Phishing – Kunsten at snyde

“Phishing” betyder, uden at gå for meget i detaljer, “Fiskning”. Det at man fisker efter oplysninger, primært ved at snyde brugeren til at tro, de indtaster deres oplysninger et sikkert sted.

Den mest brugte Phishing metode, er at lave en hjemmeside, der udgiver sig for at være en anden. Denne hjemmeside kan så lokke de besøgende til at skrive deres kode eller kreditkortoplysninger. Phishing er et meget kendt fænomen, og mange nye browsere har indbygget sikkerhed mod dette, men denne sikkerhed ligger primært i registrering af allerede kendte “Phishing” sider, så en ny “Phishing” side opdages f.eks. ikke automatisk af disse.

Derfor bør udbydere af tjenester, der kræver høj sikkerhed, sørge for at deres hjemmeside ikke er “phishing”-venlig.

Den bedste måde, det lige nu kan gøres på, er først og fremmest at sikre, navnet på hjemmesiden ikke nemt kan efterlignes.
Hvis vi tager google som eksempel, kan man skifte “L’et” ud i google med et stort “i”, hvilket vil give http://googIe.dk/ (googie).

Havde googie.dk været en “Phishing” side kunne de have valgt at lave en kopi af google, der bad gæsterne om at logge ind, og derved opsnappe deres koder.

Dette kan også undgåes ved at lave betalings- eller login-siden vha. HTTPS, der er en sikker protokol, der krypterer informationerne mellem parterne, men også viser i dit browservindue, at du er på en sikker side. Derved har brugeren mulighed for at undersøge, om siden har et gyldigt certifikat fra en udbyder med høj tillid. Dette sikrer også mod Eve og Manden i midten, som du kan læse mere om i morgen. Desværre er det få brugere af internettet der husker at tjekke om der står HTTPS forrest i adresselinjen, og om certifikatet for siden er gyldigt.

NemID burde fra start have sikret sig, at domæner der kunne bruges til at efterligne NemID.nu blev købt, så de primære “Phishing” forsøg kan undgåes. Det er kritisk at NemID, der skal håndtere så mange personers oplysninger og adgang til forskellige tjenester, ikke har taget flere forbehold mod Phishing. Nok er siderne HTTPS, men har de informeret brugerne ordentlig om at huske at tjekke for dette?

Dog kan phishing alene ikke give adgang til en brugers NemID, da den anden halvdel af sikkerheden ligger i pap nøglekortet som brugeren har på sig. Desværre ses det mange steder at brugere vælger at tage et billede af kortet med deres mobil, eller tape det fast på computer-skærmen. Det kan meget hurtigt give mulighed for at fremmede kan opsnappe indholdet af kortet. Denne usikkerhed omkring kortet, vil senere blive beskrevet i sin egen særskilte artikel.