Per Hellqvist om IT-säkerhet och sånt

PhishingPhishing går ut på att bedragare låtsas vara “the real McCoy“. De kopierar bilder och layout från den bank, försäkringsbolag, kreditkortsbolag, spelsajt eller vad det nu kan vara de utger sig för att vara. De kopierar hela webbplatser, eller väl valda delar. I vissa fall, som när det handlar om Vishing så kopierar man en telefonbank och lurar folk att knappa in känsliga uppgifter via telefonen.

Det kan vara mycket svårt att skilja på vad som är äkta och vad som är falskt. Inte så mycket för att de är så himla tekniskt smarta, utan mer för att vi idag är så vana vid att företag sänder ut mejl med minst sagt märkliga avsändare. Vi är helt enkelt vana vid att brevet från företaget vi är kund hos sänder ut dem från nån slags webbtjänsteleverantör eller reklam-/marknadsföringsbyrå, men maskerar dem så att de ser ut att komma direkt från företaget. Mycket på samma sätt som telemarketingfirmor alltid arbetat (“Hej, jag heter Mickaela och ringer från Företaget AB”). Alla vet att det inte är så (hoppas jag) men det spelar oss egentligen ingen roll.

När det gäller phishing-brev gör det det. De är ute efter känsliga uppgifter att använda emot oss i bedrägligt syfte. Det är DINA pengar de är ute efter. I förlängningen skadar de förtroendet för banken/kreditkortet/spelsajten etc, och de skadar förtroendet för internet och e-handel, men det är på längre sikt. På kort sikt är det DINA pengar som försvinner och DU som får vara utan kreditkort och hålla på med polisanmälningar och liknande.

Alltså borde vi ställa krav på företagen som kommunicerar med oss. De MÅSTE hjälpa oss hjälpa oss själva. För varje mejl vi mottar med krångliga adresser som egentligen är helt ok, trubbas vi av, dvs om man ens är så tekniskt bevandrad att man kollar mejlen i ren text eller kollar länkarna innan man klickar. “Jag klickade ju på en länk förra veckan och det hände inget…”.

(Jag har inga förhoppningar om att ens det företag jag arbetar på fungerar annorlunda. Ville bara skriva det så att du inte behöver påpeka det i kommentarerna)

Det är ganska svårt att skilja phishingbrev från vanliga brev. Jag åker på tjänsteresa nästa vecka och bor på ett Hilton-hotell. Igår kväll (varning 1, varför utanför kontorstid?) fick jag ett brev från Hilton Honours (poängsystemet) där de bekräftar min beställning och har uppgifter om min resa (varning 2, de har aldrig gjort så förut, och varför kommer mejlet inte från hotellet?). Vidare kan man klicka på länkar i mejlet för att göra ändringar i bokningen (varning 3, här kan uppgifter om mitt kreditkort efterfrågas). I slutet av mejlet kommer ett erbjudande om att jag får 15% rabatt på alla inköp under besöket, det är bara att klicka på länken för att få reda på mer…(varning 4, lockar med fördelaktiga erbjudanden om jag klickar).

Det som är mest skumt är att INGEN länk går till nåt ställe som heter något med vare sig Hilton, Honours eller staden där hotellet ligger eller nåt som ens är avlägset bekant.
Länkarna går till http ://echo.epsilon.com/webservices/echoengine etc…
Det kan ju såklart vara helt ok, till exempel deras reklambyrå eller nån webbtjänsteleverantör, men jag klickar inte…

Ja, jag vet att jag är alldeles för paranoid för mitt eget bästa och att jag borde försöka njuta lite mer av livet, men till och med jag har blivit av med ett kreditkortsnummer för ett par år sedan. Jag orkar inte göra om hela processen att få tillbaka allt igen. Även fast banker och kreditkortsbolag ger mycket bra service till de som råkat illa ut, så går det en massa tid och bekymmer innan man är på banan igen.

Förresten, ni som reser med SAS? Är ni medlemmar i Eurobonus? Har ni nån gång kollat avsändaren till mejlen? De brukade använda “@cmartpost.com”. Låter det som en officiell SAS-avsändare? Illa..

Jag har skällt på dem, men inget har hänt. Jo, förresten, för en tid sedan bytte de faktiskt avsändare till “no-reply-sas@kundcenter.se”… Suck..
Det kan inte vara så svårt att sätta upp ett mailalias som heter “no-reply@sas.se”
eller “no-reply@eurobonus.se” eller nåt i den stilen.

Appropå några som aldrig lär sig. Jag tittade i ett gammalt blogginlägg här på min blogg som handlade om att (minst) en bank i Sverige fortfarande tillåter att bedragare direktlänkar till deras logotyper och bilder. Gissa vad? Inget har ändrats.

Taggar: Allmänt, Bedrägerier, Korkat, Phishing, Vishing

Kommentarer

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.