyota, en stor leverandør av IT-sikkerhet til amerikanske banker og finansinstitusjoner, peker også på at phishing undergraver tilliten til e-handel. 75 prosent av kontoinnehaverne meldte at de var mindre tilbøyelige til å svare på e-post fra sine banker, og 65 prosent sa at de var mindre tilbøyelige til å bruke nettbank. 74 prosent sa phishing reduserte sannsynligheten for at de ville handle varer og tjenester på nett.
Amerikanske sikkerhetseksperter mener det er foreløpig svært lite som kan gjøres for å hindre opprettelsen av falske nettsteder. De mener at det som trengs er bevisstgjøring av nettbrukere, og overgang til digitale sertifikater og bedre identitetskontroll.
Cyota-undersøkelsen viser også at kundeinformasjon fra amerikanske banker om phishing er svært mangelfull: 67 prosent av kundene hadde ikke mottatt noen form for opplysning, og 91 prosent svarte at bankene burde gi slik informasjon. Bare 30 prosent hadde tillit til at de selv ville være i stand til å skille mellom ekte og falsk e-post fra banken.
Dette peker på en viktig forskjell mellom amerikanske og norske nettbanker. Norske nettbanker sender ikke kundeinformasjon per vanlig e-post. Kundene må oppsøke bankens nettsted, og gå gjennom strenge sikkerhetsordninger før de får tilgang til kontoopplysninger og sin personlige e-postkasse i banken. Derfor er potensialet for phishing langt mindre i Norge enn i USA. Et strengere regelverk for blant annet opprettelse av bankkonti peker i samme retning, og at phishing-økningen i USA kunne vært avverget av et regelverk og en praksis mer i tråd med det norske banker holder seg til.
Amerikanske myndigheter har engasjert seg. Konkurransetilsynet FTC (Federal Trade Commission) har utgitt retningslinjer som blant annet advarer at e-post som krever at du må bekrefte personopplysninger for å hindre en konto fra å stenges, ikke må besvares direkte, men med en direkte henvendelse til banken per telefon eller på det kjente og vanlige nettstedet. Disse retningslinjene er gjengitt på flere amerikanske nettbanker.
BBC meldte i går at seks menn og seks kvinner fra Estland, Latvia, Litauen, Ukraina og Russland er arrestert i England, mistenkt for hvitvasking av phishing-penger på vegne av en kriminell russisk organisasjon. Spesialenheten National High-Tech Crime Unit (NHTCU) gjennomførte razziaer flere steder i London og i Kent, og beslagla datamaskiner, pass, sjekkhefter, bankkort og narkotika. Oppgaven til de arresterte skal ha vært å samle opp phishing-penger på konti i Storbritannia, og overføre dem til mafiakontrollerte konti i Russland. Phishingen skal ha vært rettet spesielt mot russisktalende bosatt i Storbritannia, og det skal ha vært overført flere hundre tusen pund.
En NHTCU-talsmann sier til BBC at phishing-virksomheten avspeiler at det er nærmest umulig å bryte seg direkte inn i nettbanker. Å lokke folk til falske nettbanker og loppe dem derfra, er langt enklere.