25. februar 2010

Twitter og phishing

I dag ble jeg forsøkt "hacket" på Twitter. Jeg gikk ikke fem på, men jeg ser for meg at mange gjør det. Angrepet er utspekulert. Jeg fikk nemlig en direktemelding fra en nordmann på Twitter (varsling via e-post). Da er det fort gjort å bli lurt. I dette innlegget skriver jeg om mine erfaringer og refleksjoner, og prøver å forklare hva phishing er slik at du kan lære mer om sikkerhet på nett generelt og phishing spesielt. Jeg vil også foreslå noen strategier for å unngå å gi fra deg din innloggingsinformasjon.

Analyse av et phishing-forsøk

Start med å se nøye på denne meldingen:

Her har en nordmann, la oss kalle ham "Lasse", tilsynelatende sendt en direkte melding til meg. Som vi skal se senere er det ikke Lasse, men en automatisert rutine, som har sendt meldingen. Det er fordi Lasse har blitt lurt i første omgang, og med en gang han blir lurt, brukes han som virkemiddel for å lure andre. Hvis jeg blir lurt, så brukes jeg også.

Meldingen er skrevet på engelsk. Jeg ante derfor raskt at det var "moser i luften". Neste bilde viser hva som møter brukere som klikker på lenken:

Klikk på bildet for å åpne i større versjon

URL-en i adressefeltet avslører at dette ikke er en Twitter-side. Det hackeren her har gjort, er å gå til Twitter, vise kildekoden, kopiere den, lage en ny fil, lime inn HTML-koden og så legge ut filen på sitt eget nettsted. Det er den falske websiden vi ser i bildet over, men det ser helt likt ut med hvordan Twitter presenterer innlogging når du klikker på noe som krever innlogging uten å være logget inn.

Hackeren har for øvrig endret en viktig detalj i HTML-koden. Når du skriver inn brukernavn og passord og trykker "Sign in"-knappen, så lagres informasjonen i en database. Jeg har ikke prøvd, men dersom hackeren er lur så vises enten ressursen du forventet å få se (et bilde i dette tilfellet), eller så vises en feilmelding, eller kanskje redirigeres du til den ekte Twitter-innloggingssiden. En smart hacker vil prøve å skjule overfor alle ofre at de nettopp har blitt lurt til å oppgi brukernavn/passord. Derfor må en være føre var i stedet for etterpåklok i slike situasjoner. Det er verdt å understreke at hackeren ikke sitter klar og reagerer i det folk trykker. Hackeren har laget et automatisert script/programrutine som utføres i det øyeblikk "logg inn"-knappen trykkes. Alt er klargjort på forhånd. Derfor kan tusenvis gå i fellen samtidig.

Hackerens motivasjon

Du lurer kanskje på: Hva skal egentlig hackeren med innloggingsinformasjonen din? Hackeren har laget et script som automatisk logger inn i kraft av offeret og sender tilsvarende direktemeldinger til dem som offeret følger. Meldingen sprer seg da i takt med at stadig nye mennesker går på. For hver ny person som blir lurt øker databasen over gyldige brukernavn og passord. Målet er å få flest mulig brukernavn/passord. Hvorfor er dette skummelt? Hva skal hackeren med dette?

Twitter-kontoen din brukes ved første øyekast til å lure andre. En kan fort tro at målet blir å lure flest mulig, men det er ikke tilfelle. Det er mer korrekt å si at metoden er å bruke eksisterende nettverk og tilliten som ligger i direkte meldinger, til å lure flest mulig. Målet er ikke å lure folk, men å stjele fra folk. Hva da? Hva er verdien av at hackeren vet brukernavnet og passordet ditt og mange andre sitt? La oss tenke over hva hackeren egentlig har. Han har ikke bare en liste over brukernavn/passord, men han kontrollerer faktisk utrolig mange ekte, etablerte Twitter-kontoer. Dette er verdifullt. Veldig verdifullt. Han kan for eksempel spre reklame for et produkt med jevne mellomrom, og nå hundretusenvis av følgere som ellers ikke ville fått informasjonen. Tenk deg at jeg plutselig sender ut reklame på Twitter for en duppedings, uten at jeg selv vet om det. Hvordan vil mine følgere tolke det? Jo, de vil ta det som en anbefaling siden jeg ellers skriver faglig interessante meldinger. Dersom et firma sender en slik, så overses det i større grad. Det å misbruke hackede kontoer blir derfor et kraftig instrument med tanke på reklame. En kan tenke seg mange varianter av dette. Det er derimot noe enda mer alvorlig vi bør se på.

Hackeren vet at mange mennesker benytter samme brukernavn og passord for ulike web-tjenester. Når hackeren har en riktig kombinasjon av passord/brukernavn, kan hackeren prøve denne på gmail, paypal, facebook, ... og så videre. Det er ikke sikkert det går, men det kan være. Det kommer an på hvilken passordstrategi offeret har benyttet. La oss si at hackeren gjennom et slikt angrep klarer å samle inn 10.000 brukernavn/passord. Det er da sannsynlig at en god del av disse har samme id-er på en rekke nettsteder (de som er på Twitter er trolig på mange nettsteder, så her er det bare å prøve i vei). Om hackeren bare får treff med brukernavn/passord på 100 PayPal-kontoer av 10.000 ofre, så er det likevel god butikk. Det er også mulig å lage automatiserte rutiner som tester om innlogging lykkes eller ikke, og bygger opp nye lister over hvilke brukernavn/passord som fungerer på hvilke nettsteder. En manuell analyse utført av hackeren vil også kunne avsløre mønstre i passordene. Selv om en bruker varierer passordet fra tjeneste til tjeneste, vil hackeren kanskje kunne klare å gjette seg til hva variasjonen består av, og slik knekke de virkelige inntekstbringende tjenestene (PayPal for eksempel).

En annen motivasjon kan være å samle en stor base av brukernavn/passord og så selge til høystbydende slik at de kan gjøre butikk av det.

Hvorfor lykkes slike angrep?

Dette er en variant av såkalt "social engineering". Hackeren har forstått Twitter og vet at direktemeldinger varsles per e-post og vises med full tekst i e-posten. Brukeren som får en slik e-post (potensielt offer) trenger altså ikke logge seg inn på Twitter for å se meldingen. Den står i klartekst i e-posten. Men - her er det en lenke og teksten gjør folk nysgjerrig på hva som er bak lenken. Mange vil klikke og møter en beskjed om å logge seg inn på Twitter. Noen aner lunten og avbryter, men siden en kom fra e-postprogrammet og ikke fra Twitter direkte, vil mange trolig tenke at "aha, nå vil Twitter at jeg logger inn for å se ressursen så da får jeg logge inn". At en får direktemelding gjør det hele mer troverdig. Prøv gjerne å oppsummere overfor deg selv hva som nå er nøkkelen til hackerens suksess.

Min korte oppsummering er at hackeren lykkes ved å

  • gjøre angrepet troverdig og å skape tillit
  • lede offeret til en falsk versjon av en webside, med det formål å stjele informasjon fra offeret
  • bruke offeret som virkemiddel for å skalere opp angrepet

Hvordan unngå phishingangrep?

Phishing er utbredt. Det er fordi vi i det siste har sett en sterk vekst i nettbaserte tjenester. Stadig mer av daglige gjøremål skjer på nett, og massen av brukere øker kraftig. Det betyr at potensielle ofre øker tilsvarende. Det er viktig å være oppmerksom på lenker en klikker på. Hvis jeg får en lenke med varsling om at jeg har fått melding på Facebook, Twitter eller andre tjenester, så åpner jeg alltid et nytt blankt vindu og logger inn på den aktuelle tjenesten. Deretter klikker jeg på lenken i e-posten. Det tar noen sekunder ekstra, men hindrer at jeg blir lurt dersom lenken er en phishing-lenke. Selv om varslingens meldingstekst ser autentisk ut kan det være phishing. Bedre føre var...

Dine passord er gull verdt. De gir deg tilgang til noe bare du skal ha tilgang til. Dersom ditt passord på en tjeneste blir kompromittert, enten ved hjelp av phishing eller andre teknikker, så ønsker du trolig å redusere skaden så mye som mulig. Da kommer vi inn på passordstrategi. Vi mennesker har ikke evne til å huske mange ulike passord, og faller for fristelsen til å bruke samme passord overalt. Det gjør derimot eksponeringsfaren større i tilfelle du blir lurt overfor en tjeneste. Jeg har skrevet en praktisk veileder om hvordan en kan tenke om gode brukernavn og passord som er høyaktuell i så måte.

Dersom du har mistanke om at du har blitt utsatt for et slikt angrep, så endre Twitter-passordet ditt umiddelbart. Da vil hackeren ha et ugyldig passord og kan ikke lenger utnytte brukerkontoen din. Vurder nøye om du virkelig vil bruke samme passord flere steder. Twitter er en avansert tjeneste med tanke på økosystemet rundt Twitter, og kan være ekstra sårbart for angrep. Selv har jeg nå endret slik at Twitter-passordet mitt er unikt kun for Twitter.

Hva tenker du?

I dette innlegget har jeg prøvd å reflektere litt om hvordan slike angrep typisk utføres, motivasjonen til hackeren og hva du kan gjøre. Har du forslag til flere argumenter eller andre mulige synspunkter? Legg gjerne igjen en kommentar.

9 kommentarer:

  1. Synspunkt: brukere er idioter. Kanskje litt krasst, men det er ikke mindre sant av den grunn. Folk som lar seg lure av slike ting som dette er ikke folk som leser velfunderte betraktninger som dette - det er folk som knapt nok vet at det er forskjell på skjerm og datamaskin (vel, i de fleste tilfeller, i alle fall).

    Problemet er ikke at dette er avanserte måter å lure folk på - det er skremmende enkelt å oppdage slike lurerier. Dessverre skjønner ikke "hvermannsen" noe som helst, og klikker i vei.

    For øvrig - det du sier om at du åpner et nytt vindu og logger inn før du klikker på lenken - det er ikke alltid det smarteste. Dersom man får en melding fra et nettsted, så er det enklere å bare logge inn og finne meldingen igjen der - alle slike nettsteder har en innboks/meldingssentral der man kan finne igjen ting som har blitt sendt til deg - jeg vil heller anbefale å sjekke denne. Greit nok at det ikke ville hjulpet i dette tilfellet, siden meldingen faktisk var sendt via Twitter, men ofte vil slike phisingforsøk være stilet kun som en "look-alike" og ikke faktisk direkte fra den tjenesten man benytter. Dersom meldingen ikke dukker opp, så vet man så klart at noe er galt.

    En annen ting kan være å installere javascript-funksjonalitet som sørger for å vise slike mini-urler i fullformat med en gang, slik at man slipper å klikke på dem for å åpne linken. Dette er riktignok for mer avanserte brukere, og krever at man benytter litt mer oppegående nettlesere.

    SvarSlett
  2. Hei

    Jeg delte denne artikkelen i Google reader og oppdaget at bildet du har sladdet, ikke blir sladdet der når det er det.

    Google ftw, gitt. :-/

    SvarSlett
  3. En liten kommentar :-)
    Jeg fikk phishing meldingen, og siden biosen min er på engelsk tenkte jeg ikke så mye over språket. Brukte tweetie på Iphone, fulgte lenken (dumt: ja) og kom ikke til denne twitter login siden, men til en annen som virket som om en blogg ikke hadde blitt vist riktig. Ingenting å logge seg inn på i det hele tatt. Det gikk opp for meg at dette måtte være phishing eller noe lignende, og jeg rømte derfra.
    At jeg ikke oppga noe brukernavn eller passord hjalp dog ikke.
    Hva betyr det da?

    SvarSlett
  4. http://www.expandmyurl.com berga meg fra nettopp dette angrepet.

    SvarSlett
  5. @PoPSiCLe: Det trengs nok et større fokus på sikkerhet på web for hvermannsen. Jeg tror derimot også at en del som har Twitter-konto kunne gått på slike lurerier. Teknikken er enkel, men samtidig utspekulert og om en ikke tenker aktivt over det, er det fort å gå i fellen selv for nettvante brukere (typisk personer som er på Twitter). Ellers har du et godt tips med å logge inn på tjenesten og sjekke der, og ta varselet som bare et varsel (uten å klikke lenken). Veldig lurt!

    @undreverset: Jeg oppdaget også dette og likte ikke det. Det skyldes at jeg i noen minutter hadde lagt ut en usladdet versjon og Google hadde da tydeligvis cachet bildet i stedet for å referere til det vha URL. Likevel min feil, jeg burde sladdet bildet helt fra starten av.

    @fremde1979: Når du ikke oppgav bruker/pass, skjedde det ikke noe (tror jeg). Phishingen her går ut på å prøve å lure brukeren til å logge inn. Først da vil skaden skje.

    @Anonym: Takk for godt tips (expandmyurl.com). Slike er det lurt å bruke. Noen klienter, for eksempel Tweetie for Mac, har slik funksjonalitet innebygget. Bare for ordens skyld: i dette tilfellet var det ikke farlig å besøke lenken. Det er først når en oppgir bruker/pass at en blir kompromittert (med forbehold om at jeg har skjønt phishingforsøket riktig).

    SvarSlett
  6. Det må ha skjedd noe uten at jeg logget meg inn siden det ble sendt drøssevis av meldinger fra min account. Jeg lurte på om tweetie sendte mine login informasjon automatisk?

    SvarSlett
  7. @fremde1979: Jeg kan ikke skjønne at Tweetie kunne sende login-info i dette tilfellet, men mulig jeg tar feil. Slik jeg opplever denne phishingen så må en selv være aktiv og skrive inn bruker/pass og trykke login.

    Ellers ser jeg at helt vanlige Twitter-brukere faller for dette phishingforsøket: http://www.boingboing.net/2010/02/24/twitter-phishing-sca.html. Noen sier de bruker mobile enheter og derfor ikke ser hele URL-en i adresselinjen.

    SvarSlett
  8. Lærte noe i denne artikkelen, men en kommer sårt til kort ved bare å bytte passordet på Twitter. Det erfarte vi på Twitter sist sommer.

    Råd: Slett alle Hackede spammeldinger og ikke åpne dem. Vær så vennlig å gjøre personene som har sendt disse og er ofre, oppmerksom på at de er Hacket. Og be dem gjøre slik:
    Gå inn på Settings på Twitterkontoen - Connections -Har du uønskede Applications - Revoke Access på Applications som har lagt seg til + skifte passord.

    Kun ved å hjelpe hverandre og ikke tro at andre er dumme, bekjemper vi hacker- og spamondet på Twitter sammen. For ingen er tjent med å bli nedrent med DM-meldinger, selv om de selv ikke sprer ondet videre.

    Kvel ondet Twitter har også en hjelpeside som er til god hjelp: http://help.twitter.com/forums/10713/entries/31796

    God twitterhelg!

    SvarSlett
  9. @AtelierKari: Dette var veldig gode tips! Connections har jeg bare nylig blitt klar over selv, og skriver noen refleksjoner om det i neste blogginnlegg (over helga). Dette du sier om å hjelpe andre ved å rett og slett varsle dem, er et godt tips. Da får en også raskere bukt med problemet.

    Jeg tror at dette innlegget og kommentarene nå dekker mye av problematikken, men det kan også være andre momenter å ta med i betraktning. Noen som oppdager noe som mangler?

    SvarSlett