Tankar kring phishing, juletid och den nationella informationskampanjen

Tankar kring phishing, juletid och den nationella informationskampanjen

Jag har slutat irritera mig på felaktigheter i säsongsbetonade råd som baserar sig på sakfel, som tolkas och skrivs om – och konstaterar bara att det kommer lite märkliga rekommendationer då och då.
Men samtidigt är jag mån om att råd till allmänheten ska bottna i fakta, kunskap och erfarenhet.

Och jag läser idag två artiklar i UNT, Uppsala Nya Tidning där det står saker som jag ställer mig aningen frågande till.
Men jag vill göra tydligt att jag alltså inte vill basha eller kritisera de som intervjuats eller ens aktuell journalist, utan jag har mer överseende om att oinsatta frågor ger dito svar.
Svar som sedan dessutom kan tweakas till innan publicering. Så det är fullt möjligt att artiklarna inte ens speglar eller är i närheten av ”experternas svar” – om det vet jag inget och bryr mig inte heller.
– istället baserar jag min pekpinne på vad som skrivits i artiklarna:

”IT-expertens bästa tips för säker näthandel”
https://www.unt.se/nyheter/uppsala/it-expertens-basta-tips-for-saker-nathandel-5144095.aspx

”Så undviker du nätfiskebedragare i jul”
https://www.unt.se/nyheter/uppsala/sa-undviker-du-natfiskebedragare-i-jul-5144088.aspx

Jag delar inte synen på anledningen till ökning av phishing är för att det blivit svårare än tidigare att identifiera.
Och stora breda SMS-attacker (ca 50 000) mot svenska användare har vi haft sedan 2009/2010

Och det är inte heller speciellt intressant utredningsmässigt att ta reda på varifrån ett större utskick skett idag, eftersom det oftast är spoofade (falska) avsändare från hackade servrar, istället är det intressant att se var användare landar, vad som händer med den lämnade informationen och vem som tar emot betalningar. Lite som Polisens gamla talessätt ”follow the money”.

Jag kliar mig dessutom lite i pannan när jag läser att Uppsala Kommun ska ha blåst och omkonfigurerat samtliga datorer, för vad som insinueras skulle vara ett phishingmail (här förutsätter jag att IT-chefen är felciterad)

Det är inte heller speciellt resurskrävande eller speciellt utmanande att analysera och utreda – det går att kartlägga och summera för en erfaren person på (maximalt) ett par timmar – fullt tillräckligt för att lägga fram för en FU-ledare att ta ställning till om det:

1. går att stoppa pågående,
2. går att förhindra fler (kloner),
3. går att bevissäkra för lagföring

Men idag läggs ärendena ner, utan åtgärd.
Och det är en resursfråga i kombination med okunskap hos utredare, polisiära FU-ledare, åklagare samt hos polisens jurister som delar på detta.

Vad är det då som förändrats inom phishingmeddelanden?

Förändringar av budskap och maskeringar i form av länkförkortare och budskap i bilder i HTML-baserade spammail sker löpande och har så gjorts de senaste 10 åren.
Skillnaden mellan idag och för 10 år sedan är flera, men det är ofta en stor blandning av ”förtroendeförstärkare” i kombination med ”nischade budskap/lockelser”.

Budskapen har alltså blivit mer nischade/riktade och mer snygga, dessutom smyger de sig in i vårt ”dagliga flöde” av information på ett helt annat sätt än tidigare.
(till och med genom annonser hos ledande nyhetsmedia i Sverige), skillnaden är alltså främst att användarna möts av phishingförsöken (inkastarna) i fler kanaler än via mail och SMS.

Det har såvitt mig anbelangar inte heller skett någon avsevärd ökning eller förändring av mängden phishingförsök/meddelanden genom e-post eller sms, utan det som avsevärt ökat de senaste åren är ”inkastare” genom helt andra kanaler: textannonser och bildannonser/artiklar/inlägg i Social media plattformar (och nyhetssidor).

Och det spelar egentligen ingen roll hur ”inkastarna” ser ut eller i vilken form de kommer; mail, sms, annonser eller artiklar/inlägg, för de är just avsedda att ”locka in dig” till webbsidor.
Om budskapen sedan är tävlingar, vinster, svinbilliga priser, påhittade arv, surveys eller vad det nu påhittet ”lindas in i”, så är det till dessa webbsidor som du ombeds fylla i formulär av olika slag och det är här som den avgörande förändringen skett.

Och det största problemet för phishing i Sverige är..   okunskap!!

Okunskap för vad phishing är, vad som händer med dina kortuppgifter som lämnas ut till någon ”som du tror” bara ska dra 9 kronor från ditt konto, för att det är vad du gett tillåtelse till.
Att man inte förstår att du redan lämnat bort uppgifterna till ditt kort, som ger möjlighet att dra precis så mycket pengar från ditt konto som de har lust med.
Och att man inte förstår att det i samma sekund som man skickar iväg sina uppgifter redan är för sent, uppgifterna kan utnyttjas av obehöriga och kan säljas till andra kriminella.

Låt mig förklara: – Phishing sker genom en flerstegsprocess, som kan se lite olika ut, men vanligen följer ungefär följande process:

1. ”Inkastare” (mail/sms/annons/artikel) och med falskt budskap får användaren att klicka på bild eller länk, som går till en webbsida ->

2. ”Mellanlandning” Detta är ett webbsideinnehåll som förstärker/upprepar/fördjupar det falska budskapet från ”Inkastaren”, i 10 fall av 10, så avslutas detta innehåll med en knapp/länk som heter ”Fortsätt/gå vidare” och tar dig till en helt annan webbsideadress ->
*Du har i detta skede klart för dig om vad erbjudandet/gåvan/vinsten/arvet handlar om och du har låtit dig invaggas av ”hägring och förutsättningar”*

3. ”Personuppgiftsformulär” här fyller du i dina personuppgifter som namn adress och övriga kontaktuppgifter och även här avslutas formulärsidan med ”Fortsätt/gå vidare” som tar dig till en helt annan webbsideadress ->

4. ”Kortuppgiftsformulär” här fyller du i dina kortuppgifter inkl cvv/cvc-kod för ditt kort, i vissa fall som i abonnemangs/prenumerationsfällor, så finns ofta finstilt text och/eller länk till avtalsvillkor, där du förutom den minimala portokostnad (eller motsvarande) även accepterar en testperiod på en hittepåtjänst som automatiskt övergår i en betaltjänst fom vanligtvis kostar 700-1000 kronor per månad eller var 14:e dag. I andra fall är det tävlingar där du bara ska betala någon liten administrationsavgift.. eller så kan det vara ”piratshoppar” som säljer märkeskläder ruskigt billigt – oavsett så har du lämnat dina fullständiga kortuppgifter till främmande personer som du (om du tänker efter) inte borde lita på..

För det stora problemet är att du lämnat ifrån dig dina kortuppgifter samt cvv/cvc-kod till främmande illasinnade personer, vilket gör att dina kortuppgifter inte bara riskerar, utan KOMMER att utnyttjas av kriminella.

När det sker, av vem eller var i världen köpen med dina kortuppgifter kommer att ske eller hur mycket du blir av med är det ingen som kan sia om – bara att dina kortuppgifter är tillgängliga för illasinnade att missbruka!

Polisen menar väl, men bidrar till en björntjänst!

Ytterligare en ”bedrägeriförhöjare” är att svensk Polis idogt hävdar att man som konsument är skyddad om man använder sidor som anger ”3D Secure/MasterCard SecureCode/Verified by VISA” och att du endast ska ange dina kortuppgifter på sidor som använder https:// (säker anslutning)

Men det är inte riktigt så lätt, och det riskerar att få användarna som lyder den uppmaningen att tro att man går säker om man följer Polisens råd.

En användare låter sig lätt luras av att de bedrägliga phishingsidorna inkluderar någon av den uppsjö av bildvarianter som finns (och det är just inget annat än en bild) för att man inte förstår vad man ska leta efter och ”det står ju där..” och så låter man sig luras att tro att sidan eller betalningen skulle ske mer skyddat än utan bilden..

          

Och en https-anslutning berättar bara att sidan du besöker har en säker anslutning (utan möjlighet för andra att avlyssna eller manipulera), men problemet är att även bedragare använder (https://) säkra anslutningar för sina phishingsidor.

I den senaste rapporten från APWG, Anti Phishing Working Group från 18 oktober 2018, så rapporteras att 35% av alla phishingsidor använder sig av https://

Källa: http://docs.apwg.org/reports/apwg_trends_report_q2_2018.pdf

Jag upprepar: Mer än var tredje phishingsida använder https:// – så det är en sämre garanti!

Nackdelen blir att när Polisen och andra gör sitt bästa för att korta ner budskap i små korta listor för användare att tänka på, så försvinner mycket viktigt och riskerar att bli missvisande och rentav en falsk trygghet.

Jag vet ärligt talat inte vad jag ser som mest besvärande: problemet/brotten i sig, eller att de myndigheter och andra (inklusive mig själv) har så förbaskat stora problem att nå ut och varna allmänheten.
Men tillsammans blir det som sagt besvärande.

Jag är medveten om att det inte är lätt att varna allmänheten, och då speciellt ”sällananvändare” som också har tendens att drabbas i större utsträckning.
Och det samtidigt som vi aldrig har varit mer utsatta än vi är idag, se mitt tidigare inlägg Oktober 2018 – fortsatt över 25 000 bedrägerianmälningar

Regeringens uppdrag till Myndigheten för samhällsskydd och beredskap – öka allmänhetens och företags kunskap om informationssäkerhet, inklusive id-stölder.

I mars 2018 gav regeringen MSB, Myndigheten för Samhällsskydd och beredskap uppdrag att tillsammans med Polisen och ett antal andra myndigheter att öka allmänhetens och företags kunskap om informationssäkerhet, inklusive id-stölder.

Men det är intressant att se vad MSB, tillsammans med Polisen, Tillväxtverket, Bolagsverket och Skatteverket lyckas med på denna front.
Jag vet inte hur många anställda det är på alla myndigheter, men Polisen har ju ca 30 000 anställda och om jag kommer ihåg rätt så har Skatteverket ca 13 000 anställda och gissningsvis adderar väl övriga myndigheter på med ett eller ett par tusen anställda. Jag ser det alltså som rimligt att de ansvariga myndigheterna samlar ca 45 000 anställda (detta för en jämförelse längre ner)

I uppdraget står det att det ska ingå en ”nationell informationskampanj” rörande informationssäkerhet, inklusive id-stölder.

Och när jag skriver det här så är det 2 månader kvar till uppdraget ska redovisas. Och visst kan man väl hoppas på under..
Men från MSB så vet jag inte om jag tycker att detta varit speciellt framgångsrikt.. observera då att Oktober månad var månaden allt skulle ske ”Informationssäkerhetsmånanden 2018”
https://www.msb.se/Forebyggande/Informationssakerhet/Informationssakerhetsmanaden-2018/ 

Nu vill jag inte förringa någons arbete och jag medger att detta inte är en enkel nöt att knäcka, men det mer kvalificerade jag kan hitta i kampanjen är bland annat att man anlitat en byrå att skapa ett par korta Youtubevideos, (budskap får mig att gäspa till lite , eftersom det i det närmaste är kopior av brittiska och holländska videos som publicerades för 4-5 år sedan.)

Och med tanke på att det nu är slutet på november och att dessa videos alltså haft sitt ”bäst före”, så är det ju intressant att kika på hur många visningar dessa videos haft, då det ger en lite fingervisning till hur stort genomslag myndigheternas ”nationella informationskampanj” haft hos allmänheten och företagen.

Den ena videofilmen har visats 10 899 gånger (varav jag stått för några stycken)

Och den andra filmen har visats 3 071 gånger

Min poäng är att dessa visats ca 14 000 gånger tillsammans, vilket alltså inte ens motsvarar 1/3 av kampanjansvariga myndigheters anställda.
(Bilderna ovan är klickbara och leder till filmerna, om ni vill bättre på myndigheternas statistik)

Men ni ser även den hänvisnings-URL som texten hänvisar till, som alltså legat uppe sedan 2 oktober 2018, dvs i knappt två månaders tid.

Under hela denna period, dvs inklusive under den ”nationella informationskampanjen” (Oktober), så är det ingen som informerat MSB om att deras länk till ”Tänk säkert!” inte varit så lyckad, eftersom de inte lyckats länka rätt. Det torde ytterligare vara en liten fingervisning om hur många som tagit del av den ”nationella informationskampanjen”..

De länkar till IDN-domänen dinsäkerhet.se medan de använder adressen utan prickar dinsakerhet.se och just den här speciella kampanjsidan https://www.dinsäkerhet.se/tank-sakert/ är inte länkad till den avsedda https://www.dinsakerhet.se/tank-sakert/ 

Kort sagt: Jag anser att genomslaget för informationskampanjen borde blivit bättre!
Själv hade jag missat den eller den har missat mig
(om jag inte aktivt sökt upp information, då jag vet att den funnits/finns.)

Jag ska ärligt säga att jag vanligen inte vurmar för vare sig nya lagar, förordningar eller nya myndigheter.
Men om samlade myndigheter inte mäktar med att uppbåda mer resurser och genomslag för ett regeringsuppdrag 2018, samtidigt som antalet bedrägerianmälningar kommer att öka med minst 25% mot föregående år, så MÅSTE det ske något radikalt – vi kan bättre!

Jag pratar då om att annan dedikerad part än nuvarande, behöver ta vid.
Någon med fredade specialiserade resurser som följer utvecklingen och varnar allmänheten.
Men någon sådan aktör finns inte idag..

Related Articles

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *