IKKE APPLE: Selv om det vitterlig står apple.com i adressefeltet, er ikke denne siden fra Apple. Hvordan det fungerer kan du lese lenger ned. Foto: Pål Joakim Pollen
IKKE APPLE: Selv om det vitterlig står apple.com i adressefeltet, er ikke denne siden fra Apple. Hvordan det fungerer kan du lese lenger ned. Foto: Pål Joakim PollenVis mer

Svindelen som er nesten umulig å oppdage

Må vi snart bare slutte å klikke på lenker?

Nå kan det bli enda vanskeligere å skille svindel fra legitim e-post.

Er du en fast leser av Dinside, har du sikkert fått med deg at vi fra tid til annen advarer mot svindel-e-poster.

Senest for et par uker siden, da svindlere begynte å sende ut en haug av e-poster som angivelig skulle være fra Apple. Om du klikket på lenka i e-posten, kom du til en side nærmest prikk liks Apples variant, og da er veien kort til å taste inn brukernavn og passord og dermed gi det bort til uvedkommende.

Vi har også advart om at nordmenn må passe ekstra godt på, fordi språket i disse e-postene begynner å bli helt prikkfritt. Vi mistenker at svindlere nå har begynt å kopiere legitime e-poster fra store selskaper som Apple, PayPal, Facebook, Netflix og andre, der alt som endres er nettsiden lenka peker til. Ja, til og med norske oversettere får oppdrag om å oversette svindel.

En ting du alltid må sjekke

Heldigvis har det alltid vært én ting du kan ta dem på; nemlig å se ekstra godt på adressefeltet i nettleseren din, eller holde muspekeren over lenka i e-posten. De falske sidene har nemlig en helt annen nettadresse – i bildet under ser du for eksempel hvordan det så ut da Apple/Eplehuset ble misbrukt av svindlere nylig:

LURELENKE: Her ser du e-posten og lenka den viste ofrene videre til, fra Eplehusets egen advarsel mot phishingen. Holder du musepekeren over vil du raskt se at den ikke viser til apple.com, slik det ser ut som. Foto: Eplehuset Vis mer

Om du ser i adressefeltet etter å ha klikket på en slik lenke, er det heldigvis enkelt å se at det ikke stemmer. Apple hadde neppe brukt en nettadresse som educacao.synapsis.org for å gi kundene sine muligheten til å nullstille passordet.

Nei, for de hadde jo heller brukt apple.com, ikke sant?

Trykk på lenka du nettopp passerte (gjerne i en ny fane). Kom du ikke til Apples nettside, altså? Men i adressefeltet i nettleseren din stod det da vitterlig apple.com*?

Nei, det gjør ikke det. Her er nemlig nettadressen skrevet med det kyrilliske tegnsettet og ikke det latinske. Den egentlige nettadressen til siden er https://www.xn--80ak6aa92e.com/.

*Klipper du ut det og limer inn i adressefeltet, «oversettes» det av nettleseren din til apple.com; vel å merke om du bruker Chrome, Firefox eller Opera. Safari og Microsofts nettlesere oversetter ikke slike URL-er.

Slik ser det ut for de som bruker de nevnte nettleserene:

Nettsiden er laget av den kinesiske webutvikleren Xudong Zheng, som et «proof-of-concept» på hvordan dette fungerer. Og vi kan vel være skjønt enige om at det bare vil være et spørsmål om tid før slike URL-er begynner å dukke opp i svindel-e-postene, og at de kommer til å peke til nettsider som er praktisk talt identiske med den legitime siden.

Derfor skjer det

Når en nettadresse er kodet på denne måten, benytter den seg av det såkalte Unicode-tegnsettet; et stort bibliotek over ulike tegn fra en rekke tegnsett, som nettleseren din oversetter til ASCII. Det er den samme mekanismen som tillater oss nordmenn å registrere .no-domenenavn med æ, ø og å i. Også emoji-ikoner er en del av Unicode-tegnsettet.

Konseptet kalles «punycode» og standard i både Chrome, Firefox og Opera er at dette ikke vises, men oversettes.

AVSLØRT: Ved å bruke utviklerverktøyet i Chrome, kan vi se den egentlige adressen til nettsiden, men det trikset er det neppe mange som kan. Skjermdump: Pål Joakim Pollen Vis mer

Ifølge Fortune, har Zheng meldt i fra om svakhetene, og mottok blant annet 2.000 dollar fra Google, som gladelig premierer folk som finner slike ting. De har allerede laget en fiks som sannsynligvis vil komme i neste Chrome-oppdatering; i løpet av april.

Mozilla, som står bak Firefox, har fortsatt ikke avklart hvordan de skal løse problemet. Men bruker du denne nettleseren, kan du fikse det selv ved å taste inn about:config i adressefeltet, trykke deg forbi advarselen og så søke etter punycode i søkefeltet. Innstillingen står standard som «false» (altså at slike URL-er oversettes), men ved å dobbeltklikke på den setter du den til «true» slik at slike URL-er ikke oversettes.

Så - hvordan unngår du det?

Vi skal innrømme at vi sannsynligvis kunne ha gått på en slik variant av e-postsvindel selv.

Rådet må derfor være som følger:

Dersom du får en e-post som ber deg om å logge på for å endre noe, verifisere informasjon eller lignende, bør du la være å klikke på lenkene i den, og heller åpne siden manuelt i nettleseren din og logge på som vanlig.

LES OGSÅ:
Hackerens beste råd
Slik logger du ut andre fra din konto
Mer enn passord: Slik sikrer du kontoen din med tofaktorautentisering