Phishing, det vil si innsamling av fortrolig informasjon gjennom falske websider, virker. Ikke bare det, i blant virker det svært godt. Det forteller en gruppe forskere ved University of California, San Diego, og Google i en forskningsrapport om kapring av brukerkontoer på nettet. Selv de mest innlysende phishingforsøkene lykkes ved i gjennomsnitt 3 prosent av tilfellene. Mer gjennomarbeidede phishingkampanjer har en suksessrate på i snitt 14 prosent. Men de aller beste phishingsidene greier å narre hele 45 prosent av besøkende til å oppgi informasjonen kaprerne er ute etter. Dette kan være innloggingsinformasjon, kredittkortnummer eller annen informasjon som kaprerne kan utnytte i sin kriminelle virksomhet.
Med tanke på at kaprerne kanskje sender ut millioner av e-poster til potensielle ofre, er selv en suksessrate på 3 prosent ofte verdt innsatsen.
Google har i et blogginnlegg oppsummert funnene som er gjort av forskerne.
Omtrent 20 prosent av kaprerne vil logge seg på med innloggingsinformasjonen innen så lite som 30 minutter etter at den har blitt samlet inn. Når de første har kommet inn, vil de ta seg god tid til å lete etter mer informasjon, for eksempel om bankforbindelser og kontoer i sosiale medier. Dessuten vil de endre passordet for å sperre kontoeieren ute, viser undersøkelsen.
Kontaktlisten
Den kaprede kontoen kan også bli brukt til å sende ut nye phishingforsøk. Det er 36 ganger mer sannsynlig at folks konto blir kapret dersom den er oppgitt i kontaktlisten til en kapret konto. Årsaken er at mottakeren ser at e-posten kommer fra noen man kjenner og stoler på.
Selv om mange av phishingforsøkene virker klønete, er det definitivt andre som er langt mer avansert utført. Forskerne påpeker blant annet at mange kaprere er flinke til å tilpasse taktikkene sine til nye sikkerhetsforanstaltninger, blant annet ved å be om informasjon om brukerens vaner.
– For eksempel, etter at vi begynte å be folk svare på spørsmål når de logger inn fra mistenkelige steder eller enheter, som «hvilken by logger du inn fra som oftest?», har kaprerne nærmeste umiddelbart begynt å lure til seg svarene, skriver Google.
Mottiltak
Den foreløpig beste måten å hindre phishing på, er å benytte to-trinns innlogging. Stadig flere nettbaserte tjenester tilbyr en slik mulighet. Det innebærer at man i tillegg til brukernavn og passord, også må taste inn en engangskode. Typisk vil engangskode sendes til brukerens mobiltelefon som en SMS eller vises i en spesiell mobilapp. Men også bankenes kodebrikker og -kort er eksempler på det samme.
Men de fleste av tjenestene som tilbyr to-trinn innlogging, tilbyr dette som en frivillig ordning som brukeren selv må aktivere. Mange blir ikke klar over denne muligheten før uhellet først er ute.
Dersom kontoen først har blitt kapret, er det viktig at man på forhånd har sørget for at man relativt enkelt kan få tilgang til den igjen, for eksempel ved å oppgi en alternativ e-postadresse eller en mobiltelefonnummer hvor verifiseringskoder og lignende kan sendes.
Ifølge Google har tiltak som dette redusert kapringen av Google-kontoer med mer enn 99 prosent de siste årene. Likevel observerte Google ni tilfeller av manuell kapring av kontoer per millioner aktive brukere per dag i perioden 2012 til 2013.
