Den attack som Nordea utsattes för går som bekant under
ordet phishing. En attackform som knappt någon kände till 2003. Det
var först 2004 som attackformen fick ett genomslag och ordet
phishing blev bekant. Idag är ca 5% av all mejl är ett phishing
försök.
Till Nordeas försvar skall nämnas att det inte finns någon
heltäckande lösning på problemet. Det som dock förvånar mig är att
man inte vidtagit en av de enklare åtgärderna, nämligen att
tillföra SPF-information till domänen (se tidigare krönika i CS för
detaljer). Det hade inneburit att en ansenlig mängd mottagare med
automatik sorterat bort mejlet eftersom det kom från en icke
godkänd IP-adress. Nordea är inte unikt i just detta avseende.
Merparten av aktörerna i finanssektorn saknar SPF-information i
sina domäner trots att 85% av alla phishingförsök riktar sig mot
just den sektorn.
För att en phishing attack skall bli lyckosam krävs det att några
delar av en promille går på phishingförsöket. De som vuxit upp med
webb, mejl, Internet etc är med andra ord inte den primära
målgruppen eftersom de också i allmänhet lärt sig att man måste
vara källkritisk och att bedrägerier är vanligt förekommande.
Målgruppen är snarare den mängd hemmaanvändare som inte arbetar med
datorer dagligdags och som tyvärr inte alltid fått de grundläggande
kunskaperna som försvårar bedrägerier och missbruk.
Media, inte minst de med gott anseende, har en otroligt viktig
roll att fylla. De skall inte bara rapportera sanningsenligt, utan
också bidra till att öka förståelsen för den nya tekniken. Största
felet är att man allt för ofta försöker uttrycka sig på ett sådant
sätt att man varken är sanningsenlig eller bidrar till att öka
förståelsen. Tvärtom, man bidrar till att öka på mystiken kring
internet och internetrelaterade tjänster och funktioner.
En av de mediaaktörer som i mina ögon har ett mycket gott
anseende, Ekot, gjorde ett rejält feltramp när de rapporterade om
denna händelse. De påstod i morgonsändningarna att en falsk hemsida
satts upp framför Nordeas riktiga hemsida och att de kunder som
försökte logga in fick ett mejl om att skicka sina hemliga
kontouppgifter till bedragarna. Kan det bli mer vilseledande?
Initiativet till SurfaLugnt kampanjen var lovande. En kraftsamling
för att öka det allmänna medvetandet och på så sätt göra det
betydligt svårare för bedragare och illasinnade att agera. När jag
frågar dem i min omgivning som inte dagligdags arbetar med datorer
och som jag ser som målgruppen för kampanjen så är det ingen av dem
som hört talats om kampanjen. Jag är rädd för att man skjuter förbi
den egentliga målgruppen.
Kunskap är som sagt det viktigaste motmedlet mot bedrägerier och
andra illasinnade ting som förekommer över Internet. Här har vi i
branschen en viktig roll att fylla. Alla har i sin närhet någon som
skulle kunna vara nästa offer för ett bedrägeri. Ditt initiativ
till att dela med dig av dina kunskaper kan vara avgörande för
honom eller henne.
© 2005 Thomas Nilsson, Certezza AB
