I de seneste dage er der lanceret et usædvanligt godt udformet phishing-angreb mod American Express-kortindehavere. Svindlen ser ud til at være en forbedret version af en tidligere phishing-kampagne, der først blev set i marts sidste år, og efterligner American Express så godt og med sådan en slem meddelelse, at det med succes kan agnere mange mennesker, der normalt kan opdage og undgå andre phishing-angreb.
28 november kompatibilitet med stjernetegn
I den nye fidus modtager målrettede brugere en e-mail-besked angiveligt fra American Express (i mindst en variant synes returadressen at være målrettet mod AmericanExpress@welcome.aexp.com), der råder modtageren til at beskytte sig mod svindel og phishing ved at etablere en 'American Express Personal Safe Key (PSK)' for at forbedre sikkerheden på deres konti. E-mailen er velskrevet og formateret som en American Express-e-mail; i modsætning til nogle af de tidligere versioner indeholder den ingen forkert mærkede links (dvs. links, hvis tekstbeskrivelse indeholder linkkode, der ikke matcher det aktuelle link).
E-mailen indeholder et link i bunden til 'Opret en PSK' - og brugere, der klikker på linket, henvises til en falsk American Express-login-side på et websted på den legitimt klingende http://amexcloudcervice.com/login/ ( det er svært at bemærke stavefejlen - gjorde du?). Mens manglen på HTTPS også burde advare nogle mennesker om sandsynligheden for noget galt, og enhver browser, der farver URL-barer baseret på brugen af kryptering, vil det naturligvis ikke gøre i dette tilfælde, som jeg diskuterede i et papir, der blev skrevet sammen med Shira Rubinoff for et årti siden fokuserer mange mennesker udelukkende på indholdet af browservinduer og er ikke opmærksomme på sikkerhedsspor i browserinfrastrukturen.
Efter at have givet loginoplysninger til den falske American Express-side - og uanset om loginoplysningerne er korrekte - får brugerne præsenteret med rigtige sider, så de kan indtaste kortnumre, kortets udløbsdatoer, firecifrede CVV-kode, deres Sociale sikringsnumre, fødselsdatoer, mødres pigenavne, mødres fødselsdato, fødselsdato og e-mail-adresser. Alle anmodninger om information vises i en grænseflade, der efterligner den på det legitime American Express-websted, med kun mindre, svære at begå fejl. Naturligvis kan nogen indse, at der ikke er nogen grund til, at American Express beder om nogle af disse oplysninger - firmaet kender selvfølgelig dine kortnumre, når du først logger ind - men mange mennesker er de facto blevet uddannet af kreditkortselskaber til at besvare sådan spørgsmål, der er blevet bedt om at skrive eller recitere deres numre og besvare alle mulige sikkerhedsspørgsmål, når de ringer til udbyderne pr. telefon.
Der har selvfølgelig været andre phishing-e-mails rettet mod American Express-kunder (som der har været imod indehavere af andre kreditkort), og som tidligere nævnt endda nogle, der udnytter SafeKey-sikkerhedsteknologien, der tilbydes af American Express til ekstra trickery. (Har du bemærket, at phishing-e-mailen fejlagtigt adskilt SafeKey i to ord?)
På trods af adskillige fejl, som informationssikkerhedsfagfolk kan finde blændende (bemærkede du det manglende ©-symbol nederst?), Virker det aktuelle angreb godt udformet og derfor mere sandsynligt end mange for at narre American Express-kunder, hvoraf de fleste er naturligvis ikke beskæftige sig med phishing-angreb som en del af deres job.
Det skal også bemærkes, at det er svært at lukke phishere - medmindre gerningsmændene selv bliver fanget, selvom phishing-systemer fjernes, er det enkelt for kriminelle at genstarte angreb ved hjælp af nye servere. Og det er ikke så svært for andre kriminelle at kopiere phishing-grænsefladen, tilføje en lille kode og starte deres egne angreb fra andre servere også.
Så hvordan skal du beskytte dig selv?
Her er nogle forslag:
Bundlinjen: kriminelle bliver løbende bedre til at lave phishing-e-mails
- så vær forberedt.
