Fildelingstjenester som kanal for kidnapping

av thore
0 kommentarer

Denne lille skrivelsen kan gjerne tolkes som en frittstående oppfølger til Klikk mindre – lev sunnere. For til syvende og sist så er det den enkelte bruker som klikker én gang for mye (eller mer) som havner i fella.

De siste ti-tolv årene har vi sett stadig mer ransomware, dvs. programvare som kidnapper brukerens PC og forlanger løsepenger for frigivelse. Når programvaren først er installert på maskinen slår den til uhyre raskt. Først krypteres det aller mest av innholdet på disken(e). Samtidig søker programvaren å spre seg selv til andre maskiner den finner på samme lokalnett. Når krypteringsbiten er på plass tar programvaren fullstendig kontroll over maskinen og presenterer brukeren med den hyggelige meldingen om at PCen nå er låst og kun kan låses opp ved at man betaler et fantasibeløp til en eller annen utenlandsk konto. Som oftest blir man bare lurt dobbelt opp om man betaler: pengene er borte, men PCen er like låst.

Den ondsinnede aktiviteten rundt dette går i bølger. For de kriminelle er avhengige av et velfungerende første steg: spredning av programvaren til sårbare maskiner. De første variantene ble derfor spredt som vedlegg til uskyldig utseende e-poster. Men etterhvert lærte programvaren som filtrerer e-post seg hvordan disse e-postene så ut og størsteparten av e-postene forsvant i filterprogramvare på tjenere. Søppelpostfiltrering også på mottagende PCer lærte seg litt om dette og merket angrep som spam. Og brukere lærte seg at man ikke nødvendigvis skal klikke på alle vedlegg og åpne dem. Årvåkne brukere skapte mindre marked for bandittene.

Så tok de ibruk nettsteder og sosiale medier til spredning av programvaren. Metoden gikk ut på å få brukere til å laste ned sakene selv. De fortalte selvfølgelig en helt annen historie om hva man ville få laste ned om man klikket den ene eller andre lenken. Særlig var dette en metode som var velegnet i nettsteder og chatteforum der brukere antas å være mindre opptatt av sikkerhet, som f.eks. «rosa tjenester» (aka. porno). Heldigvis lærte folk seg også at dette ikke var spesielt lurt.

De siste par månedene ser vi en markert økning i en ny metode for å spre denne stygge programvaren. De kriminelle sender ut uskyldig utseende e-post uten vedlegg, men med en lenke til et «dokument» de mener brukeren bør titte på. De forteller gjerne typisk at lenken er til en faktura, en ordrebekreftelse, en bestilling, en purring, en påminnelse, en produktkatalog e.l. Og dessverre lykkes de.

Denne type e-poster er det vanskeligere å lære opp filtreringsprogramvare til å ta seg av. E-posten i seg selv er enten enkel tekst inneholdende kun én enkelt lenke. Eller e-post er en html-e-post med et utseende som etteraper eksisterende virksomheter. Gjerne store og kjente aktører som banker, konsern i ulike bransjer, nettbutikker, telekom- og internettaktører osv. Måten man fra tjenersiden slår tilbake mot denne typen e-post er hovedsaklig ved hjelp av fullstendig utestenging av tjener dette rasket sendes fra. I ekstreme tilfeller ser man hele serverparker stå bak angrepene og da stenger man fort ute noen hundre eller over 1.000 IP-adresser i en enkelt operasjon.

En suksessfaktor for de kriminelle er at e-postene både tildekker hvem de er og at lenken til det nedlastbare dokumentet ikke avslører dem. Det finnes ulike metoder for å tilsløre eller forfalske avsender slik at bruker tror dette kan være fra en de tror har de aller beste hensikter. Derfor bruker de kriminelle ved e-postangrep til norske mottagere navn som kan se ut som helt vanlig norske navn. Det neste steget er å skjule opphav til filen med det farlige innholdet. Den filen må nødvendigvis befinne seg et eller annet sted ute på en åpen nett-tjeneste slik at den lastes ned så snart brukeren klikker på lenken. Om de kriminelle har dette på sin egen tjener så avslører de jo mer om seg selv. Derfor benytter de nå åpne og lett tilgjengelige fildelingstjenester. Dette er fildelingstjenester der kundene/brukerne ikke utsettes for analyse av innhold/dokumenter de laster opp. Dermed kan de lett legge ut tilsynelatende uskyldig kode. Hittil har vi sett lenker til slike dokumenter peke til Dropbox, Amazon og Google.

Du skal ikke tro så inderlig vel – at ikke fildelingstjenesten kan gi deg en smell!

Det er på tide å blåse støv av en rekke gamle jungelordtak. Ikke bare bør du klikke mindre. Men du bør også bli mer selvhjulpen i krigen mot disse kriminelle: finn ut av hvordan du i e-postprogrammet kan titte på:

  • innholdet i det som vi refererer til som konvolutten (aka. header); her finner du IP for hvor e-posten er sendt fra og kan spore denne
  • kildekoden for e-postinnholdet dersom det ikke er ren tekst, dvs. HTML kildekode; her finner du henvisninger til hvor lenker egentlig peker til

Og er uhellet ute. Aner det deg at du har lastet ned noe som er i ferd med å ta knekken på maskinen din så må du umiddelbart igangsette skadebegrensing! Du må beskytte de andre maskinene på lokalnettet ditt. Det gjør du enklest ved å stanse din maskin så raskt som overhodet mulig. Ikke gjennom menyvalg eller slikt. Bruk det jeg kaller «svenskeknappen»: koble fra strøm umiddelbart. I verste fall mister du det du har jobbet med siden sist du lagret. Det er tross alt mindre enn total katastrofe. Og har maskinen din kablet tilgang til lokalnett så røsker du ut den pluggen også.

Er du i tvil om hvordan du kjappest stanser maskinen og kobler den fra nettet så kan du jo øve litt på det. Lykke til!

Og husk: klikk mindre – lev sunnere! Dette er tidenes beste helsetips.

You may also like

Annonseblokkering funnet

Vennligst støtt oss ved å slå av AdBlocker-tillegg i nettleseren din for vårt nettsted.