søndag den 11. november 2018

Der kommer nu færre phishing-mails om NemID

I et års tid har firmaet bag NemID, Nets, benyttet nye metoder til bekæmpelse af phishing-mails rettet mod danskere med NemID. 

39 % af danskerne har prøvet at få mails, som hævder at være fra NemID eller Nets, og som vil have dig til at uploade et billede af dit nøglekort, klikke på mistænkelige links og andre narretricks.

Den slags mails er der det seneste års tid kommet betydeligt færre af – faktisk er faldet så markant, at der på nemid.nu-domænet kun er blevet registreret 30 illegitime mails i år 2018, mod over 1.400 hele sidste år. Forklaringen hedder DMARC - ikke den tidligere tyske møntfod, men en teknologi, der frasorterer mails, der ikke er, hvad de giver sig ud for at være.

Kort fortalt er DMARC en teknologi, som alle NemID-relaterede mailservere er sat op til at understøtte. Det samme gør næsten alle større mailudbydere, og med DMARC sat op, har man et effektivt våben mod e-mail-phishing.

DMARC er en standard, hvor både modtager og afsender af en mail automatisk samarbejder om at tjekke, at mailen ikke er sendt fra en svindler, og at der ikke er ændret i den, efter den forlod afsenderens server.

Flere danske maildomæner har allerede DMARC slået til, og Nets har siden begyndelsen af 2017 arbejdet aktivt med at bruge teknologien til at gøre livet sværere for de kriminelle.
De mange phising-mails bruger nemlig oftest teknikker, så de ser ud til at komme fra et officielt NemID-domæne, f.eks. nemid.nu. Ofte indeholder de falske mails officielle logoer, og svindlerne er de senere år blevet bedre og bedre til at skrive dansk.

Det kan gøre det svært at skelne mellem ægte mails og dygtigt udførte falske mails. Her skræller DMARC phishing-mails fra, som foregiver at være afsendt fra et NemID-domæne. Det betyder, at stort set alle svindelforsøg, der ser ud til at stamme fra nemid.nu, er forsvundet. De falske mails fra NemID-domæner bliver enten slettet eller ryger i spam-mappen, og Nets får besked om mailens eksistens.

"Vi kan se, at mængden af sager, vi håndterer, hvor danskere er kommet galt afsted, er faldet dramatisk," siger John Christensen, Head of NemID Business Development. Han fortsætter:

"Det er også vores forventning, at den øgede brug af NemID-nøgleappen vil reducere antallet af phishing-sager yderligere, da færre danskere vil lade sig overliste til at uploade et billede af nøglekortet."

Siden Nets trykkede på startknappen sidste sommer, er sådanne sager faldet med 90 % – og systemet har også en præventiv effekt, fordi svindlerne ofte kommer til at eksponere sig selv, hvorefter der ofte følges op fra deres mail-udbyder, der kontakter dem.

Det har vist sig, at mange mails også bliver sendt fra lande som Ukraine eller Indonesien - men selv om DMARC forhindrer massevis af falske mails i at nå frem, når nogle stadig igennem. Modtagerne skal derfor stadig være på vagt.

Udover at Nets bruger DMARC til at reducere phishing, har flere banker været i gang. Bankernes brancheforening, Finans Danmark, har slået til lyd for, at DMARC-implementering bliver gjort til en national ambition, fordi det er så effektivt. Denne anbefaling bakkes også op af Center for Cybersikkerhed og DK Hostmaster, der administrerer den danske del af internettet.

Udover DMARC findes de lignende teknologier DKIM og SPF til samme formål. Både Google og Microsoft benytter teknologierne i deres e-mailtjenester.

Læs om NemID, phishing og hacking og hvordan man sikrer sig mod det, i min bog, Bliv sikker på nettet, på siderne:

Side 231-239: Kapitel 17 - NemID og hacking

Med venlig hilsen

Lars Laursen, forfatter til bogen "Bliv sikker på nettet - PC- og onlinesikkerhed."

Kilde: NemID tilfredshedsmåling 2018, Digitaliseringsstyrelsen og Nets.

fredag den 2. november 2018

En hackerkampagne om kompromitterende video og foto

Afpresnings-e-mailen på engelsk. Der anmodes om $834 i bitcoin for at slippe for, at andre får kendskab til det kompromitterende foto af dig.

I juli 2018 var der en afpresningskampagne foretaget af hackere, der angiveligt med
spyware har optaget en kompromitterende video af pc-brugeren via pc'ens kamera, mens brugeren så pornovideoer og -billeder på pc'en. For at undgå,at videoen skulle spredes til pc-brugerens familie og andre personer i e-mailkontaktbogen, skulle der betales en sum på flere tusinde kroner. Som bevis oplystes en adgangskode, som pc-brugeren engang har anvendt på en webtjeneste, der har haft et datalæk af brugerkontooplysninger. Hackeren udnyttede, at mange mennesker benytter den samme adgangskode på flere websteder og til e-mail. 

På engelsk kaldes dette fænomen for sextortion, hvilket er en sammentrækning af ordene "sex" og "extortion" (sexafpresning).  

Kampagnen fortsætter nu i oktober og november 2018 med visse ændringer. Der synes at være flere hackere, der udsender lignende mails, og der oplyses ikke mere en adgangskode, men at brugerens internetrouter er blevet blevet hacket og spyware overført til pc'en. E-mailen er tilsyneladende sendt via pc-brugerens egen hackede e-mailkonto, og hackeren skriver, at ændrede adgangskoder til mailkontoen automatisk opsnappes af spywaren. Så selvom e-mailkontoens adgangskode ændres, får pc-brugeren til stadighed sendt sådanne afpresningsmails via den. Desuden har hackeren angiveligt uploadet indholdet af din harddisk med billeder og dokumenter til en server, så han har en kopi af alle data. Betales ikke inden for 50 timer, blokeres brugerens pc og familie og venner får tilsendt et kompromitterende billede af brugeren foran pc'en. 

Nogle har måske følt sig ramt og betalt hackeren det krævede beløb i den digitale valuta bitcoin. Men uanset hvad findes der ingen video, og den bliver ikke sendt til familie, venner og kollegaer. Hackeren har ikke en kopi af dine filer, og e-mailen sendes fra ikke fra din egen e-mailkonto, men fra f.eks. Tunesien med din e-mailadresse som afsender. Man kan roligt ignorere e-mailen.  

Som det ses på billedet foroven og forneden af de nye hacker-e-mails, er teksten ændret lidt i forhold til tidligere og forekommer endda på japansk. 

Dette er et eksempel på phishing og afpresning, som ikke har hold i virkeligheden, men som alligevel kan være svær at slippe af med.

Du kan gå til hjemmesiden Have I Been Pwned for at tjekke, hvilket datalæk du har været udsat for. Her kan du angive en e-mailadresse og få oplyst om den er kompromitteret. Hvis du stadig benytter den nævnte adgangskode fra det kompromitterede websted nogle steder, bør du ændre den til noget andet. Den e-mailadresse, der blev anvendt i ovenstående hacker-e-mail fik afsløret sin adgangskode ved et datalæk hos linkforkortelsestjenesten bit.ly i 2015. Siden har hackere købt og downloadet store mængder brugerkontooplysninger fra hackeren bag lækket. 

I bogen "Bliv sikker på nettet" kan du finde oplysninger, som kan sætte dig i stand til gardere dig mod denne type angreb:

Side 200-203: Social engineering - sociale narreteknikker.
Side 361-366: Hackeres tyveri af log-ind-oplysninger fra hjemmesider.
Side 366-367: Tjek om dit brugernavn og adgangskode er blevet hacket.
Side 377-383: Valg af gode adgangskoder for at styrke sikkerheden.

Link: Version2 om samme svindelnummer (dansk): Bagmænd tjente 32 millioner på det.
Link: IT-sikkerhedseksperten Brian Krebs om svindlen (engelsk): Sextortion Scam.

Lars Laursen, forfatter til "Bliv sikker på nettet - PC- og onlinesikkerhed".

P.S. Se også nedenstående japansksprogede hackermail:


En lignende hackerafpresningsmail på japansk. Her bedes om $816 i bitcoin.
Ovenstående japansksprogede e-mail kan via tjenesten Google Translate oversættes til engelsk med følgende tekst:

Hello!

I am a hacker who cracked your email and devices several months ago.

You entered your password on one of the sites you visited. I intercepted it.

Of course, you can change it or change it already.But that is not a problem, my malware has updated it every time.


Please do not contact me or try to find me. That is impossible. Since I sent you an email from your account, XXXX.

Through your e-mail, I uploaded malicious code to your operating system.

I saved all of your contacts with friends, colleagues, relatives and saved a complete history of visits to internet resources.

Also installed Trojan horse on your device.

You are not my only victim, I usually block the device and ask for ransom.


However, I was shocked by the frequently visited intimate content site.
I am shocked by your illusion! I have never seen something like this!

So when you enjoy on the site (you know what I mean!)


I made a screenshot using the program of your camera. After that, I combined them with the contents of the site currently being viewed.

Sending these photos to your contacts is wonderful.

But I am sure that you do not want it.

Therefore, I am expecting payment from you for silence.

I think $816 is a good price! Pay via Bitcoin. My BTC wallet: 1DbTMUuhB1XPJ2ktxKygDbrXypGofuHhq6

If you do not know how to do this - enter "How to transfer money to BTC Wallet" to Google. It is not difficult.


Upon receipt of the specified amount, all compromised materials are automatically destroyed. My virus will also be deleted from your own operating system.

My Trojan has an automatic alert. I will receive a message after reading this mail. I will give you two days for payment (exactly 48 hours). If this does not happen - all your contacts will get a crazy shot from your dark secret life!


Your device will be blocked so that you will not interfere (also after 48 hours)

Do not be stupid! Police and friends will definitely not help you ...


p.s. I can give you future advice. Please do not enter password for unsafe sites.


I am wishing for your cautiousness.

Farewell.