Hopp til navigasjon Hopp til innhold
Suspekt? Ja, litt. (Ill.: Michael Johansen/ITavisen)
BLOGG

Noen ganger må man ned i kaninhullet – slik lurte svindlerne Google

Pass på at du selv ikke blir merket som en.

Jeg har en interssant historie å fortelle i forbindelse med nett-svindel, og at man må være forsiktig slik at man ikke selv blir merket som spammer.

Kan jeg kjøpe din mobler?
Det hele startet med at jeg la ut to møbelannonser på Finn. Kort tid senere fikk jeg en SMS som jeg med en gang tenkte at virket noe… automatisert (ikke la deg lure av den noe tradisjonelle innledningen på historien, det vanker nemlig en liten «premie» på slutten).

Jeg tenkte først at, «hmm, enten finnes det fremdeles mennesker som bruker manuelle SMS-tjenester på nett, eller så er dette et klassisk svindelforsøk».

På den annen side hadde ingen andre tatt kontakt om møblene enda, så jeg tenkte «whatever, la oss se hvor dypt dette kaninhullet går».

Vil nok ha de edle tall-kombinasjonene fra plastkortet
Så svindlerne satt i gang og skrev lange eposter om at de skulle ha møblene i begge annonsene.

Det er ganske arbeidskrevende eposter, så profittmarginen deres må være god. Med andre ord er det trolig kredittkort de phisher etter.

Mot slutten sa de at de hadde sendt penger med PayPal, og ba meg se etter epostene (husk å sjekke spam osv.) – da ble det endelig hevet over enhver tvil at det var et angrep.

Mistenkelige penge«overføringer».
Mistenkelige penge«overføringer». (Ill.: Michael Johanse/ITavisen)
Siste ledd av svindelforsøket.
Siste ledd av svindelforsøket. (Ill.: Michael Joahnsen/ITavisen)

Men hør på dette!
Så de prøvde altså å lure meg, men det kan jeg ikke ha noe av, så for å prøve å stoppe dem (jeg kan litt om sikkerhetsrutiner) hentet jeg frem Googles side for å rapportere om forsøket.

Der blir man selvsagt bedt om epost headere og «original subject line of the questionable message», men det er også problemet:

Om jeg rapporterer inn eposttråden så risikerer jeg at et automatisert system blir negativt innstillt mot meg, ettersom jeg startet tråden og skrev det som stod i tittel-feltet. Den risikoen løper jeg også dersom det blir gjort sloppy manuell gjennomgang av abuse-rapporten.

Slik lurte de Google
Så vi har et phishing-angrep som kommer seg forbi Gmail sine spam-filtere ved hjelp av mange teknikker:

  1. Angriperen sørger for at jeg sender første epost
  2. Angriperen bruker en Gmail-adresse
  3. Angriperen sender omfattende epost som er arbeidskrevende – dette for å bygge tillit på epostkontoen, samt mellom min og angriperens konto
  4. Angriperen skjermer sin konto mot å bli rapportert ved å gjøre det ekkelt å rapportere samtalen

Google har bare vunnet til hackerne finner omveiene
Googles sikkerhetsingeniører har i stor grad deklarert krigen mot spam som vunnet, men det eneste av Gmail sitt innebygde forsvar som fungerte i denne sammenhengen var at mailene fra liksom-PayPal havnet i spam-boksen.

Dette er altså min erfaring med et sofistikert phishing-angrep som faktisk var og trolig er motstandsdyktig mot å bli rapportert inn.

Jeg endte opp med å både merke meldingen som spam, og å bruke rapporteringsskjemaet til Google, men passet også godt på å skrive veldig tydelig at jeg ikke var svindleren.

Nå er det bare håpe at jeg selv ikke blir stemplet høy spam-poengsum, for da vil det bli kronglete for andre å finne epostene jeg sender.

Michael Johansen

IT-grunder, sikkerhetsekspert og gruppeleder.

Stikkord: blogg, sikkerhet, Tips