Den attack som Nordea utsattes för går som bekant under ordet phishing. En attackform som knappt någon kände till 2003. Det var först 2004 som attackformen fick ett genomslag och ordet phishing blev bekant. Idag är ca 5% av all mejl är ett phishing försök.
Till Nordeas försvar skall nämnas att det inte finns någon heltäckande lösning på problemet. Det som dock förvånar mig är att man inte vidtagit en av de enklare åtgärderna, nämligen att tillföra SPF-information till domänen (se tidigare krönika i CS för detaljer). Det hade inneburit att en ansenlig mängd mottagare med automatik sorterat bort mejlet eftersom det kom från en icke godkänd IP-adress. Nordea är inte unikt i just detta avseende. Merparten av aktörerna i finanssektorn saknar SPF-information i sina domäner trots att 85% av alla phishingförsök riktar sig mot just den sektorn.
För att en phishing attack skall bli lyckosam krävs det att några delar av en promille går på phishingförsöket. De som vuxit upp med webb, mejl, Internet etc är med andra ord inte den primära målgruppen eftersom de också i allmänhet lärt sig att man måste vara källkritisk och att bedrägerier är vanligt förekommande. Målgruppen är snarare den mängd hemmaanvändare som inte arbetar med datorer dagligdags och som tyvärr inte alltid fått de grundläggande kunskaperna som försvårar bedrägerier och missbruk.
Media, inte minst de med gott anseende, har en otroligt viktig roll att fylla. De skall inte bara rapportera sanningsenligt, utan också bidra till att öka förståelsen för den nya tekniken. Största felet är att man allt för ofta försöker uttrycka sig på ett sådant sätt att man varken är sanningsenlig eller bidrar till att öka förståelsen. Tvärtom, man bidrar till att öka på mystiken kring internet och internetrelaterade tjänster och funktioner.
En av de mediaaktörer som i mina ögon har ett mycket gott anseende, Ekot, gjorde ett rejält feltramp när de rapporterade om denna händelse. De påstod i morgonsändningarna att en falsk hemsida satts upp framför Nordeas riktiga hemsida och att de kunder som försökte logga in fick ett mejl om att skicka sina hemliga kontouppgifter till bedragarna. Kan det bli mer vilseledande?
Initiativet till SurfaLugnt kampanjen var lovande. En kraftsamling för att öka det allmänna medvetandet och på så sätt göra det betydligt svårare för bedragare och illasinnade att agera. När jag frågar dem i min omgivning som inte dagligdags arbetar med datorer och som jag ser som målgruppen för kampanjen så är det ingen av dem som hört talats om kampanjen. Jag är rädd för att man skjuter förbi den egentliga målgruppen.
Kunskap är som sagt det viktigaste motmedlet mot bedrägerier och andra illasinnade ting som förekommer över Internet. Här har vi i branschen en viktig roll att fylla. Alla har i sin närhet någon som skulle kunna vara nästa offer för ett bedrägeri. Ditt initiativ till att dela med dig av dina kunskaper kan vara avgörande för honom eller henne.
© 2005 Thomas Nilsson, Certezza AB
Thomas Nilsson
