Du sitter på bussen på väg hem från jobbat och som så många gånger förr så slötittar du lite i mobilen. Du kollar sociala media, du läser lite nyheter och du tittar på dagens mejl. I inkorgen ser du ett mail från Facebook med rubriken att Cynthia, din kontakt på LinkedIn, vill bli vän med dig. Du öppnar mailet och tittar lite snabbt på det, det ser helt äkta ut med foto på Cynthia och allt. Självklart vill du lägga till Cynthia, så du klickar på lägg till knappen i mejlet. Du kommer till Facebooks webbsida där du får ange dina inloggningsuppgifter. Hmm, lite underligt att webbsidan öppnas i stället för appen och att den inte kommer ihåg mina inloggningsuppgifter från tidigare, tänker du precis som du klickar på logga in knappen. Facebook laddas dock och du ser ditt flöde, så ingenting konstigt, eller?
Nästa dag på väg till jobbet öppnar du Facebok appen och du blir ombedd att logga in, konstigt så brukar det inte vara. Du anger ditt lösenord men det fungerar inte. Kan du ha glömt ditt lösenord, det är ju inte så ofta du skriver in det? Du klickar på glömt lösenord länken, anger din e-postadress och öppnar sen din mejl app. Samma sak, inloggning och lösenordet verkar inte fungera. Nu börjar oron krypa på dig, vad har hänt?
Det är så lätt att tänka att de som faller för Phising och liknande attacker måste vara lättlurade och naiva personer. Sanningen är att även säkerhetsexperter kan falla för dem, personer som utifrån sin yrkesroll kan alla knepen och har en inneboende misstänksamhet. Attackerna har med åren blivit mer och mer sofistikerade och kan nu även bygga på information som samlats in om dig.
Förr var det vanligt med de så kallade Nigeriabreven. Angriparen köpte då e-postadresser på den svarta marknaden och skickade massmejl till alla dessa. Mejlen var generiska utan någon specifik information om de som angreps utöver e-postadressen. De var ofta skrivna på dålig engelska och gick ut på att du skulle ha någon avlägsen släkting som du aldrig hört talas om som nu gått bort. Den som kontaktade kunde vara advokaten som nu höll på med bouppteckningen och hade hittat den angripne som enda arvinge. För att arvet skulle betalas ut krävdes bara att den angripne skickade pengar för att hantera det administrativa som arvskatt och advokatarvodet. Många gick på detta trots att de aldrig hade hört talas om denne släkting.
Idag är attackerna betydligt mer sofistikerade. Vi är sociala och numer även digitala människor. I vårt dagliga liv lämnar vi digitala fotspår överallt som är mycket lätta att snappa upp. Via sociala medier som Facebook, Instagram och LinkedIn samlas uppgifter om dig in, t.ex. vilka vänner du har, att du gillar företag som Konsum, Netflix och Ikea, att du varit på en resa till Egypten nyligen. Med uppgifter som detta kan en attack riktas mot just dig. Attacken blir extra trovärdig då den väver in uppgifter om dig.
Så vad var det som hände i scenariot ovan. Angriparen hade i de här fallet riktat in sig på en attack för att kapa Facebook-konton. För att göra det trovärdigt vill angriparen bara angripa de som faktiskt har Facebook så först samlades information in om dig och många andra på Facebook. Det samlades även information på LinkedIn för att hämta uppgifter om personer du borde känna och skulle kunna tänka dig att lägga till som vän i Facebook. I det här fallet genom att se dina kontakter på LinkedIn.
Angriparen visste nu att du hade ett Facebook konto och visste även uppgifter om dig som din e-postadress, namn och att du hade en kontakt på LinkedIn som heter Cynthia. Nästa steg var att bygga en kopia av Facebooks inloggningssida. Det låter kanske svårt, men det finns färdiga sådana program att ladda ned just för dessa ändamål. När den falska inloggningssidan var på plats använde angriparen en tjänst för att generera e-post som ser ut att komma från en viss e-postadress och med ett visst format. I det här fallet facebook.com. Angriparen använde informationen den samlat in om dig och alla andra offer och skapade brev riktade till varje enskild person, med rätt e-postadress, namn, den kända kontakt de ville att du skulle lägga till. Nu var hela scenen riggad för attacken.
När du klickade på ”Lägg till Cynthia som vän” länken så skickades du till den falska Facebook-logginsidan. Du angav dina inloggningsuppgifter som både skickades till angriparen och till den riktiga Facebook sidan. Det du sen fick se var Facebooks egen sida där du loggats in av angriparens program.
Men vad vann då angriparen på detta? För det första så loggade angriparen omedelbart in på din Facebook och bytte lösenord. Angriparen använde sedan samma lösenord på din återställnings e-postadress du angett på Facebook. Då de flesta använder samma. Lösenord på mängder av platser så var det enkelt att även byta lösenordet här. De flesta använder även samma e-postadress till alla tjänster de köper. Så från här är det enkelt att begära nytt lösenord från alla tjänster du använder online. Nu är hela ditt digitala liv tillgängligt för angriparen. Varor kan köpas på nätet mot faktura, Falska inlägg kan göras i ditt namn på Facebook. Dina nära och kära kan utsättas för bedrägerier genom att få meddelanden från dina meddelandetjänster att du behöver pengar. Du kan även bli utsatt för utpressning för att få tillbaka din digitala identitet.
Detta är ett exempel på hur lätt det är att falla för Phising och liknande attacker. Även experter kan bli lurade. Om du vill veta mer om denna typ av attacker och hur du kan skydda dig så har vi många artiklar bara ett klick bort.