Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 18. november 2011

Phishing mot Telenors e-post-kunder

I løpet av de siste dagene har flere brukere av online.no mottatt phishing-e-poster. Et eksempel på en slik e-post er vist under:




E-posten informerer tilsynelatende om at tjenesten har fått nye temaer/layout, og oppfordrer brukeren til å følge lenken for å logge inn. Ved kun å se på teksten, ser det hele greit ut. Det var også opprinnelig en Telenor-logo i e-posten. Dersom en sjekker lenken, ser en imidlertid raskt at denne fører til en web-server i Peru. Web-siden så slik ut:




Denne er helt identisk til login-siden til epost.telenor.no, bortsett fra at bokstavene Æ, Ø og Å mangler. Siden er laget ved å kopiere hele web-siden til Telenor. Bildene blir også lastet fra Telenors egen web-server. Phishing-svindelen er i dette tilfellet forholdsvis godt utformet, og det er kanskje ikke så rart at en del lar seg lure til å gi fra seg påloggingsinformasjon.

Denne typen phishing e-poster blir gjerne sendt ut til tusenvis av brukere av tjenesten i løpet av kort tid. Én av disse brukerne syntes både e-posten og web-siden så mistenkelig ut og sendte den til Norsis, Norsk senter for informasjonssikring. E-posten ble deretter raskt sendt videre til TSOC.

En analytiker hos TSOC undersøkte web-serveren som serverte phishing-siden. Det ble raskt oppdaget at innhentede brukernavn og passord ble lagret til en tekstfil som var offentlig tilgjengelig fra web-serveren:



Det viste seg at svindlerne hadde lagret nesten hundre brukernavn og passord i løpet av 15. og 16. november. Web-serveren inneholdt også en phishing-side som rettet seg mot brukere av en Malaysisk bank.

TSOC sendte nå all informasjonen videre til Telenors interne abuse-avdeling. Disse begynte jobben med å få tatt ned phishing-siden, samtidig som listen over involverte brukere ble sendt til kundeservice. Der jobber det tre ansatte med spesialkompetanse rundt disse sakene. Disse finner mobilnummeret til kunden og sender ut nye autogenererte passord per SMS. Det blir også generert en e-post med mer informasjon til kunden om hva som har skjedd som kunden lese etter å ha logget inn med sitt nye passord.

Abuse-avdelingen kontaktet i mellomtiden en ekstern samarbeidspartner som spesialiserer seg på å ta ned svindelsider. Det ble nå automatisk sendt ut e-poster og faks til ISPen som ble benyttet, og firmaet som kontrollerte web-serveren (hosting-leverandøren). Firmaet bak web-tjeneren slettet fort den aktuelle phishing-siden, men svindlerne lastet dem opp på nytt. Like etter ble siden tatt ned for godt. Fra saken ble meldt inn til siden gikk ned, gikk det litt over en time. I dagene framover vil et automatisk overvåkingsverktøy sjekke om siden på nytt skulle komme opp, og i så fall sende ut varsel på nytt.

Dersom dette phishing-forsøket hadde vært vellykket, ville e-post-kontoene mest sannsynlig ha blitt brukt til å sende ut store mengder spam og forskjellige typer svindel e-post. Kanskje ville svindlerne også prøvd å logge seg inn på andre tjenester ved å benytte seg av e-post-adressen og passordet til brukerne. Mange benytter seg av samme passord på flere tjenester.

Denne gangen ble heldigvis angrepet oppdaget før noen rakk å utnytte den innsamlede informasjonen. Men svindlerne forsøker seg stadig med nye angrep.

Til slutt tar vi med noen råd for å unngå å bli lurt av denne typen svindel:

  • Ikke følg lenker i e-poster ved å trykke på dem. Gå heller direkte til siden du vil oppsøke, enten ved å skrive inn adressen i nettleseren eller ved å følge et bokmerke du allerede har lagret.
  • Dersom du må følge en lenke, hold markøren over lenken for å se hvor den faktisk fører før du klikker. Ofte kan teksten i en e-post inneholde en annen adresse enn den web-siden lenken faktisk tar deg til.
  • Sjekk alltid at adressen i adressefeltet i nettleseren stemmer med den tjenesten du vil logge inn på. F.eks: "epost.telenor.no[...]".
  • Dersom tjenesten du skal logge inn på benytter seg av kryptering (HTTPS), sjekk at siden du får opp faktisk er kryptert før du skriver inn brukernavn og passord. Dette kan du som oftest se i nettleseren ved at det står "HTTPS:" foran adressen.
Husk også å bruke forskjellig passord på forskjellige tjenester. Dersom noen skal klare å lure til seg passordet ditt, vil de da ikke ha mulighet for å logge seg inn på flere tjenester med ditt brukernavn.

 
>