Jag tycker det är ganska lätt att identifiera alla dessa bluffmail som dyker upp i datorn, men jag förstår att det är lätt att bli lurad.
Även om man sedan ”vet” att det är bluff, så kan man ju vara nyfiken…
Jag kan inte rekommendera någon att göra det jag visar i detta inlägg, men jag gör det för att stilla min nyfikenhet, och för att du skall slippa.
När jag skriver detta så har jag precis fått två mail från ”Skatteverket”.
Mailet har avsändare från en tysk domän, vilket är en ganska tydlig indikation att det inte kommer från skatteverket.
Däremot så går länken längst ned i mailet till just Skatteverket, medan länken ”Klicka här” går till en helt annan adress.
Jag kan se adressen, men jag känner inte för att klicka på den, även om riskerna är mindre när man kör Linux, och jag inte ännu fått upp någon ruta om att jag ”måste installera en fil”, eller fylla i ett kreditkortsnummer.
Så, jag skapar en virtuell dator med helt påhittade data.
Jag kommer i denna att aktivera brandväggar, antivirus och köra NAT, med mera för att än mer minska riskerna. Skulle något gå fel så kan jag bara radera datorn. Det gäller naturligtvis att fortfarande tänka på vad man gör.
Man skulle kunna tänka sig att man använder en Linuxbaserad distribution med säkerhetsinriktning som ”Kali”, men denna är framför allt inriktad mot ”offensiva” åtgärder och tester, så jag håller mig till distributioner som jag känner mig hemma med.
Någorlunda säker på att inget kommer att ”drabba” mig så öppnar jag mailet i webbläsaren, kopierar länken ”Klicka här” och klistrar in den på en ny flik i webbläsaren…
Jaha! Phishing… Det ser ut som Skatteverkets hemsida, men adressen säger något annat. Man har till och med använt sig av https för att kanske ge ytterligare sken av att detta är korrekt. Jag utgår från att skatteverket inte använder WordPress…
Fyll bara i alla dina personuppgifter och kreditkortsnummer, samt CVV kod, och ett lösenord (oklart för vad), så skall du få skatteåterbäringen inbetald. Vi Lovar!!!
Konstigheter med denna sida:
- Adressen i webbläsaren går till något okänt
- CVV kod skall aldrig anges på detta sätt
- Vad är det för PASSWORD man är ute efter?
- Det står ”klicka på Fortsätt” men knappen säger ”Nästa”
Det finns ett certifikat för sidan som används för https. Vad kan man utläsa av detta?
Här hittar jag ”www.nilabags.com”, som inte leder någon stans, mer än till en php fil med ett felmeddelande. Utfärdaren GeoTrust Inc är däremot en riktig organisation, som jag inte vet hur mycket man skall oroa sig för.
Det sparas en del kakor också, men jag kan inte utläsa något speciellt från dessa. Om jag kör en tracepath för adressen för sidan så hamnar jag hos involucre.groomingexplained.com. Jag har ingen aning om vad detta är men jag är ganska säker på att det inte är Skatteverkets Internetleverantör.
Nåja, jag fyller i formuläret!
Hmm, brukar inte ifyllda lösenord döljas i webbformulär? När man klickar på ”Nästa” så öppnas en sida på Skatteverkets riktiga sida och de som har varit ute och fiskat har fått napp.
Om man läser källkoden till ”fiskesidan” så finns det ännu mera information. Exempelvis så är det ”Nisse Tuta” på Skatteverket som har skapat sidan. Detta kan låta knasigt, men det är faktiskt så att Nisse Tuta står bakom Skatteverkets sidor och stora delar av källkoden för sidan är direkt kopierad från Skatteverkets riktiga sidor.
Samtliga fält för ifyllnad har titeln ”En giltig E-postadress måste anges”, men något fält för att fylla i E-post finns inte…
Nåja. För mig var det ganska uppenbart att detta var bluff och det är det säkert för många av er också. Det är däremot inte lika självklart för alla, och om man i som det här fallet inte tittar på adressen eller läser så noga så ser det ut som något som skulle kunna vara korrekt. Det finns ganska mycket i detta exempel som avslöjar att allt inte är ok så just detta exempel ”borde” inte så många gå på, även om jag sett betydligt sämre försök att ta reda på kortuppgifter.
Vi får väl se om Kalle Anka får några pengar på sitt skattekonto så småningom, men jag skulle i så fall bli ganska förvånad.