Phishing

Phishing er et internetfænomen, hvor svindlere forsøger at franarre godtroende internetbrugere eller virksomheder personoplysninger, herunder brugernavn, adgangskode, kreditkort eller netbanksoplysninger. Det sker typisk ved at brugeren får tilsendt en e-mail eller f.eks. en direkte besked på Twitter, hvis indhold forsøger at få brugeren til at indsende sine oplysninger pr. e-mail eller logge ind på en falsk internetside, der ligner f.eks. bankens.^[1] Mailen kan fremstå, som om den er afsendt fra et socialt medie, en auktionshjemmeside, en IT administrator eller en person fra modtagerens adressekartotek.

Siden har der udviklet sig et lignende fænomen omkring indholdstakserede sms'er kaldet smishing: Personer lokkes til at købe og betale f.eks. billeder af letpåklædte kvinder, men modtager i bedste fald noget helt andet.

Fænomenet kendes også som Real time phishing i en variant, hvor offerets computer anmoder brugeren (popup) om en ekstra nøgle fra nøglekortet til NemID. Derefter kan svindleren logge ind med brugernavnet, koden og den ekstra nøgle fra nøglekortet.

Der behøves ikke en Keylogger for at tilgå denne form for information. En PHP eller JavaScript-fil, placeret på en værtscomputer, vil ubemærket kunne foretage denne type af operation, uden brugerens viden. Keyloggere benyttes kun i sjældne tilfælde, til at aflure brugernavne og adgangskoder. Idet at når nøglen fra NemID er brugt er nøglen ubrugelig efterfølgende, idet at der ikke bliver opgivet en ny nøgle før den gamle er brugt til et succesfuldt login i netbankerne eller hos offentlige myndigheder.

Keylogging forudsætter dog, at der i forvejen er installeret en keylogger på computeren, som opsnapper alt hvad man taster på tastaturet, og sammen med det ekstra sæt nøgler, er det ingen sag at komme ind og overføre penge uden offerets viden, hvorefter computeren kan benyttes til eksempelvis at overføre penge fra bankkonti m.v.

1. ^ anti-abuse.org – Information om phishing Hentet 27-02-2012