nrk.no

Unngå å bli lurt – enda sleipere nettsvindel

Kategorier: Internett & Nettkultur


I det siste har vi fått en del falske henvendelser med ekstra utspekulerte linker. Spesielt via Twitter. Det får vi med jevne mellomrom, men måten de hadde formatert selve linken denne gangen gjorde det altså lettere å bite på.

Sakte men sikkert lærer flere og flere å ta en titt på adressefeltet før de klikker på ukjente linker. For å se om de kommer til et sted de kan stole på.

Om adressen er til for eksempel nrk.no, amazon.com, tv2.no, google.com eller cnbc.com bør du være noenlunde trygg. Men de som prøver å lure deg vet at flere og flere sjekker adressen. Derfor har de blitt ekstra kreative der også.

Sleip

La oss ta nyhetsnettstedet cnbc.com som eksempel. Dersom adressen du klikker på begynner med http://cnbc.com/…. kan du være rimelig sikker på at det faktisk er CNBC du kommer til. Det er dem som eier dette domenet og dem som styrer alt som skjer med det. De kan også lage såkalte subdomener, men det siste før skråstrek og navnet på den siden du skal til vil alltid være cnbc.com. For eksempel http://video.cnbc.com/latest.html. Da har de laget subdomenet «video» under sitt hoveddomene «cnbc.com».

Men hva gjør man så om man vil lure folk til å klikke på noe som man tror er til CNBC? En vanlig variant er å registrere domener som ligner veldig. For eksempel cmbc.com. For betalingstjenesten PayPal prøver folk seg med domener som paypa1.com, paypai.com eller for eksempel http://kundenservice-paypal.com/verifi.htm. De bytter bokstaver eller legger til ord for å skaffe seg et domene som ligner på originalen. Likevel, er du nøyaktig når du sjekker ser du forskjellen på cnbc og cmbc…

Sleipere

Men hva med denne: http://cnbc.com-index61.in/?Article=2256

Den må vel gå til CNBC? Og når den promoteres slik: «Mom Earns $6,795/Month Part-Time – CNBC», med linken over som mål. Veldig mange har lyst til å lese om denne moren som tjener titusener. Og det må da være trygt å lese slikt hos velrenomerte CNBC?

Problemet er bare at denne adressen ikke går til CNBC. En luring som heter Steven Drossel har registrert domenet «com-index61.in», og så laget subdomenet «cnbc» under det. Da blir adressen slik: cnbc.com-index61.in og du kommer ikke til cnbc men til com-index61.in. Det ser bare ikke slik ut ved første øyekast…

Det er fort gjort å ta den for god fisk og tenke at du kommer til noe trygt. Akkurat nå kommer du ikke noe sted om du går til cnbc.com-index61.in. Det ser ut som den er tatt ned. Med det som var der må ha vært en eller annen historie om hvordan du kunne tjene veldig mange penger veldig enkelt. Og en eller annen form for registrering av twitterkonto. Noe som igjen har ført til at vi har fått veldig mange direktemeldinger og twittermeldinger som tar deg til dette stedet.

Her i Norge har vi en fordel av at språket vårt ofte avslører meldinger med skumle hensikter. Når en venn som alltid kommuniserer på norsk på Twitter, Facebook og Mail plutselig sender deg en melding som «Check out this blog post about you!» og en eller annen underlig link bør du være på vakt.

Vi ser at Steven Drossel også eier domener som com-source.us, com-archive.us osv. Mange kreative muligheter der altså.

Sleipest

Vi har tidligere skrevet en del gode tips om hvordan du kan prøve å unngå å bli lurt. Men vil også gjerne ha deres hjelp: hva er de sleipeste triksene dere har sett? Og hvordan unngår dere å bli lurt på nettet?

Oppdatering

I kommentarfeltet blir en av de enkleste formene for link-lureri nevnt. Det å skrive en tekst som ser ut som en link til en spesifikk nettside, men la selve linken gå til noe annet. Eksempelet som blir brukt er dette: http://www.nrk.no. Teksten lar deg tro du kommer til NRK, men linken tar deg til TV2.

Dette er en av grunnene til at du bør ha en aktiv statuslinje som gir deg informasjon når du tar musen over linker. Som den du ser nederst her:

49 kommentarer

  1. Frank Eivind Rundholt

    Jeg er veldig bevisst på dette med linker. Dere nevnte det ikke direkte i artikkelen, men det er jo mange som spekulerer i feilstavelser og kjøper domener med vanlige skrivefeil og peker disse til alternative sider.

    Å ha en stor skepsis til linker hjelper for å ikke bli lurt.

    Svar på denne kommentaren

    • Kjetil Nesheim (svar til Marit)

      Derfor han det ofte være smart å manuelt skrive inn adresser. Da blir slike forsøk avslørt.

    • Ratata (svar til Tor)

      Smak på ordet domene. Det har en nok så direkte betydning. Et domene tilsier hvem som sitter med eierskap og kontroll.

      På toppen har man rot domener ved TLD (Top Level Domain). Disse er delt i to grupper generic, gTLD, slik som com, net, org og «country code», ccTLD, som tilhører hvert land slik som no, se, dk, jp osv (ut fra ISO kode).

      tools.ietf.org/html/rfc920

      com, net osv står videre for spesifikke bruksområder;

      Uten restriksjoner:
      com: commersial
      org: organisation(s)
      net: network

      Med restriksjoner:
      int: international
      edu: eduaction
      gov: government
      mil: military
      (.ARPA)

      Alt til venstre for TLD peker på eierskap og tjener. Alt til venstre for et rot domene er også et subdomene. Slik som nrk.no. Her er «nrk» et subdomene av «no». Det mest vanlige har også lenge vært å benytte www (World Wide Web) som et ytterligere subdomene for å vise til at det er en webside/nettside. Eksempelvis http://www.nrk.no – hvert nivå alltid separert med punktum.

      Hvert land har sin registrar som administrerer sitt ccTLD. For «no» er det NORID, http://www.norid.no.

      Man har også etter hvert fått flere gTLD domener slik som .biz og .info.

      Domener er igjen knyttet opp mot IP-adresser (eller egentlig andre veien – IP-addresser kom først, deretter domener for å forenkle samt gi en rekke andre muligheter.) Osv.

      Veldig spennende felt med utrolig mange gode løsninger. DNS, IP, domener osv. IETF; (Internet Engineering Task Force) sine dokumenter, RFC’s (Request for Comments), er en gullgruve for den som er interessert. Men husk rfc-editor.org/rfcfaq.html#allstds

  2. Er det ikke mulig å forklare hva man blir lurt til?…. Er det bare at man gjør en unødvendig klikk og taper noen sekunder eller er det sider med trojanere?
    Må vel gå ann å skriver en fullstendig artikkel.
    Har man fortalt A må man fortelle B.

    Svar på denne kommentaren

    • Eirik Solheim (NRK) (svar til Tor)

      Artikkelen omhandlet i hovedsak metoden som benytter snedig formulerte domener + subdomener. Men er enig i at jeg kanskje kunne skrevet mer om hva de prøver å lure deg til. Her er noen varianter:

      1. De satser på at du har en lite oppdatert maskin / browser og får innstallert tastaturleserprogramvare eller virus på maskinen din
      2. De vil lure deg til å legge igjen passord og login for tjenester du bruker. Til eposten din for å stjele epostadresser eller til banken din for å stjele penger
      3. De vil lure deg til å tro at du kan tjene tusenvis av kroner på fritiden om du melder deg inn i en eller annen abonnementsordning hvor du stort sett alltid ender med å tape penger i stedet

      Les mer for eksempel her:
      en.wikipedia.org/wiki/Phishing

  3. Arnt Joakim Wrålsen

    Jeg har sett spam-meldinger på norsk. Så å anta at det som er på norsk er trygt er falsk trygghet.

    Det eneste som hjelper er å være kritisk til alt man mottar og gjerne få bekreftet en ekstra gang at linken er genuin. Dessverre.

    Svar på denne kommentaren

    • Eirik Solheim (NRK) (svar til Arnt Joakim Wrålsen)

      Det jeg skrev er at om du plutselig får en engelsk melding fra en norsk person bør du være ekstra på vakt. Her hjemme blir ofte lureriforsøk avslørt på grunn av språket. Men jeg mener ikke dermed at alt som er på norsk er trygt. For det er riktig at du kan få masse lureri formulert på norsk også.

    • Har sett dette svært mange ganger i forhold til World of Warcraft, hvor det enorme brukertallet og den lave innstegsterskelen – samt det florerende svartemarkedet for gull og materialer – gjør dette spillet til ett svært attraktivt og enkelt mål for denne typen angrep. Her har jeg sett bruk av både subdomener og kreative domener som sender deg til tilsynelatende ekte kontosider med innbydende innloggingsfelt. Spesifikke eksempler sitter jeg ikke på nå, men de versjonene som det vises til i artikkelen er helt på linje med de jeg kom over.

      Disse angrepene blir utført gjennom normal epost, post-funksjonen i spillet eller gjennom chat-funksjonen hvor angriperen bruker tilsynelatende offisielle navn som «Blizzard-GM», og forteller deg at noen har forsøkt å angripe kontoen din og at du MÅ gå til en tilsynelatende reell webside for å oppdatere kontoinformasjonen din med en gang.

      Og plutselig har man ikke tilgang til kontoen lengre. Og når man etterhvert kommer gjennom papirmølla og får tilgangen tilbake, så er utstyret solgt og figuren slettet.

      Rotet meg aldri opp i noe sånt selv, men som teknisk ansvarlig i ett større Tysk laug så kom jeg borti nok av dem som gikk rett i fella. Vi mistet også en ~50k gull (en svært stor sum på den tiden) fra fellesbanken da lederen røk på en keylogger i ett ellers trygt og anerkjent tilleggsskript (små tilleggsprogrammer utviklet av tredjepart, som endrer brukergrensesnittet og funksjonaliteten i spillet, ansett som absolutt nødvendig av svært mange spillere.) som i sin tur hadde blitt tatt over av ondsinnede.

  4. Mulig jeg er naiv, men hvorfor er det så farlig om man havner på ei nettside man egentlig ikke ville til? Er man noenlunde oppdatert på siste versjon av nettleser og virusprogram så skjønner jeg hva galt som kan skje.

    Svar på denne kommentaren

  5. Undrar meg òg over at mange ukritisk vidaresender alle slags advarslar om dommedag og virus, eller underskriftskampanjer m.m., så lenge det er offentlege instansar eller velmeinte personar som tilsynelatande står bak. MEN: Slike institusjonar eller personar opptrer neppe med banale skrivefeil i sine dokument, ja neppe via personleg e-post i det heile. Så ein smule kritisk sans er absolutt viktig på nettet…

    Svar på denne kommentaren

  6. Viktor Bugge

    Hei, jeg bare lurer på en ting med tanke på hva som er trygt eller ikke…

    Jeg undersøker litt forskjellige programmer når det gjelder musikk og foto. Det siste jeg trengte var «EOS Utility» (hvis noen vet hva dette er). Uansett så har jeg måttet gå på andre sider enn Canon sin, da jeg ikke finner det der og siden siden ikke er spesielt lett å finne fram på.

    Jeg lastet ned programmet fra siden: support-sg.canon-asia.com/contents/SG/EN/0200189602.html. Er dette en trygg side?

    Det bør nevnes at jeg bruker Mac, og at denne har kontrollert programmet, uten å finne mistenkelige ting. Hjelper denne kontrollen som kjører før jeg åpner prgrammet første gang?

    Takk for hjelpen på forhånd 🙂

    Svar på denne kommentaren

    • Viktor Bugge (svar til Arild)

      Tusen takk for hjelpen 🙂 Jeg er veldig nøye på dette med hvilke linker jeg går inn på og ikke 🙂 Programmet fungerer som det skal, og det var greit å få en bekreftelse 🙂

  7. Om man presterer på ulike vis å skyte seg selv i foten på svindler som dette og liknende, så er det vel fortjent etter min mening.

    Jeg har et prinsipp om at man bør være grunnleggende kompetent på ulike ting man benytter, i større eller mindre grad.

    På lik linje som at man ikke kjører bil uten å ha tatt lappen, synes jeg heller ikke at man skal bruke datamaskiner uten tilstrekkelig kunnskap. Skal man bruke en datamaskin til å besøke nettsider, så skal man forstå hva en URL er, og hvordan den er bygget opp. Å godta noe annet er i mine øyne som å godta at noen kjører bil, i trafikken, uten å kunne trafikkreglene tilstrekkelig.

    Konsekvensene er kanskje ikke like store, men den manglende kunnskapen kan blant annet føre til at man blir svindlet. Hackeres mest brukte våpen bak sikkerhetshull er menneskelig feil, ofte basert på å lure godtroende personer som ikke vet bedre, slik som den typen svindel denne artikkelen handler om.

    Det er i aller høyeste grad et utopisk prinsipp, det skal jeg medgi, men jeg står fremdeles for det.

    Svar på denne kommentaren

    • Hmm, du vil vel kanskje ha innført aldersgrense og intelligenstest for å kunne bruke datamaskinen..? Vi kan sjølvsagt ikkje forvente at barn og andre kan alt om bruk av data før vi slepper dei til på nettet. Nei, då er det meir realistisk med fokus på nettvett både i skule, heim og fritid – for både store og små.

    • Christian (svar til Tore)

      Vi kan selvfølgelig ikke forvente at barn skal kunne alt om data og internett, men noen krav bør en jo kunne stille.

      Du sender vel ikke ungene dine ut i trafikken før du har lært de grunnleggende trafikk regler?

      På samme måte bør du ikke sende ungene dine ut på internett før de har lært seg noen grunnleggende regler om hvordan de navigerer på nettet.
      Dersom folk flest hadde visst hva en nettadresse er, hvordan den er bygget opp og faktisk fulgt med på hvor de var, så ville ikke diverse phishing forsøkende og lignende fungert.

      Folk får som fortjent når de skal bruke internett med ikke gidder å lære seg banale ting som å vite hvor de er. Dersom du ikke vet med 100% sikkerhet om du er på dnb.no eller dnb.falsk.no så bør du slutte å bruke internett mens du framdeles har pengene dine i behold.

  8. Problemet er jo det at bedragerne blir bare smartere og smartere. I öst-Europa så er nett-bedragerier en stor-industri, når jeg först begynte å reise dit, så var det pirat-kopiert musikk som var det store. Nå er det virus, lösenord på cd etc. Jeg var inne på en «uskyldig» nettside på söndag, og tittet på finalen i EM. Når jeg stengte siden, kom det opp en side med melding om at min pc ble brukt til å sende spam og porno ( ikke denne pc´n), så ble «alt» låst. Om jeg betalte 1000 sek, skulle de låse opp pc´n igjen. (google på falsk polis virus)Efter mye fram og tilbake, fikk jeg renset pc´n min, men jeg måtte bytte alle lösenord etc. Så jeg har lärt at når jeg går på internet, så skal jeg väre like forsiktig som når jeg går i gjennom et minefelt. Det er ikke noen grenser for disse menneskenes fantasi, og her hjemme (Sverige) ligger vi lysår efter å ta de.

    Svar på denne kommentaren

    • Eirik Solheim (NRK) (svar til Steve)

      Ja… Den er sleip nok den også. Og kanskje den enkleste av dem alle. Jeg la nå inn en liten oppdatering i saken for å nevne denne og forklare hva folk kan gjøre for å unngå å bli lurt der også.

      Takk!

    • jens dale røttereng (svar til Eirik Solheim)

      Ang din oppdatering i artikkelen som forslår bruk av on mouse over for å finne den virkelige linkadressen. Hva med den økte bruken av tablet? Her har man jo ikke muligheten til å «holde over» linken. Noen som har forslag til løsning her?

    • På iPad så trykker man bare på linken i 1-2 sekunder, så kommer menyen opp hvor du kan velge å åpne linken i ny fane, der står også adressen den peker til,

    • Eirik Solheim (NRK) (svar til Roy Sigurd Karlsbakk)

      Okay? Jeg var nøye med å IKKE linke til noen av svindel-lenkene, bare nevne dem i teksten. Mener at linkene må være aktive for at Google skal telle dem som gjeldende og dermed gi noe juice i deres retning?

  9. Det sleipeste jeg har vært borti er noe som ser ut som en mail fra banken med bankens logo og en link som den dere beskriver. Men ettersom banken aldri spør om kontodetaljer på mail og linken gikk til et kinesisk domene var det lett å skjønne svindelen. Eller så har jeg flere ganger fått mail om at enten webmailen eller visakortet er deaktivert, og som ber om masse kontodetaljer eller har en link man må trykke på for reaktivering. Og det foregår mye svindel på finn.no og tilsvarende sider, med både falske selgere og kjøpere.

    Svar på denne kommentaren

  10. Om det er noen som kan forklare for meg hvordan jeg, som har bodd i Sverige i 24 år, plutselig får en e-mail fra Sparbanken1 i Norge, der jeg plutselig har fått problem med mitt kort. Jeg klikket på lenken for moro skyld, og kom helt riktig til Sparbanken1´s hjemmeside (?), problemet var bare at den enste knappen som var «aktivert» var login-knappen. Men i löpet av 1-2 uker, fikk jeg flere mail fra Sparbanken1. Jeg pröver å holde «söppel-posten» vekk fra min pc, og har to adresser: den ene er det ingen som får, den andre er jeg mindre forsiktig med. Men kommer det «söppel-post» dit, så leter jeg etter avsenderen, markerer den og blokerer den, da kommer ikke den mer, men det kommer alltid en ny. Når jeg söker på IP, så er det gjerne Nya Zeeland, USA, og av og til England. Men akkurat nå er det ikke Sparbanken1 som dukker opp her i Sverige, nå er det et «falskt polis virus», som stenger ned hele pc´n og forsöker presse deg på penger. Den er dessverre ikke lett å få bort.

    Svar på denne kommentaren

    • Halvor (svar til Richard)

      Oy, det var en smart måte å svindle på. Med stadig bedre svindel-metoder, er det bare spørsmål om tid før selv de mest forsiktige, skeptiske, og teknisk oppegående av oss, selv går på en smell! Hvordan skal man forsvare seg mot tab-nabbing o.l.?

  11. Fikk en e-post her om dagen som gikk gjennom spamfilteret til Hotmail. Har slettet den nå, men det gjaldt min twitter-konto (som jeg ikke har), og at jeg måtte trykke på lenken for å oppdatere infoen min.

    Lenken var noe sånt: tvvitter.com/********

    Avhengig av fonten som ble brukt, kan «tvvitter» se veldig ut som «twitter». 🙂

    Svar på denne kommentaren

  12. Anne Lene Nilsen

    Jeg opplever av og til at noen «hijacker» eposten min. Enten blir det ekstra melding på slutten med link eller at eposter blir sent av meg.. Hva er dette, og hvordan greier de det?

    Svar på denne kommentaren

  13. Jens Normann Løvlie

    Kan noen svare?Hvordan kan jeg få e-post fra en totalt ukjent kvinne om å kjøpe hennes bilder?Og hvordan stopper jeg 1963 fra og sende meg meldinger til min mobil?TAKK!!

    Svar på denne kommentaren

    • Gunnar Langtvedt (svar til Jens Normann Løvlie)

      Jeg har Hotmail, og bruker en e-mail adresse for alt «söppel», og en annen for «vanlig» e-mail. Om jeg får en e-mail som jeg ikke vil ha, så markerer jeg avsenderen, og legger inn den på listen over uönskede e-mail, av og til legger jeg inn domenen også på den listen. Det fungerer for meg, min söppel-post har gått ned med 99%. Nå har jeg litt vanskelig for å forklare dette på norsk, for jeg har bodd i Sverige i 24 år, og er ikke vant til å forklare dette på norsk:-)

  14. Roy Halvor Frimanslund

    Min regel nummer en er at om jeg får en lenke fra en bekjent som jeg stoler på, så stoler jeg ikke på lenken før vedkommende også har kommentert innholdet med ord som jeg vet at personen bruker. Dette er spesielt viktig når lenken er en forkortet lenke da den ikke sier noe om hvor den går videre i seg selv.

    Svar på denne kommentaren

  15. Dersom du allerede har en mistanke om at lenken er suspekt, kan du åpne den i Tor browser (torproject.org/, se wikipediasiden en.wikipedia.org/wiki/Tor_project om du ikke liker å trykke lenker fra tilfeldige kommentatorer).

    Tor skrur av sånne plugins som alltid blir hacka (dvs. flash), og det meste av skript, men kanskje viktigst: den omgår DNS-hijacking (det finnes feks windows-virus som gjør at «nettbank.com» egentlig laster siden «kontofisking.com»)

    I tillegg så holder du historikken separat fra den vanlige nettleseren så du kommer ikke inn på lenken ved en autofullfør-feil senere.

    Og så er det lurt å kjøre Firefox-tillegget HTTPS Everywhere i den vanlige nettleseren for å unngå at folk firesheeper deg når du er på et åpent trådløsnett.

    Svar på denne kommentaren

  16. Det er jo et evig aktuelt tema dette her. Noe som stadig slår meg, og som jeg har forsøkt å ta opp i andre fora, er hvor lite av ansvaret til domene-registrarene som bringes fram i denne problemstillingen. Riktignok er det superenkelt å registrere et domene i våre tider, og det finnes jo sikkert titusenvis av registrarer, men hvorfor er det ikke noe krav til at de skal være mer kritiske til hva de godkjenner av domener? Eksempelet med http://www.tvvitter.com er jo fint her: burde ikke en rød varsellampe lyse hos den registraren som mottar domene-søknaden? Eller blir det for mye ordenspoliti med masse gråsoner? http://www.paypai.com mener nå i alle fall jeg er nok et eksempel. Også i andre sammenhenger hvor registrarer og utstedere av sertifikater er involvert, blir det jevnlig stilt spørsmål ved om dagens modeller er modne for endring.

    Når det gjelder andre mer tekniske sider ved saken, som at lenken http://www.nrk.no lett kan peke til en helt annen URL, så tror jeg løsningen er bedre, mer anvendelige og mer tilgjengelige verktøy som automatisk sjekker dette, så som pluggins gjør i dag i enkelte nettlesere. Det må jo da være mega lavterskel, for det er nettopp de uvitende og minst kunnskapsrike som rammes mest her.

    Litt god, gammeldags folkeopplysning i brevs form kunne også vært på sin plass, også når det gjelder Internett og bruk av IT-verktøy. Jeg har lenge ment at slik informasjon for eksempel kunne fulgt med den årlige likningen eller veiledningen til likningen – den sendes jo ut til samtlige skattepliktige uansett.

    Svar på denne kommentaren

  17. Svindel og tyveri av innhold fra NRK

    […] 2012 skrev jeg saken Unngå å bli lurt – enda sleipere nettsvindel. Den handler om hvordan folk med uærlige hensikter lurer deg til å tro at du navigerer til et […]

    Svar på denne kommentaren

Legg igjen en kommentar til Gunnar Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.