SIKKERHET

Slutt å be om kundeinformasjon via phishinglignende epost

Hvordan skal en vanlig tjenestebruker kunne se forskjell på en slik epost og et phishingforsøk? Denne eposten ble sendt til kunder av et større, norske medieselskap i begynnelsen av juni.
Hvordan skal en vanlig tjenestebruker kunne se forskjell på en slik epost og et phishingforsøk? Denne eposten ble sendt til kunder av et større, norske medieselskap i begynnelsen av juni. Bilde: Skjermbilde. Montasje: digi.no
Harald BrombachHarald BrombachNyhetsleder
22. juni 2017 - 06:00

Denne kommentaren gir uttrykk for skribentens meninger.

Stadig vekk opplever mange nordmenn at de mottar epostmeldinger fra leverandører og tjenestetilbydere, norske og utenlandske, som de er kunder av og hvor de bes om å oppdatere for eksempel kontaktinformasjon, betalingskort eller passord. 

Dette kan kundene gjerne bli bedt om å gjøre ved å klikke på en lenke som er oppgitt i meldingen. Digi.no og andre har skrevet om flere slike tilfeller, blant annet fra banker, men det er tydelig at dette er vanskelig å forstå for enkelte aktører. 

Spesielt ille er det når adressen som lenken peker til, ikke leder en direkte til det mest kjente domenenavnet til den aktuelle tjenesten, men i stedet peker til en eller annen tredjeparts markedsføringsløsning som først deretter videresender brukeren til rett sted. 

Da er det helt umulig for de fleste brukere å vite hvor man havner dersom man følger nettadressen.

Et ferskt eksempel

En leser fikk nylig en slik epost fra et stort, norsk medieselskap. Denne inneholdt en lenke som pekte til en adresse omtrent som denne: 

http://xyz-prod.agillic.eu/web/namedservice/?ext=https://xyz. xyz.no/xyz/&evt=.RjH-Phb2Wg&cs=9fXYz9xj17jrCajHFop2Sg!!
&agrecid=.3L6&resourcename=utdatert_bankkort_2017_ver3&channel=email
&stageId=#2YM&scenarioExecutionId=2020107
&lgn_uid=LjNMNjoxNTI3OTMwXYZ54FQ38TzPAOTgaWjJlRFkHg!!

Vi har anonymisert den litt, slik at «xyz» er satt inn der navnet på selskapet eller tjenesten er oppgitt. Kunden bes klikke på denne lenken for å oppdatere betalingsinformasjonen. 

Les også: Sikkerhetsekspert begynte å le da han så DNBs oppfordring til kundene

Hva er det som er så galt med dette? 

Det er vel få nå som ikke har hørt om eller opplevd forsøk på phishing, hvor kunder av ulike tjenester forsøkes lokket til å oppgi kundeinformasjon på nettsteder som ikke har noe med de egentlige tjenestene å gjøre, selv om sidene ser til forveksling like ut. Informasjonen ofrene bes om å oppgi, kan for eksempel være betalingsinformasjon, slik som kredittkortnummer.

Artikkelen fortsetter etter annonsen
annonse
Schneider Electric
Schneider Electric lanserer Galaxy VXL UPS
Schneider Electric lanserer Galaxy VXL UPS

Måten disse ofrene lokkes på, er nøyaktig lik den måten som er beskrevet i eksempelet over. Kundene bes klikke på en lenke i en epost, og det benyttes adresser som har fellestrekk med den egentlige adressen til tjenesten som kunden benytter. 

Problemet er at det er ekstremt vanskelig for vanlige brukere å se forskjell på det som egentlig er legitime henvendelser og det som er forsøk på phishing, når de legitime henvendelsene er som i eksempelet over. Og det er tjenesteleverandørenes skyld. 

En mye bedre måte

Det er ingen reell grunn til at en tjeneste skal oppgi lenker direkte til spesielle sider i en epost, for å få brukerne til å oppdatere mer eller mindre viktig kundeinformasjon. Dersom man ønsker at kunden skal gjøre ett eller annet, kan man i en epost be kunden om å besøke tjenesten på vanlig måte, enten ved å taste inn adressen i nettleseren, velge et bokmerke eller å åpne en tilhørende mobilapp. 

Først når brukeren er trygt logget inn på den aktuelle tjenesten, er det noen grunn til å lede brukeren til det spesielle stedet hvor tjenesteleverandøren ønsker at brukeren skal oppdatere for eksempel kredittkortinformasjonen. Dette kan for eksempel gjøres ved å vise et godt synlig varsel i på selve websidene eller i appen, så snart brukeren har identifisert seg ved å logge seg på.

Vær årvåken

Dette betyr ikke at du som bruker kan la være å være årvåken og sjekke at nettadressene som er oppgitt i tilsynelatende legitime eposter, også ser ekte ut. Adressene bør i alle fall ikke lede til noe domenenavn som skiller seg vesentlig ut fra det du pleier å benytte for å besøke tjenesten. Hvem som helst kan ha sendt deg den eposten du har mottatt. Avsendernavnet kan superenkelt forfalskes, selv om det kan være vanskeligere med avsenderadressen.

Opplever man å få eposter som tilsynelatende stammer fra en legitim tjeneste, men som benytter nettadresser som ser relativt ukjente ut, bør du varsle leverandøren. Leverandøren kan da advare andre som potensielt har mottatt den samme phishingeposten.

Dreier seg derimot om en legitim epost som bare ser mistenkelig ut, slik som i eksempelet over, vil leverandøren kanskje innse problemet dersom mange nok advarer eller klager.

Phishing er den absolutt mest utbredte måten å innlede et dataangrep eller et svindelforsøk på, rett og slett fordi det fungerer. Derfor er det all grunn til å være forsiktig med å klikke på lenker i eposter, uten først å sjekke hvilken adresse lenken peker til. Dert ser man vanligvis ved å holde muspekeren over adressen eller ved å trykke en liten stund på lenken på en berøringsskjerm.

Leste du denne? Vær forsiktig med «norsk» epost­melding om Facebook-hacking

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.