Slik svindler de med Nets
Ny fiskepost utnytter Nets. Vi bestemte oss for å bite på agnet. Det førte oss til Tsjekkia og en engelsk park.
Computerworld har nok en gang fått en epost som forsøker å fiske ut bankkortdata.
Denne gangen er det merkevaren Nets, tidligere BBS, som primært utnyttes.
Skurkene har blant annet rappet designelemeter fra Nets' norske side.
I tillegg spiller eposten på forvirringen som kan være rundt e-faktura, og har rappet logoen til efaktura.no.
Starter med epost
Vi bestemte oss for å sjekke litt rundt dette tilfellet i et anfall av god, gammeldags fredagsnysgjerrighet.
Svindelforsøket starter som vanlig med en epost.
Klikker du på lenken i eposten tas du til en adresse skjult bak et Tsjekkisk nettsted som ut fra rot-adressen gir inntrykk av å være et eiendomsselskap. Men ingen av undersidene til dette påståtte selskapet eksisterer.
Selskapet påstår på nettsiden å være tilknyttet britiske Foxtons og har til forveksling lik side, borttset fra at det er blandet inn litt tjsekkisk i tillegg til engelsk - og at logoen er byttet ut med en som matcher dette påståtte eiendomsselskapets nettadresse (som altså ikke er Foxtons.cz).
Vi må innrømme vi finner nettstedet svært mistenkelig. Domenet registrer på en konkret tsjekkisk person vi med rimelig stor sikkerhet har klart å spore opp via internett, uten at det behøver bety at han nødvendigvis står bak. Den fysiske adressen tiknyttet domenet tilhører en bar i storbyen Brno.
Sendes videre
Men brukere som klikker på lenken i eposten ser uansett ikke noe til dette påståtte eiendomsselskapet og heller ei denne baren. De sendes til en katalog på det tjsekkiske nettstedet, ./fox1/css.
Umiddelbart når de når denne mappen videresendes de til en undermappe hos et britisk nettsted, nettstedet tilhører en veldedighetsorganisasjon som kjemper for velværet til en park i London. Dette domenet og dets innhold ser ut til å være reelt, men det later til at de har blitt kompromittert på grunn av dårlig sikkerhet, så Nets-svindlerne har kunnet laste opp sitt innhold.
Siden ofrene for fiskeposten ser er ikke park-forkjempernes, men en kopi av Nets-malen ilagt eget innhold.
Firesifret fødselsnummer
Vi var vågale denne fredagen, og fyllte ut feltene med en fiktiv person for å se hvor det tok oss. Det bes om epost-adressen fullt navn, kortnummer (inkludert ord delings feil), utløpsdato, "Kortet sikkerhetskoden", "det hemmelige svaret" (hva enn det skal bety) og "VbV Bank Passord Sikkerhet" (der det vel siktes til Verified by Visa). Vi bemerker oss at feltet "fødselsnummer (11 siffer)" kun godtar 4 tegn lange svar.
Når vi klikker send, sendes vi til Nets' faktiske nettsider, nærmere bestemt til siden der presse kan laste ned bilder og logoer, av en eller annen grunn.
Det er skriptet re.php som sender oss dit. Hva dette skriptet gjør utover å videresende til Nets er vanskelig å si, men det må antas at de oppfangende dataene videresendes til skurkene før du videresendes til Nets.
Oppnøsting
Re.php og fiske-siden ligger i en undermappe hos den britiske parkforkjemperen, rett bak ./_siteadmin/LightForm/ - der Lightform er et gratis-skript for å sende kontaktinfo. Vi vet ikke hvorvidt det er skurkene som har hacket London-nettsteder eller London-nettstedet selv som har lagt inn denne mapppa.
Uansett, ved å google hele London-fiskeadressen finner vi treff i anti-svindelwebsiden Phishtank, der det viser seg at Nets tidligere også har blitt utnyttet på dansk på denne måten. Det havnet i Phishtanks database i slutten av mars.
Det danske fiskeforsøket har havnet i svartelistene, og du blokkeres av sikkerhetsmekanismer om du besøker den konkrete adressen via dagens nettlesere. Det norske forsøket har foreløpig ikke havnet i samme svartelister, men vi har varslet om forsøket til Google og Nets.
Kjennet til det
Nets’ informasjonssjef Stein-Arne Tjore kjente godt til svindelen da Computerworld slo på tråden.
- Er det den med efaktura i overskriften? Ja, den har vi sett. Den er ny, men vi har registrert den.
- Opplever dere slik ofte?
- Vi opplever dette fra tid til annen, og registrerer alt som blir meldt inn til oss. Vi anmoder de som opplever slike ting å melde fra så vi får kartlagt det og iverksatt tiltak.
- Hva gjør dere med slike saker? Her er det jo ikke noe problem å finne ut at en britisk side er kompromittert som har ført til utnyttelse av Nets både på dansk og norsk - er det noe dere tar tak i overfor sidens eier, eller er det utenfor deres mandat?
- Vi sier veldig sjeldent hvilke konkrete tiltak vi tar i slike saker. Hvis vi sier det, fører det til at de som er interessert i å utnytte oss kjenner til tiltakene også.