På sistone har det kryllat av attacker mot Nordea och deras nätbank. Antingen så blir användarna lurade till att ladda ner en s.k Trojansk Häst som sedan tar inloggningsuppgifterna till användarens internetbank och skickar till bedragarnas e-post. Eller så luras användarna till att logga in på en sida som är mycket lik Nordeas egna. I natt fick jag just ett sådant försök till min mail.
Metoden att använda sig av en falsk hemsida kallas för Phishing.
Så här ser mailet ut om det inte är markerat som Spam och HTML är påslaget:
(klicka på bilden för en större version)
Ser inte allt för oseriöst ut va? Nordeas logga, lite avancerad text och som slutkläm en länk som ser ut att gå till Nordeas hemsida. Om man nu skulle ta och krafsa lite under ytan på mailet så ser man ganska snabbt att detta är ett bedrägeriförsök. Till att börja med kan man trycka CTRL-A för att markera allting i mailet. Vi får då ett mail som ser ut så här:
(klicka på bilden för att se en större version)
Som ni kanske ser så fick vi upp lite oväntade saker, till att börja med så ser vi att texten inte var text, utan en bild. Och under den här bilden ligger en massa annan text, den här texten var inte synlig innan markeringen pga att den var vit och låg på en vit bakgrund.
”Så varför använder man sig av en bild i stället för vanlig text?” undrar många. Detta gör bedragarna för att spamfilter inte ska kunna läsa av innehållet (eller åtminstone försvåra).
”Och vad är det för mening med texten nedaför bilden, det är ju bara en massa dravvel?” Jo anledningen till varför bedragarna har valt att lägga till detta är också just pga spamfilter. Ett mail med text som ser seriös ut har det enklare att ta sig genom spamfilter obemärkt. I det här fallet har bedragarna klistrat in ett utdrag ur en bok eller något liknande.
”Så, vad händer om man klickar på länken, den går ju trots allt till nordea?”
Som sagt så är länken inte en textlänk utan en bild. Klickar man på länken så tas man till en helt annan sida:
Ser ut som en seriös sida från nordea? Nja, jo utseendemässigt ser det ganska korrekt ut, men länkstrukturen? ”http://app.nordea.se.cprocedure_id8510902.reuser.hk/[...]”. Dvs inte alls till Nordea, utan ett subdomän till reuser.hk (hk står för hongkong).
Användaren luras här att skriva in sina inloggningsuppgifter, och tas sedan till den här sidan:
Här får bedragarna allting serverat på ett silverfat, de har tidigare fått inloggningsuppgifterna, men inte de engångskoder som behövs för att i framtiden logga in samt göra transaktioner. När användaren matat in allting och klickar på nästa så har bedragarna fått precis allt de behöver och användaren skickas nu vidare till den riktiga Nordea-sidan.
Så enkelt kan någon på andra sidan jordklotet tjäna några fina slantar på en kopierad sida och en lista med svenska mailadresser.
[tags]Nordea, Phishing, Bedrägeri, Säkerhet[/tags]
Intressant
Pingback: 50 Inlägg sedan starten » SemiCow