Phising mail er forsøk på å lure fra deg ditt brukernavn og passord. Ved å kopiere opp seriøse nettsider.
Denne saken her startet med at jeg advarte mot en falsk telenor side i forrige uke.
Denne advarselen var enkel og grei forklart. Derfor tok flere medier saken:
Dinside samarbeider med dagbladet og tek med vg.no derfor gikk artikkelen på forsiden på begge avisene denne uken. Jeg skrev også om saken. Så budskapet til den falske siden nådde ut til mange fort. Svindlerne også åpenbart. I dag fikk jeg en tips om en mail som advarte om telenormailen,
Teksten er som følger:
En falsk Online -side spres via e-poster, som prøver å lure til seg brukernavn og passord.
Kjære kunder,
Det sirkulerer nå en svindel-e-post der mottakerne oppfordres til å logge inn på en falsk Online -side.
– Den falske Online -siden […] spres nå via eposter som prøver å lure til seg brukernavn og passord.
Vi prøver å få tatt ned siden så fort som mulig, skriver Telenor Security Operation Centre (TSOC) på sin Facebook-nettside, etter å ha blitt tipset av sikkerhetsnettstedet Datahjelperne, som oppdaget e-posten i omløp.
Oppdater kontoinformasjonen din herfra.
Trykker du på denne linken om å oppdatere blir du sendt til en falsk telenor side igjen som jeg advarte mot første gang.
Så hvor stammer dette ifra? Hvor er kilden? Det skal jeg prøve å finne ut av nå. Jeg har fått tilsendt mailhode på mailen og da kan finne mye mere å grave etter.
Telenor bildet som du ser i artikkel er stjålet fra Amfi orkanger. Det finner jeg ved å lete i koden på eposten.
Bildet til linken finner du her. Videre så er jo ikke avsender telenor. Jeg sjekker mailhodet på mailen og der finner jeg andre avsendere.
Det har gått ut flere mail av denne typen, men i dette tilfelle så leder det meg til epost: sendimgoooistein@vpswhm.iamallama.com
Mailnavnet er ganske spesielt så det googler jeg og da får jeg 1 treff.
Jeg går inn på nettsiden og finner følgene.
Jeg blir sendt til en isp eller nettverks leverandør i nederland som eier dette domene. Videre så tar jeg ett ip søk på adressen jeg fikk.
Men dette er nok til leverandøren. Så dette kan ikke spores til ett annen person eller firma.
Sjekker jeg whois på nettsiden. Der finner ut at de som hoster siden er tucows.
Hos tucows er alt hos eier skjult.
Så der kommer jeg til kort. Det neste jeg kan sjekke da er nettadressen du blir sendt til: https://mailpageto.game-host.org/online/home/alpha/help/folder/kamali/server/online/telenor-E-post/
Jeg har ikke gjort den trykkbar av åpenbare årsaker. Siden skal være tatt ned, men her går du inn på eget ansvar.
Igjen så går digital ocean igjen som eier.
Her finner jeg ikke de eier domene på whois. Da svindelsiden er tatt ned ser jeg i etterkant.
Når nettstedet mitt og merkevaren min er blitt så sterk at den misbrukes i svindel. Så bør det være bra med tanke på kildesjekking og merkevare, men dårlig fordi jeg må forklare hvorfor datahjelperne misbrukes og jeg må bruke tid på å advare.
Så da kommer det store spørsmålet. Først så advarte jeg mot telenor svindel. Advarselen blir brukt til phishing. Blir så advarsel om advarselen brukt igjen? Det gjenstår å se, men her har jeg i allefall forsøkt å leke litt detektiv og nøste opp i følgene.
- Telenor er ikke avsender i mail. Mail er forfalsket eller spoofet.
- På grunn av min advarsel så utnyttet svindlererne varselet gang til nok en gang lede til en falsk telenor side. Igjen via email.
- Nettadressen er også falsk
- På svindelsider så må du se etter logofeil.
- Knapper og linker går somregel ikke ann å trykke på.
- Det er ofte andre designfeil på svindelsider.
- Disse svindlerne som utnyttet siden min er tydeligvis internationale, med tanke på hvor servere og selskaper de utnytter.
Dette er det jeg har klart å nøste opp i på en kveld, men med mere kunnskap og lengere tid kunne jeg kanskje funnet mye mere.
For andre artikler se her, også sjekk ut oss på sosiale medier Facebook og Twitter.