Phishing er en metode der man illuderer avanserte internettsider med den hensikt å tappe brukernavn og passord fra eieren.
Ikke bare sikkerhetseksperter, men banknæringen selv, innrømmer risikoen og oppfordrer nå brukerne til å være spesielt oppmerksomme på e-post med linker fra bankforbindelser, offentlige registre eller forsikringsselskaper.
– Det er slett ikke vanskelig å lage en falsk utgave av en nettbank sine internettsider og få brukeren til å logge seg på, forteller teknisk sjef for Watchcom Security Group, Arnfinn Roland.
Enkelt men farlig
Utsagnet kan virke lettkjøpt og noe banalt, men virkeligheten forholder seg slik – foreløpig finnes det ingen verktøy som kan stoppe aktiviteten. Ved hjelp av en html-editor kan man kopiere en internettside, eksempelvis en nettbank, og legge den ut på en egen server.
Annonse
For å lure brukere til å logge seg på den falske internettsiden, sender svindlerne ut spam, utgir innholdet for å være relatert til den legale virksomheten, og får brukeren til å logge seg på den falske siden via en link i e-posten.
Når brukeren er inne på den falske siden vil han oppgi brukernavn og passord. I utgangspunktet skal sikkerhetsfunksjonalitet i nettleseren vanskeliggjøre slike forsøk, men en sikkerhetsbrist i Internet Explorer gjør det til en smal sak å gjennomføre svindelen.
DnBNor i risikosonen
– Etter at brukeren har oppgitt de opplysningene svindleren trenger, vil han ikke komme seg videre i systemet – det hele vil arte seg som en teknisk feil, og brukeren vil kanskje tro at serveren er nede, forteller Roland.
Seniorkonsulent for it-sikkerhet i DnBNor, Gunnar Øverberg, er kjent med metoden, men mener samtidig at sikkerheten i nettbanken er tilstrekkelig.
– Svindlerne lager e-post med link – det har ikke noe med vår bank å gjøre, og det er ikke noe vi kan gjøre annet enn å informere kundene om å være forsiktige med å oppgi følsomme opplysninger via e-post, forteller Øverberg.
Phisher på kurs
Ifølge Roland i Watchcom er det bare ett tiltak som med sikkerhet kan forhindre svindel av denne typen – passord som endres for hver innlogging eller transaksjon.
Slik funksjonalitet har ikke DnBNor innebygget i sin nettbankløsning, og uten at Roland ønsker å konkretisere hvilken bankinstitusjon det gjelder, forteller han at Watchcom med enkelhet og nylig demonstrerte hva som må til for å utføre phishing mot en stor norsk finansinstitusjon. Dette skjedde i forbindelse med anti-hackerkurset som fant sted på Fornebu nylig.
Rammer bredt
– Eksempler som finansinstitusjoner, en hel rekke forsikringsselskaper, kommunal landspensjonskasse, Skatteetaten og AltInn-tjenesten.
Ifølge Øverberg er ikke sårbarheten for nettbanker og andre internettsteder som lagrer følsom informasjon spesielt godt kjent.
– Tilbakemeldingen vi har fått på våre kurs i høst, fra en rekke it-ansvarlige i flere norske store og profilerte selskaper, var at de ikke var kjent med problematikken, sier han.
Annonse
