Dette indlæg blev udgivet i Blog den af .

Phishing angreb rammer hosting branchen

Gennem de seneste måneder har hosting branchen oplevet en kraft stigning i phishing forsøg. Det kan have store konsekvenser for hosting kunder, når disse phishing forsøg bliver rullet ud i stor stil. I denne artikel går vi lidt mere i dybden på phishing og hvordan man risikerer at blive snydt, hvis man ikke er særligt opmærksom.

Hvad er phishing?
Phishing er en betegnelse, der bliver brugt, når ondsindede bagmænd forsøger at “fiske” ens kreditkortoplysninger. Med andre ord udgiver nogle sig for at være en kendt virksomhed ved at kopiere deres hjemmeside og mails. Det kan også ses i SMS form, hvor betegnelsen smishing bliver brugt.

Hvordan foregår phishing?
Kriminelle køber ofte et domænenavn, der ligger tæt op af den virksomhed, de gerne vil snyde. Hvis vi bruger one.com som eksempel, så kan det være, at der registreres et domæne, der hedder one-hosting.com. På dette domæne kopierer de one.com’s login side til kontrolpanelet, hvilket giver brugeren en falsk tryghed om, at det er reelt. Nu starter det reelle svindernummer. Bagmændene sender nu en falsk mail til en lang række email adresser, hvor emnet kunne være noget i stil med “Handling påkræves! Dit domæne er udløbet!”. Det sætter straks en chokreaktion i gang ved modtager, og de glemmer derfor typisk at være kritiske. Mange vil derfor falde i fælden og klikke på linket i mailen, hvor der fx står “Betal nu”. Du bliver nu ført videre til den falske hjemmeside, der er registreret, og hvor du bliver mødt af en tro kopi af one.com’s hjemmeside. Derfor vil dine alarmklokker stadig ikke ringe. Du er nu klar til at logge ind, men formularen til at logge ind tjekker dog ikke reelt på dine login-oplysninger, så du bliver ført videre lige meget, hvad der indtastes i felterne. Her har bagmændene allerede fået den første information i form af din mail samt kodeord, men det er ikke den vigtigste information, de forsøger at stjæle.

Næste del af processen er nemlig at få dig til at betale den falske faktura. Du bliver mødt af et betalingsvindue, som typisk også er kopieret direkte fra den betalingsgateway, som din udbyder benytter. Det kan være Quickpay, Bambora, Stripe eller lignende. Dermed ser det fortsat troværdigt ud, og du indtaster dine kreditkort-oplysninger. Afhængig af svindelnummerets omfang kan du endda blive bedt om at validere med Mit ID, men denne del vil typisk fejle. Skaden er dog allerede sket, da bagmændene har fået dine kreditkortoplysninger. Et par dage efter opdager du, at der måske er hævet 5.000-10.000 på din konto, og bankerne kan sjældent nå at stoppe overførslerne. I de fleste tilfælde vil banken dog dække dine tab og i særdeleshed hvis du kan dokumentere, at du har været udsat for et phishing forsøg.

Hvordan undgår man phishing fælden?
Der er generelt nogle gode tips til, hvordan du kan undgå at blive ramt af svindelnummeret. Her får du vores bedste råd…

  • Log ind hos din udbyder og tjek, om der rent faktisk ligger en ubetalt faktura i deres kontrolpanel. Hvis ikke, så er mailen falsk.
  • Skriv til din hosting udbyder, hvis du er i tvivl. De vil kunne be- eller afkræfte, om der er en ubetalt faktura
  • Tjek om afsender-mailen stemmer overens med afsender. Hvis nogle udgiver sig for at være one.com, så bør det komme fra en mail, der slutter på @one.com. Kommer det fra @one-hosting.com bør du være varsom.
  • Hold musen over linket i mailen. Går det ind til one.com eller går det ind til et mistænktsomt link. Det kan både være til one-hosting.com eller link-tjenester som bit.ly, rebrand.ly og lignende. Klik ikke på linket, hvis det ser mistænksomt ud.
  • Kontroller om sproget i mailen lyder troværdig. De fleste bagmænd kommer fra andre lande, og derfor vil sproget i mailen ofte bære præg af, at der er fejl i stavningen eller formuleringerne.

Med ovenstående tips vil du i de fleste tilfælde undgå at blive et offer for phishing. Skulle det alligevel ske, og du opdager det efterfølgende, så kontakt straks din bank og skift dine kodeord. Vi har brugt one.com i vores eksempel, men flere virksomheder i branchen har været ramt. Det gælder fx Simply, nordicway, DanDomain, cHosting, Webhosting m.fl. Det er som om, at der er rullet en bølge ud af disse mails de seneste par måneder. Typisk modtager man den samme mail, eller lignende mails, flere gange på få dage. Det er endnu et rødt flag i forhold til at spotte falske mails. Din udbyder vil typisk kun sende én mail og måske følge op nogle dage senere.

Phishing mails
Vi har også bemærket, at phishing forsøg bliver mere og mere avancerede. I den seneste bølge har bagmændene scannet hjemmesider for at finde mail-adresser, for derefter at slå domænenavnet op med en whois tjeneste, så de kunne sende de korrekte mails til kunderne. Har du derfor en hjemmeside hos one.com, hvor du i sidefoden har mailen kontakt@domaene.dk, så ville de opsnappe denne mail og sende en falsk mail med one.com som afsender. Endnu et trin i at gøre de falske mails enormt troværdige. Hosting virksomhederne vil typisk sætte advarsler på deres hjemmesider, når de opdager, at der kører mange phishing forsøg. I de værste tilfælde sender de også nogle gange mails ud til deres kunder med advarsler. Men eftersom phishing forsøg konstant udsendes, så kan advarslerne ikke køre hele tiden. Du har derfor selv som kunde et stort ansvar for ikke at blive snydt.

Phishing mails kan tage mange former, og vi kender det også fra andre brancher. Fx er streaming branchen med Netflix, HBO og lignende også ramt af dette. Her fiskes der også efter kontooplysninger i form af både login og betalingsoplysninger. Phishing mails er derfor noget vi ser på tværs af alle digitale brancher. Vi slipper nok aldrig helt for det, men det er en evig kamp mellem leverandører og kriminelle. Det bedste hosting virksomhederne kan gøre er derfor at uddanne deres kunder, ligesom vi forsøger det her. Vores bedste råd er derfor at være påpaselig og følge de 5 råd vi har givet ovenfor.

Du kan læse mere om phishing her – forbrug.dk