Ideelt verktøy for ID-kapring

Et dansk sikkerhetsselskap advarer at det er enkelt å misbruke kontakttjenesten Plaxo.

Plaxo-tjenesten var «dagens nettjuvel» i digi.no i går. Det er et gratis tillegg til Microsofts e-postklient Outlook, som gjør det lettere å oppdatere og vedlikeholde kontaktopplysninger. Plaxo tilbyr automatisk e-postutsending av oppdateringsskjemaer til kontakter. Når disse besvares per e-post, går de oppdaterte opplysningene rett inn i kontaktlisten.

Les også:

Plaxo har mer enn fem millioner registrerte brukere.

Det danske IT-sikkerhetsselskapet CSIS skriver i en sikkerhetsadvarsel at de den siste uken har registrert tilfeller der folk har fått Plaxo-meldinger fra ukjente.

– Vi gravet i saken og fant at Plaxo er et ideelt medium til ID-tyveri, skriver CSIS. – Det kan misbrukes til å oppnå kjennskap til forskjellige personlige opplysninger via snedig «social engineering».

Den enkleste formen for misbruk er når en spammer vil sjekke hvilke av e-postadressene han har samlet på som virkelig er i bruk. Da er det bare å bruke Plaxo til å masseutsende skjemaer, og ta imot alle tilbakemeldingene.

I verste fall – eller i beste fall for spammeren – returnerer offeret et fullt oppdatert Plaxo-skjema. Da gir man fra seg ikke bare en bekreftelse på at e-postadressen er i bruk. Man overgir i tillegg navn, arbeidsplass, adresse, telefon, mobiltelefon og så videre.

CSIS anbefaler at man ikke svarer på Plaxo-meldinger med mindre man er sikker på at man kjenner avsenderen.

Til toppen