Per Hellqvist om IT-säkerhet och sånt

Dec

29

Klumpigt phishingförsök

29 Dec 2011

Normalt sett använder elakingarna olika trick för att dölja luringar i phishing-mejlen. Ibland inte. Finn felet :-)

 

Dear Visa User,

Our records show that someone tried to reset the password on your Verified by Visa account.

We have set a temporary password for your account:Yvj4@r6
Please sign in to your account and change it as fast as possible:

http://verified.visa.com.webserv.is-very-evil.org/visa/index.php?CustomerID=MV923N

Thank you,
The Visa Support Team

Visst. Länken går ju inte till Visa. Domänen är ju det som kommer precis innan toppdomänen (i det här fallet .org) och snedstrecket. Det spelar ingen roll vad som står efter snedstrecken och heller inte vad som står mellan de första punkterna i URLen. Det är snedstrecket som gäller. I det här fallet går länken inte till visa.com utan till den minst sagt suspekta domänen “is-very-evil.org”.

Man kunde lika gärna skrivit “pannkaka.is-very-evil.org” eller vad som helst. Men för att försöka lura dem som inte läser så noga innan de klickar så skrev man “verified.visa.com” (istället för pannkaka eller cykelpump).

Ett annat tecken på att det inte är en “säker” sajt som länken pekar emot är att den börjar med “http” istället för “https”. Det extra “s”-et visar på att sajten använder SSL, alltså en krypterad överföring. Banker, kreditkortsbolag med flera använder sådana. Bedragare gör det i de allra flesta fall inte.

Klicka inte på sånt här.

 

Taggar: Bedrägerier, Phishing

Kommentarer

5 kommentarer to “Klumpigt phishingförsök”

  1. Johan on December 30th, 2011 08:18

    Välkommen tillbaka Per :).

  2. admin on December 30th, 2011 11:56

    Tackar! :-) Är inte helt uppe i fart än, men det kommer :-)

  3. Richard on January 4th, 2012 09:45

    Lite webb-säkerhetstips för din sajt Per, just nu står versionsnumret av WordPress utskrivet i din header.php, för tillfället 3.3. Idag kom en uppgradering av WP som bl a tar bort en cross-site-scripting-risk som du alltså inte är skyddad mot. Ett tips är att ta bort koden som skriver ut versionsnumret av WP så blir det svårare att ta reda på.
    Ett annat tips, orelaterat med det ovan, är att du raderar admin-kontot och skapar ett nytt konto med admin-rättigheter men med ett annat namn.

  4. per_hellqvist on January 4th, 2012 18:13

    Tackar! Fixat!

  5. Emil Vikström on January 6th, 2012 11:43

    Ett stort problem är att många sajter, ofta större företag och banker, själva använder krångliga domännamn och långa sökvägar. Därför är det ibland svårt att använda dina tips ens för att verifiera äkta sajter.

    Detta problem är till exempel vanligt i betalväxlar (när man betalar i e-butiker). Hur ska jag som kund veta att domännamnet “secure.telluspay.com” har något som helst med företaget “Samport” att göra?

    Överlag är det ju knepigt att lita på domännamn som innehåller namnet “secure” (och det är dåligt av företagen att lära kunderna sådana rutiner).

    Och hur ska kunderna kunna veta skillnaden mellan gröna och gul/blå SSL-certifikat? För det är ju rätt stor skillnad mellan att ringa, skicka brev och kolla i bolagsregistret (gröna , EV-certifikat), och att bara skicka ett e-brev till webmaster@domännamnet (blå eller gula certifikat).

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.