Dec
29
Klumpigt phishingförsök
29 Dec 2011
Normalt sett använder elakingarna olika trick för att dölja luringar i phishing-mejlen. Ibland inte. Finn felet
Dear Visa User,
Our records show that someone tried to reset the password on your Verified by Visa account.
We have set a temporary password for your account:Yvj4@r6
Please sign in to your account and change it as fast as possible:
http://verified.visa.com.webserv.is-very-evil.org/visa/index.php?CustomerID=MV923N
Thank you,
The Visa Support Team
Visst. Länken går ju inte till Visa. Domänen är ju det som kommer precis innan toppdomänen (i det här fallet .org) och snedstrecket. Det spelar ingen roll vad som står efter snedstrecken och heller inte vad som står mellan de första punkterna i URLen. Det är snedstrecket som gäller. I det här fallet går länken inte till visa.com utan till den minst sagt suspekta domänen “is-very-evil.org”.
Man kunde lika gärna skrivit “pannkaka.is-very-evil.org” eller vad som helst. Men för att försöka lura dem som inte läser så noga innan de klickar så skrev man “verified.visa.com” (istället för pannkaka eller cykelpump).
Ett annat tecken på att det inte är en “säker” sajt som länken pekar emot är att den börjar med “http” istället för “https”. Det extra “s”-et visar på att sajten använder SSL, alltså en krypterad överföring. Banker, kreditkortsbolag med flera använder sådana. Bedragare gör det i de allra flesta fall inte.
Klicka inte på sånt här.
Taggar: Bedrägerier, Phishing
Kommentarer
5 kommentarer to “Klumpigt phishingförsök”
Lämna en kommentar
Du måste vara inloggad för att lämna en kommentar.
Välkommen tillbaka Per :).
Tackar!
Är inte helt uppe i fart än, men det kommer 
Lite webb-säkerhetstips för din sajt Per, just nu står versionsnumret av WordPress utskrivet i din header.php, för tillfället 3.3. Idag kom en uppgradering av WP som bl a tar bort en cross-site-scripting-risk som du alltså inte är skyddad mot. Ett tips är att ta bort koden som skriver ut versionsnumret av WP så blir det svårare att ta reda på.
Ett annat tips, orelaterat med det ovan, är att du raderar admin-kontot och skapar ett nytt konto med admin-rättigheter men med ett annat namn.
Tackar! Fixat!
Ett stort problem är att många sajter, ofta större företag och banker, själva använder krångliga domännamn och långa sökvägar. Därför är det ibland svårt att använda dina tips ens för att verifiera äkta sajter.
Detta problem är till exempel vanligt i betalväxlar (när man betalar i e-butiker). Hur ska jag som kund veta att domännamnet “secure.telluspay.com” har något som helst med företaget “Samport” att göra?
Överlag är det ju knepigt att lita på domännamn som innehåller namnet “secure” (och det är dåligt av företagen att lära kunderna sådana rutiner).
Och hur ska kunderna kunna veta skillnaden mellan gröna och gul/blå SSL-certifikat? För det är ju rätt stor skillnad mellan att ringa, skicka brev och kolla i bolagsregistret (gröna , EV-certifikat), och att bara skicka ett e-brev till webmaster@domännamnet (blå eller gula certifikat).