Lögnaktiga länkar
Ursprunget till den här sidan finns på http://www.michaelhorowitz.com/. Översättningen och bearbetningen är gjorda med tillstånd från Michael Horowitz.
Observera
Om du använder McAfee Anti-Virus och öppnar den här sidan, kan McAfee påstå att sidan är infekterad med trojanen URLSpoof. Det är den inte. URLSpoof är en bedräglig länk på en webbsida eller i ett e-brev. Den här sidan vimlar avsiktligt av bedrägliga länkar. Men de är exempel – inte aktiva. Den här sidan är säker att använda. Läs vad McAfee skriver om URLSpoof.
Phishing
Phishing handlar om bedrägeri, via e-brev som är avsedda att lura dig att lämna ut personlig information. E-breven innehåller länkar till webbsidor, men länken leder inte till den sida den ser ut att leda till. I stället hamnar du på en webbsida som ser ut att vara riktig, men i själva verket finns på en dator som kontrolleras av bedragaren.
Om du hyser några som helst tvivel på att ett e-brev är riktigt, skall du själv gå till det avsändande företagets webbplats. Med andra ord: Om du misstänker att ett e-brev som ser ut att komma från Citibank (som exempel) är ett bedrägeri, kan du kontrollera detta genom att själv skriva in "www.citibank.com" i webbläsaren. Klicka aldrig någonsin på länken i e-brevet!
Resten av den här sidan förklarar en del av de metoder som bedragarna använder för att åstadkomma länkar som lurar dig.
Tre metoder för bedrägeri
Tre metoder används för den här typen av bedrägeri: tekniska trick med själva länken (URL:en), utnyttjande av kända buggar i Internet Explorer och användandet av domännamn som ser ut (om man inte känner till reglerna för detta) att höra hemma hos företaget som utnyttjas. Alla tre förklaras nedan.
Domännamnen
När du skickas till en namngiven domän för att lämna ut personlig information, kan det vara svårt att veta att den namngivna domänen verkligen är vad den ser ut att vara.
Exempel
TV-företaget som sänder "60 Minutes" äger "cbs.com". Men det utgör ingen garanti för att företaget även äger "cbsnews.com" (vilket det gör) eller "cbs-news.com" (vilket det inte gör), "cbstoday.com" (vilket det inte gör) eller "cbsnewsupdate.com" (som inte ens existerar).
Några exempel ur verkligheten
- Domänen "yahoo-billing.com" har ingenting med Yahoo att göra.
- Domänen "eBay-secure.com" har ingenting med eBay att göra.
- Domänen "cgi-paypal.us" har ingenting med Paypal att göra.
- Domänen "FairPax.com" har ingenting med Pax World Mutual Funds att göra.
- Under den amerikanska presidentvalskampanjen 2004 skickades e-brev från "johnkerrys.com". Dessa var bedrägerier – demokraternas webbplats hette "johnkerry.com".
- Domänerna "www.securecitibank.us", "www.citi-accountonline.com" och "citisupportteam.biz" har ingenting med Citibank att göra.
En annan metod är att använda webbadresser som "www.ebay.scammer.com" – denna adress har över huvud taget ingenting med eBay att göra.
Å andra sidan skulle en adress som "payments.citibank.com" (påhittad adress) kunna vara en verklig adress som hör till Citibank. På samma sätt skulle "news.cbs.com" (även denna adress är påhittad) kunna höra hemma hos CBS.
En metod som bedragarna använder är att ersätta bokstaven "L", bokstaven "I" eller siffran ett för att lura dig.
Exempel
- I stället för "citibank.com" (rätt stavat) kan de använda "cltlbank.com" (gement "L"), "c1t1bank.com" (siffran ett) eller "ClTlBANK.COM" (gement "L" som är mycket väl gömt).
- På samma sätt kan "PayPal" sluta med siffran 1 ("paypa1.com") eller med ett versalt "i" ("paypaI.com").
Trick med både domännamn och sidans utseende
Ett annat sätt att luras är att använda ett domännamn som verkar riktigt och göra en webbplats som ser ut att vara korrekt, men ändå är ett bedrägeri.
Exempel
- Någon är intresserad av transporter i deltstaten New Jersey. Den verkliga webbplatsen har adressen "www.njtransit.com". Men det finns även en webbplats med adressen "newjerseytransit.com". Denna ser vid första anblicken ut att vara riktig, men det är den inte.
- Webbplatsen "deltaair.com" ser ut att höra hemma hos Delta Airlines, men det gör den inte. Deltas domän är "delta.com" numera; förr var den "delta-air.com".
Om man skriver in en internetadress för hand, i stället för att använda Favoriter/Bokmärken, är det lätt att skriva fel. Detta är anledningen till att man reserverar vanliga felskrivningar av populära webbadresser. Läs mer om detta i The Typo Millionaires av Paul Boutin i Slate, från 11 februari 2005.
URL-trick
- Varje länk som leder till en IP-adress i stället för ett namn är misstänkt. Lita till exempel aldrig på en länk som går till "http://218.36.71.193" i stället för "http://www.citibank.com".
- Texten som visas i en länk behöver inte vara länkens verkliga mål. Vi tar länken http://www.supportdata.net/ som exempel. Denna länk leder verkligen till SupportData.Nets startsida. Men det finns ingen regel som säger att den text som visas är korrekt. När man pekar med musen på länktexten, visas länkens mål ibland i statusraden men...
- ... så behöver det inte vara. Jag skrev ibland ovan därför att man aldrig kan lita på det som visas i statusraden. Både webbsidor och e-brev kan använda JavaScript och/eller DHTML för att få statusraden att visa vad som helst. Vi tar länken http://www.supportdata.net/ som exempel. Den leder till SupportData.Nets startsida, men om du pekar på länktexten kommer statusraden felaktigt att visa att länken leder till Microsoft.
Följande är kod från ett verkligt exempel på detta i ett phishing-brev:
<a href="http://www.uas-va.org/.suntrust/" onMouseOver= "window.status='https://internetbanking.suntrust.com';return true;"
onMouseOut="window.status=' '; return true;">
https://internetbanking.suntrust.com</a>
Den här länken leder till "www.uas-va.org" men ser i statusraden ut att gå till "internetbanking.suntrust.com". Jag är inte säker, men det verkar som om även "uas-va.org" var offer i det här fallet, genom att deras webbplats utsatts för hacking och utan deras vetskap användes i detta phishing-upplägg.
- Normalt tittar vi på domännamnet alldeles efter "http://" för att få veta vart länken leder. Det finns emellertid två situationer där länkens verkliga mål inte följer omedelbart efter de båda snedstrecken. Den ena gäller länkar till säkra webbplatser, där länken innehåller användarnamn och/eller lösenord för att man inte skall behöva skriva in dessa för hand. I det andra fallet handlar det om omdirigering (se 5 nedan).
I de båda URL:erna nedan ser vi att användarnamn och lösenord för en säker webbplats eller webbsida följer omedelbart efter de båda snedstrecken. Först kommer användarnamnet följt av ett kolon, sedan lösenordet följt av ett snabel-a och slutligen webbsidans adress.
I länken nedan är "microsoft.com" användarnamnet medan "windows" är lösenordet, och länken leder till en webbsida på IP-adressen 119.77.66.88 (tricket från punkt 1 ovan). Det råder ingen tvekan om att många som ser detta tror att de kommer att hamna på Microsofts webbplats.
http://microsoft.com:windows@119.77.66.88/fileabc.html
I länken nedan finns inget lösenord. Den ser ut att gå till Citibank, men leder i själva verket till "www.scammerwebsite.com"
http://www.citibank.com@www.scammerwebsite.com
Vad gör då bedragarna med dessa användarnamn och lösenord som finns inbäddade i den här typen av länkar? Troligen ingenting. Eftersom webbsidorna och webbplatserna inte är säkra, saknar lösenorden betydelse. De finns till bara för att lura dig. Ett exempel från verkligheten:
http://billing%2Eearthlink%2Enet%01%00@artcraft.or.kr/board_old/icon/Type08/
- Det andra fallet där den verkliga internetadressen inte följer omedelbart efter de båda snedstrecken handlar om omdirigeringstjänster. Yahoo, Google, Citibank och säkert även andra fullt legitima webbplatser har omdirigeringstjänster som ursprungligen var tänkta att användas av dem själva. Jag tänker inte här gå in på varför de skapades eller hur de fungerar. Det viktiga, när det handlar om bedrägerier, är att när dessa tjänster används hamnar den verkliga webbadressen i slutet av länken, inte i början. Ett exempel:
http://rd.yahoo.com/b5y7ix88/*http://www.scammerwebsite.com/
När man använder "rd.yahoo.com" i stället för "www.yahoo.com" utnyttjas Yahoos omdirigeringstjänst. Det verkliga målet följer efter asterisken. Bedragarna drar här fördel av Yahoos goda namn – länken ser ut att leda till Yahoo, som är en webbplats med gott rykte, men går i själva verket till en annan webbplats. Längre ned visas exempel på länkar som verkar gå till Google och Citibank men inte gör det.
- Exemplet nedan är hämtat från ett verkligt phishing-brev – det är uppdelat på flera rader för att det skall bli enklare att läsa. Här används Yahoos omdirigeringstjänst (uppenbarligen en europeisk variant) och länken är avsiktligt så lång att slutet inte kan visas i webbläsarens statusrad.
De försök jag har gjort visar att uppgifterna mellan "rd.yahoo.com" eller "eur.rd.yahoo.com" och det verkliga målet kan bestå av vad som helst. Tjänsten tycks arbeta direkt på asterisken – resten är bara utfyllnad. Länken leder i själva verket till "phamrnes.com"
http://eur.rd.yahoo.com/puc\implore\steed\referendum\gossamer\
cepheus\compatible\missy\oathe\import\teahouse\parkish\stupefaction\
continual\sectoral\tore\daugherty\oscar\otis\vigilante\amplify\
hitchcock\apportion\bowie\downs\dam\polopony\chestnut\question\
can't\stumpy\abalone\regional\defensible\cheeky\indefensible\
placebo\clothesmen\bookstore\colorimeter\distortion\casebook\suffrage\
cardiac\dish\minicomputer\bourgeois\ellwood\colby\montgomery\suppress\
atlanta\refract\adventurous\colleague\clot\inattention\pierre\hyperbolic\
*orographic\hTtP:\\2W04v375z81i.phamrnes.com/gp/iNdeX.ASP?id=BW
- Här ser vi ytterligare ett exempel på en länk som ser ut att gå till Yahoo:
http://yahoo.com-yahoo.com.ph/click.php?id=lxenyee
Den här länken leder i själva verket till en filippinsk webbplats som heter "com". Den verkliga adressen är alltså "com.ph", där "ph" representerar landet. Allt som står till vänster om "com.ph" är till för att du skall luras att tro att du kommer till Yahoo, vilket gör att du litar på länken och klickar på den.
- Man kan gömma webbadressen genom att använda ASCII-kod. Ett par exempel:
http://%32%31%31%2E%32%38%2E%31%35%35%2E%32%31%30
som i avkodat skick blir "http://211.28.155.210"
och
http://%32%34%2e%37%36%2e%38%39%2e%36%34:38/
%63%69%74/%69%6E%64%65%78%2E%68%74%6D
som i avkodat skick blir http://24.76.89.64:38/cit/index.htm.
Dessa båda adresser är exempel från verkligheten. Undvik alla webbplatser som gömmer sin verkliga adress på det här sättet.
Karen Kenworthy har skrivit ett gratisprogram som avkodar den här typen av adresser. Se Karen's URL Discombobulator. Till sitt nyhetsbrev från 9 oktober 2003 skapade hon exemplet nedan. Det kombinerar ASCII-tricket med användarnamn/lösenords-tricket som beskrevs under punkt 4 ovan.
http://www.microsoft.com%40%49%77%61%6E%74%54%6F%53%74
%65%61%6C%59%6F%75%72%4D%6F%6E%65%79%2E%63%6F%6D
För den som inte är så insatt ser det här ut att vara en länk till microsoft.com, men i själva verket leder den till den påhittade webbplatsen "IwantToStealYourMoney.com".
- Följande URL kombinerar två trick för att gömma det verkliga målet. Även det här är en omdirigering – den använder en tjänst från Citibank.
http://www.citibankonline.com/domain/redirect/
cbna/global_nav/myciti.htm?BVP=/&M=S&US&_u=visitor&
BVE=HT%54p%3a%2f%2fkdsass40e.com*20022%2E%64a%2eR%75
I det verkliga phishing-brevet var det här en enda lång URL, men här har den delats på flera rader för att bli läsbar. Domänen "citibankonline.com" hör verkligen till Citibank. Precis som när det gäller Yahoos omdirigering börjar URL:en på Citibank, men den slutar inte där. Även här ligger den verkliga adressen i slutet.
Bedragarna nöjer sig inte med en enda nivå av omdirigering. De har gömt adressen genom att ersätta en del av tecknen (inte alla) med deras ASCII-motsvarigheter. I URL:en ovan lyder texten efter BVE i sista raden i själva verket så här:
http://kdsass40e.com*20022.da.ru
Detta leder till webbplatsen "da.ru" i Ryssland.
- En phishing-bedragare kan gömma sin webbplats genom att utnyttja en icke-standardiserad port. Varje dator som håller med en webbplats förväntas lyssna på port nummer 80 efter frågor av typen "visa mig webbsidan med namnet abcd.html". På serverdatorer fungerar detta oavbrutet. Men hemdatorer som kör ett webbserverprogram kan finna att internetleverantören blockerar port 80. För att komma förbi denna IP-blockering, kan phishing-bedragaren lyssna på en annan port än nummer 80 – vanliga alternativ är 81 och 8080. Följande verkliga URL är ett exempel på detta:
http://70.179.190.108:8080/login.personal.wamu.com/
Datorn finns på IP-adressen 70.179.190.108 (detta sätt att gömma sig nämndes under punkt 1 ovan). Kolon efter IP-adressen innebär att den följs av ett portnummer. 8080 är det portnummer som webbserverprogrammet lyssnar på.
- Slutligen ett exempel på Googles omdirigeringstjänst:
http://www.google.com/url?q=http://www.google.com/url?
q=http://%6a%66%6b315%67%66%67%252e%44%61%252e%72%75%252f?
;%744%72%6e%592%59%67%54%54%4f%4f%617%502%4e3%48%77
Vid första anblicken verkar det här leda till Google – den verkliga adressen är den avslutande delen som ser ut att vara skräp men inte är det. Karen's URL Discombobulator översätter ASCII-koden på slutet till:
http://jfk315gfg.Da.ru/?t4rnY2YgTTOOa7P2N3Hw
Det vill säga samma webbplats som i exempel 8.
Följande exempel ur verkligheten utnyttjar samma Google-omdirigering men är betydligt mer komplicerat:
http://www.google.com/url?q=http://www.google.com/url
?q=http://www.google.com/url?q=%%%3348%%374%%354P:
//obusek93vf%%32E%%%3364a.%%372u%%32f%%3%33F1ct0r651
dy75r0o1sgRWR13Eqpq5fs
Adressen är så invecklad att en äldre version av URL Discombobulator misslyckades med den. I mars 2004 släppte emellertid Karen Kenworthy en ny version (1.8.2) av URL Discombobulator, och programmet klarar nu även det här speciella bedrägeriförsöket. I sitt nyhetsbrev från den 3 mars 2005 diskuterar Karen i detalj den här metoden.
Webbläsarbuggar
En viktigt anledning till att klickandet på en länk i ett e-brev inte alltid leder till den förväntade webbplatsen är buggar i webbläsaren. E-postprogram utnyttjar ofta webbläsaren för att visa HTML-formaterade e-brev, vilket gör att bedragarna kan använda sig av buggar i webbläsaren. Som exempel är Outlook och Outlook Express beroende av Internet Explorer. Andra buggar leder till att webbläsarens adressrad visar fel adress för den webbsida du besöker.
Några buggar i webbläsare
- Microsoft Confirms IE Phishing Flaw eWeek, 23 februari 2005. Microsoft bekräftade att Internet Explorer innehåller en bugg som öppnar dörren för URL-spoofing (förfalskade, slumpmässiga adresser). Den här luckan kan användas för att förfalska adressen till popup-reklam och har bekräftats på ett fullt uppdaterat system med IE6 och Windows XP Service Pack 2.
- Browser URL Spoofing Vulnerability av Patrick Douglas Crispen, 16 februari 2005. Firefox v1.0 har en bugg som tillåter spoofing på den visade URL:en. Artikeln länkar till en testsida och innehåller uppgifter om hur Firefox kan rättas till. Buggen lär vara borta i Firefox version 1.0.1.
- Internet Explorer Handling of %20 Allows Spoofing från SecuriTeam, 17 januari 2005
- En spoofing-lucka har upptäckts i Internet Explorer, även på ett fullt uppdaterat XP-system med IE 6.0 och Service Pack 2. Denna bugg gör det möjligt för bedragare att visa en falsk webbsida med alla egenskaper hos en äkta säker webbplats, inklusive URL och ikonen som visar på SSL-säkerhet. New IE Exploit Spoofs Web Sites i eWeek den 17 december 2004. Secunia har ett online-test som du kan använda för att undersöka om din version av Internet Explorer är mottaglig för denna bugg. Firefox påverkas däremot inte.
- Internet Explorer/Outlook Express Restricted Zone Status Bar Spoofing av Secunia, 29 oktober 2004. En bugg i Internet Explorer 6 kan utnyttjas för att genom förvrängda URL:er lura besökare till skadliga webbplatser. Detta påverkar även Outlook Express 6.
- Internet Explorer Address Bar Spoofing Test av Secunia visar hur IE kan utnyttjas för att visa fel URL i adressfältet. Så sent som den 30 september 2004 fanns ingen fix för detta från Microsoft. Firefox 1.0PR har inte detta problem.
- I december 2003 upptäcktes en bugg i Internet Explorer – den gör att bedragare kan gömma den verkliga webbsidesadressen genom att lägga till %01 före @-tecknet i en URL.
- Den 11 juni 2004 hade PC World en artikel om nya buggar i Internet Explorer. Artikeln beskriver hur bedragare kan ladda skadliga sidor medan adressfältet visar adressen till en legitim sida – jag vet inte om denna bugg är fixad. Genom den här buggen kan webbsidans verkliga adress döljas av ::/, som placeras framför den verkliga adressen.
|