Category Archives: Phishing

Dödar nätfisket vårt förtroende för kommunikation?

Dödar nätfisket vårt förtroende för kommunikation?

Det är bara att erkänna: Nätfiskeförsöken blir knappast sämre. Eller färre. 

Av den totala mängden är det mycket vi aldrig får se, eftersom de vassaste försöken inte är massutskick med e-post, utan riktar sig mot specifika mål. Det som syns i media är nätfiskeförsök som skickas ut hyggligt brett, ofta via e-post, och ofta i storföretags och myndigheters namn. Media rapporterar om dem, våra kunder och partners berättar om sina fall och jag själv utsätts då och då precis som alla andra. Ibland är det ganska skrattretande, ibland riktigt trovärdigt.

Nätfiske är ett brott med flera offer. Nummer ett är förstås den som utsätts för phishingförsöket och eventuellt faller för det, men det företag eller den myndighet som används som bete är också ett offer. Hårdraget kan man dessutom säga att den allmänna tilltron till digital kommunikation skadas och därmed indirekt tilliten mellan människor och andra aktörer i samhället.

En viktig fråga är om fortsatta spamfloder blir spiken i kistan för både sms och e-post. Varför skulle det bli så? E-posten har ju inte dött än, trots att så många har förutspått det tidigare? Argumenten för skulle vara att majoriteten av nätfiskeförsöken sker via e-post och SMS, kanaler som både har funnits länge och som har det gemensamt att de inte kräver någon form av ”godkännande” av avsändaren från mottagarens sida. Allt som krävs är ett telefonnummer eller en e-postadress för att kunna nå mottagaren, vilket förstås också är en av de stora fördelarna.

Nätfiske.

Nätfiske.

Ett mejl eller ett sms ger dessutom väldigt lite enkelt verifierbar information om avsändaren, den går att manipulera väldigt enkelt. Som lekman kan du helt enkelt inte vara säker på vem som har skickat ett mejl eller sms, så enkelt är det. Skillnaden mot till exempel Facebook eller andra så kallade sociala medier är att du där oftast har möjlighet att se mer av avsändaren. Du kan bilda dig en uppfattning om avsändaren är trovärdig både utifrån den information som finns och utifrån den information som saknas. 

Jag vet självklart att både e-post och våra telefonnummer blir kvar under överskådlig framtid. Vi använder e-postkontot som hubb för det mesta av vårt digitala liv och vår mejladress för att registrera de flesta tjänster vi är med i, även om främst Facebook tar delar av den kakan. Vi får stå ut med riskerna som e-post medför.

En följdfråga: Vad sker när gängen bakom detta fortsätter att utvecklas? Man kan absolut tänka sig att förtroendet för företagens eller organisationernas kommunikation sjunker, men det är en stor fråga som är svår att svara på. Den som har ett Netflixabonnemang och får spammeddelanden som ser ut att komma från Netflix påverkas på något sätt, men det är svårt att säga så mycket om hur. Kanske blir resultatet bara ökad vaksamhet? Kanske åker all deras kommunikation direkt i papperskorgen?

 

Slutligen: Kan man skydda sig mot spam och nätfiskeförsök i e-posten? Absolut, både med kunskap och med mjukvara. 

Källkritik är nummer ett:

  1. Är orsaken till att du får meddelandet trovärdig?
  2. Är det en ny och oväntad kanal?
  3. Är budskapet trovärdigt?
  4. Är språket korrekt?
  5. Är e-postadressen korrekt (det behöver visserligen inte betyda att allt stämmer)?
  6. Om du luras till en webbsida, verkar webbadressen korrekt?
  7. Blir du ombedd att ange personlig information, är det information de verkligen ska ha?

Missar du att se något av detta och råkar hugga på kroken är säkerhetsprogramet bastion nummer två. Ett program som ESET Smart Security innehåller flera skyddslager som stoppar attacker, läs mer och testa gratis här. 

  1. Spamskyddet stoppar den e-post som systemet definierar som spam. Du behöver inte ens konfronteras med skadliga mejl.
  2. Nätfiskeskyddet kontrollerar webbsidor du besöker mot en databas som ständigt uppdateras med nya webbplatser som sprider skadlig kod eller används för nätfiske.
  3. Antivirus, antispionprogram, Exploit blocker, botnätsskydd och en avancerad minnesskanner och andra system stoppar attacker och skadlig kod som av någon orsak tar sig förbi övriga system.

 

Trygghet_ESS

 

 

 

 

Lösenord eller pinkod på mobilen: en bra idé

På söndag, när vi alla förhoppningsvis har en liten stund över att ge våra smartphones den uppmärksamhet de förtjänar, så tycker PC för allas chefredaktör Fredrik Agrén att det är dags att ställa in lösenord på mobilen eller byta det befintliga. Jag vet inte om man kan ha mer rätt än så.

Förra året hände en hel del intressant på det mobila området när det gäller vad vi gör med enheterna och hur vi gör det. Det pratades väldigt mycket om mobila betalningar och NFC och jag tror de flesta är överens om att det bara är en tidsfråga innan vi faktiskt gör stora delar av våra köp med mobilen. Antagligen använder vi den snart som nyckel här och där också. I år ser vi snart genombrottet för Swish, den tjänst en rad svenska banker har satt ihop för att vi ska kunna föra över mindre summor till varandra med hjälp av bara mobilnumret. Smart, den hittills enda kritik jag har sett är att de tar betalt för tjänsten, men det är nog ofrånkomligt att bankerna vill ha några kronor för besväret.

Vi har även sett en kraftig BYOD-trend under de senaste två åren. Det här betyder att allt fler börjar använda sina privata prylar, kanske främst tablets och smartphones, i jobbet. Då blandas både privata nätverk och privata risker med företagsinformation, det är eventuellt inte alltid bra. Har företaget en okej BYOD-policy så ska det i och för sig inte behöva vara ett problem.

En äldre och mer självklar risk är att någon kommer åt mobilen och kan komma åt e-post- och Facebookkonton. Där finns en ganska stor risk för identitetsstöld, vilket är riktigt läskigt. Vi har sett några ganska störande exempel under det senaste året.

De här trenderna pekar på hur otroligt viktigt det är att lösenordsskydda våra mobiler och surfplattor. En pinkod är egentligen inte ett särskilt starkt skydd och många vågar nog inte ha begränsningar i hur många gånger man får försöka slå in koden, men det är bättre än inget. Har du en Android-, Windows Mobile- eller Symbiantelefon är det en bra idé att köra ett säkerhetsprogram också. Det finns flera att välja mellan, även om jag naturligtvis föredrar en viss tillverkare.

Version 6 av ESET:s antiviruslösningar – uppgraderad kärna och stöldskydd

Nu släpper ESET nya versioner av både ESET NOD32 Antivirus och ESET Smart Security, våra två flaggskeppsprodukter för Windowsmiljön. Det nya versionsnumret är 6 och det finns ett par riktigt trevliga nyheter i båda programmen. Det är hemanvändarversionerna som är uppgraderade denna gång, vi får vänta ytterligare ett tag på version 6 av företagsversionerna.

3Dbox---EAV6---badges

Ny kärna söker och rensar snabbare 

Skanningsmotorn, själva hjärtat i alla i alla ESET-produkter, har uppgraderats till tredje generationen för att fungera bättre och snabbare. Vi får snabbare sökresultat och rensning av skadlig kod i ett smartare och effektivare program.

Stöldskydd i ESET Smart Security

Idag är bärbara datorer standard och stationära burkar börjar bli ganska ovanliga. Därför är det naturligt att man vill ha möjligheten att fjärrlåsa och spåra en dator om den stjäls. I Smart Security 6 har vi valt att bygga in en funktion som gör det möjligt att lokalisera en försvunnen dator när den försöker koppla upp på nätet med hjälp av kända WiFi-nätverk. Det går även att skicka ett meddelande till den och samla in skärmdumpar och bilder från webbkameran. Du kan läsa mer om stöldskyddsfunktionen här.

Version 6 skyddar dig på Facebook

ESET Social Media Scanner ingår i version 6, både i Smart Security och NOD32, och riktar in sig specifikt på skadligt material som sprids via Facebook, även när du inte är online. Oräkneliga attacker utförs via Facebook och ESET Social Media Scanner innebär en extra trygghet för alla med ett aktivt socialt liv online. För att läsa mer om scannern, klicka här.

Nätfiskeskydd

Phishingattacker är ett stort problem idag och svåra att skydda sig när metoderna är raffinerade. Nätfiskeskyddet i produkterna ger ett ganska bra skydd mot både nuvarande och framtida sidor som används i olika angrepp.

Skanna under nedladdning

Version 6 skannar filer medan de hämtas istället för när hämtningen är klar. Det här innebär att det går fortare att öppna filen, vilket är särskilt bra för större filer som tar en liten stund att söka igenom.

NOD32 – antivirus med kraftfull heuristik

ESET:s mest kända varumärke är den världsberömda antivirusmotorn NOD32 Antivirus. Den utgör hjärtat i Smart Security, men vi erbjuder den självklart även fortsättningsvis separat till dem som av olika orsaker inte tycker att de behöver de övriga funktionerna i en säkerhetssvit. Du som redan är kund kan ladda ned de nya produkterna direkt, en ESET-licens gäller för alla nya produktversioner.

En annan trevlig egenhet med våra licenser är vår Unilicense-princip. Den innebär att du som hemanvändare kostnadsfritt kan skydda virtuella maskiner på din dator med ESET utan extra kostnad. Har du en licens som gäller för flera datorer kan du förstås välja plattform som du vill. Windows, Mac och Linux med en licens!

Du skulle också kunna bli lurad på Facebook

Idag kommenterar jag en tråkig händelse i Aftonbladet. Den här incidenten var en i en rad som faktiskt har gett svart på vitt att kapade Facebookkonton används för att lura av svenskar sina besparingar – dessutom lokalanpassat på svenska.

I det här fallet har den drabbade kontaktats på Facebook av en betrodd ”vän” som påstod att en bankdosa var trasig. Hon ombads att låna ut koder från sin dosa så att vännen kunde betala sina räkningar. Kontot var förstås kapat och vännen någon helt annan.

Det här är jobbigt för den drabbade, men hela trenden är oroväckande. De flesta på Facebook känner att de har kontroll och befinner sig på sin egen hemmaplan, men det går faktiskt inte att veta vem någon är på nätet med mindre än att man ringer videosamtal – och knappt då. Vi har sett bedrägerier som denna utomlands, men nu har sådan här ganska avancerad phishing, börjat dyka upp även här. Av svenskar, mot svenskar. Det betyder att det kan drabba dig.

När det gäller stulna pengar är också frågan om ersättning oklar i fall som det här. Banken kan antagligen argumentera för att den utsatta har handskats vårdslöst med sina inloggningsuppgifter eller motsvarande.

Problemet har två sidor. En part ska inte låta sig luras, men samtidigt har den som blivit kapad ett ansvar. Där handlar det om att skydda sina lösenord.

Vi lade upp en poll på Facebook i början av oktober. Efter drygt 700 svar kan vi se att de allra flesta delar lösenord mellan flera olika sajter. Troligen är det så att de flesta instinktivt använder hyggligt unika lösenord på e-post och Facebook, men ett och samma till en mängd ströinloggningar.

Man kan notera att inte ens två procent använder lösenordshanterare, den lösning jag brukar rekommendera.

Värst av allt är dock att hela 15,5 procent använder ett enda lösenord till alla tjänster, vilket är sämsta tänkbara alternativ, oavsett hur säkert lösenordet är. Det kan nästan jämföras vid att lämna sina värdesaker på hallmattan och ytterdörren öppen när man går till jobbet. 

 

Två mycket viktiga lärdomar:

  1. Tänk på att bankdosor är personliga! Ge aldrig ut några koder från dosan till någon annan, även om det är en ”vän” som frågar!
  2. Var extremt försiktig med dina kontouppgifter till alla tjänster och sidor på nätet, men särskilt e-post, Facebook och annat. E-posten kan användas för att ta över andra tjänster på nätet. Du kan bli av med viktig privat information, men också utsätta andra för händelser som den ovan.

 

LinkedIn, last.fm, eHarmony, League of Legends hackade, phisingattacker följer

De senaste veckorna har det varit många uppmärksammade dataintrång. ”Proffscommunityt” LinkedIn hackades och inloggningsuppgifter för upp mot 6,5 miljoner användarkonton läckte ut. Det självklara rådet att genast att byta lösenord (ja, det gäller dig med!) skickades ut snabbt. LinkedIn gjorde det rätta och nollställde lösenorden för alla drabbade konton.

Problemet är att man samtidigt varnade användarna för att ändra sina lösenord via mail, eftersom de kan vara falska. Det var en välgrundad varning, de hackade kontona utsattes ganska omgående efter läckan för nätfiskeförsök genom massutskick av e-post utformade för att se ut som om de kom från LinkedIn. En länk i det oäkta mailet tog den som klickade till en sida som sålde falska läkemedel, men troligtvis försökte den även sprida skadlig kod om användaren (webbläsare, operativsystem, land, etc) matchade vad skaparen önskade.

LinkedIn ska nyligen ha genomfört säkerhetsuppdateringar, bland annat stöd för bättre lösenordshantering. Råkade man kanske lämna en bakdörr olåst under uppdateringen och släppte ovetande in hackarna samtidigt som man försökte stärka säkerheten? Ironin vet inga gränser.

Förutom LinkedIn så har även musikcommunityt last.fm, datingsiten eHarmony och League of Legends drabbats av intrång och läckta konton.

Naturligtvis gäller dock samma råd som vanligt:

  • Använd helst unika säkra lösenord på alla ställen, t.ex. med hjälp av program som KeePass på dator och mobiltelefon.
  • Om du ändå föredrar att memorera dina lösenord, se till att ALLTID ha ett unikt lösenord för e-posten. Kommer de åt e-posten kommer de oftast åt andra tjänster också via ”Glömt lösenord”-funktioner eller social ingenjörskonst.
  • Om din dator blivit hackad, eller om inloggningsuppgifter spridits från en sida, så kan det vara klokt att inte byta lösenord på en gång. Har du kvar skadlig kod på datorn, kommer de oftast se ditt nya lösenord också. Om hemsidan inte åtgärdat säkerhetshålet, så att hackarna kan ta sig in igen, så kommer de förmodligen åt ditt nya lösenord också. Men man ska självklart inte vänta för länge, och speciellt inte om man vet med sig att man har ett ”osäkert” lösenord, eller använder samma på flera ställen.
  • Om du vill ha lösenord som du ska memorera, så HAR längden betydelse! Välj hellre en längre ”lösenordsmening” istället för ett kortare lösenord med konstigare tecken. Till exempel kan man ha ett lösenord som anspelar till tjänsten.. ”Jag gillar verkligen blåa sociala sidor”, ”Fågeln kvittrar socialt i skymningen” och ”Här skriver jag ibland hotbrev” är oftast mycket bättre lösenord än ”[email protected]!”, och både enklare att skriva och komma ihåg.

Svenska e-postadresser läckta från populär porrsida

Alltid Nyheter, Sveriges Radios nyhetskanal på nätet, hörde av sig till mig igår och undrade om jag kunde svara på lite frågor angående en tråd på Flashback. I tråden berättade en tipsare något väldigt intressant: På en chattserver som under porrsajten YouPorn fanns e-postadresser och lösenord för samtliga registrerade användare sedan 2007 helt okrypterade och öppet tillgänligt utan annat skydd än att de låg i en olänkad mapp.

Om man tittar på tillgängliga data så verkar det som om slarviga programmerare av misstag (eller?) lämnade kvar debugloggning på en öppen URL redan i november 2007. Där har alla registreringar lagrats sedan dess.

Loggarna hittades antagligen av ren tur igår av någon som letade på sidor efter just olänkade mappar på jakt efter pornografi eller just användbart material som det som nu har läckt ut. Det är ett inte helt ovanligt tillvägagångssätt och ofta är det ganska enkelt att gissa sig till namnet på olänkade mappar.

Servern togs snabbt ned av administratörerna, men skadan verkar redan vara skedd – uppgifterna finns redan ute. Det rör sig om uppåt 1,4 miljoner adresser från hela världen och de lösenord de angivit för att logga in på sidan.

Omkring 1400 adresser hade ändelsen .se och får väl anses vara bevisat svenska, men eftersom de allra flesta idag använder adresser från Hotmail och Gmail så är det verkliga antalet berörda svenskar sannolikt mycket högre.

Så vad kan man göra med en läckt e-postadress? Det första och minsta problemet är att det är ganska känsligt med porrsidor, de flesta vill nog hålla sina besök hemliga. Det finns av den anledningen en utpressningsrisk, men den är extremt liten.

Det riktigt stora problemet med det här är att adresserna har läckt ut tillsammans med lösenord. Det är nämligen förvånansvärt många människor som rutinmässigt använder samma lösenord till mängder av olika tjänster. I värsta fall kan alltså den som lägger rabarber på informationen komma åt dessa personers e-post eller Facebook, i annat fall andra tjänster.

Just detta har även hänt här. Hackare har redan börjat gå igenom listorna, och hittat Facebook-konton och e-post de kan komma in på, och har börjat publicera intima bilder som hittats i olika personers e-post.

Som jag skrivit många gånger förr är det oftast e-postkontot som är det viktigaste målet. Kommer man åt ditt e-postkonto är det lätt att komma åt annan information om dig. Den kan till exempel användas för phishing och att stjäla pengar, men man kan också enkelt begära nya lösenord till mängder av andra sidor och registrera nya. Är kaparen skicklig så märker du troligtvis inte heller av att kontot är hackat förrän andra konstiga saker börjar hända.

För ett företag är läckor som denna nästan värre än att få sin sajt hackad, vilket hände porrsajten Brazzers tidigare i år. Troligen sker läckor som denna oftare än vi tror, helt vanliga företag utan porrkopplingar utan att det skrivs värst mycket om det, just för att pornografi är ett känsligt ämne.

Nätfiske – banken som ropade varg?

Alla som har någorlunda koll på IT-säkerhet har känt till phishing eller nätfiske i många år nu – ett fenomen som fortfarande är väldigt populärt och effektivt. Inte sällan drabbas bankkunder av nätfiskeattacker och nu i veckan var det dags för kunderna på Swedbank och SEB. Principen är väldigt enkel: bankkunderna får ett mejl från cyberskurkarna där de uppmanas att klicka på en länk för att t.ex. bekräfta nya inställningar genom att logga in på kontot. Länken leder sedan till en förfalskad sida och skurkarna kan ”fiska upp” uppgifterna som kunden har fyllt i.

Den falska sidan ser oftast väldigt trovärdig ut och är svår att skilja från originalet, men själva brevet borde vara det som avslöjar att det rör sig om en nätfiskeattack. Språket är oftast lite klumpigt och alla bankkunder borde vara medvetna om att ingen bank någonsin skulle be dig att följa en länk och sedan lämna ut dina bankuppgifter.

Apropå nätfiskeattacker. Läste precis om en amerikansk CSO som på en säkerhetskonferens förklarade att de hjälper sina anställda att bli bättre på säkerhet genom att till exempel utsätta dem för fejkade nätfiskeattacker. Japp, de skickar mejl liknande de som bankkunderna ovan har fått.

“When someone falls for a phishing tactic and is attacked it becomes very personal. They don’t forget about it afterwards.”

På ett sätt har de en poäng där, eller? Vad tycker ni? Skulle ni uppskatta om era arbetsgivare eller er bank försökte lura er för att lära er en läxa?

 

1.27 miljoner användare drabbade när webbplats för jobbsökare hackades

Dark Reading rapporterar att Washington Posts hemsida för jobbsökare har hackats och över en miljon användaruppgifter har stulits vid två tillfällen.

Den 27:e och den 28:e juni hämtades tydligen hela webbplatsens användarinformation om jobbsökare och enligt Washington Post själva så var det ungefär 1.27 miljoner användarkonton som påverkades.

De säger att inga lösenord påverkades men däremot e-postadresser. Washington Post säger själva att det troliga resultatet är att de som haft konton på webbplatsen drabbas av en ökad mängd spam till sina e-postadresser.

Det kan ha varit en SQL-injection-attack, men eftersom det var just ID:n och e-postadresser som hämtades och ingenting annat så skulle det även kunna ha varit något problem med autenticering (t.ex. någon sida/funktion som tillät attackaren att få ut e-postadresser genom att skicka olika användar-IDn).

Det som Washington Post INTE nämner är att den mest lyckade attacken mot användarna borde vara riktade phishingattacker. Naturligtvis är det otrevligt med spam, men med de uppgifterna de har finns det många möjligheter att skicka personligt anpassade phishingbrev till jobbsökarna, just för att man vet att de är uppskrivna på den webbplatsen.

Forskare: ”Botnätet TDL-4 är omöjligt att förstöra”

Forskare inom IT-säkerhet har upptäckt ett nytt och förbättrat botnät som de efter ingående undersökning bedömer är näst intill omöjligt att bryta ner. Uppskattningsvis har 4,5 miljoner datorer smittats och botnätet fortsätter sakta men säkert att växa.

Nätverket kallas TDL-4, TDSS eller Olmarik, vilket även är namnet på den skadliga kod som infekterar datorerna. Trojanen installerar sig i datorns MBR (master boot record) där den startas innan Windows, bakar in sig i systemet, och skyddas av ett rootkit. Detta gör att den är svår att upptäcka för både användare och antivirusprogram samt svår att ta bort eller oskadliggöra.

Det finns en rad olika faktorer som gör det här botnätet så svårt att ta ner: det får  kommandon på ett effektivt sätt via peer-to-peer-nätverk och de smittade datorerna använder två olika kommunikationskanaler. Sist men inte minst, så tar TDL-4 bort andra virus från datorer den infekterar för att användarna inte ska ana oråd och göra en grundlig virussökning eller installera antivirusprogram. Det gör TDL-4 till ett av de mest sofistikerade botnäten idag. Den senaste versionen har bland annat även stöd för 64-bitars system.

Botnätet används sedan av upphovsmakarna för att sprida andra virus eller hyrs ut till cyberkriminella för virus- och DDoS-attacker, spamutskick och phishingkampanjer.

Det här låter skrämmande men det är möjligt att skydda sig även mot avancerade virusattacker som TDL-4. Förhoppningsvis ökar medvetenheten om vikten av att ha bra säkerhet på både hem- och jobbdatorn och att alla vi datoranvändare blir mer försiktiga med vad vi gör på Internet.


Bild: Wikipedia

Säkerhetsnyheter

Världens första virtuella kupp? Det frågar sig PC World efter att en person säger sig ha blivit av med bitcoins för en halv miljon dollar. Eftersom valutan är ospårbar, gränslös och okontrollerad får man själv se till att skydda sina pengar. Hackar någon datorn där din wallet.dat-fil finns, då är det kört.

Är det hackingens guldålder, frågar sig PC Pro med anledning av en våg av stora hack mot företag och offentliga institutioner. Jag har än så länge inte sett något som bevisar att det rör sig om en stormflod av nya hack, det kan lika gärna vara så att vi just nu befinner oss i en mediecykel där sådant uppmärksammas extra mycket. Veckans avsnitt av Säkerhetsradion handlade om det: Hackingflod eller mediastorm?

Microsoft skriver om en halvny telefonbluff – intressant. “The security of software is improving all the time, but at the same time we are seeing cybercriminals increasingly turn to tactics of deception to trick people in order to steal from them,” säger Richard Saunders på Microsoft. Han har tyvärr rätt. Idag måste man se upp både för angrepp som helt och hållet bygger på teknik, sådana som är rent sociala och sådana som bygger på båda delarna.