SEB-lurendrejeri och undersökning av webbplatser

Jag fick i dag ett trevligt mail från SEB, som tydligen (det är lite oklart) vill att jag ska klicka på en länk för att uppdatera någon slags säkerhetsinformation:

Mail som antagligen inte är från SEB.
Mail som antagligen inte är från SEB.

Och titta, att döma av länken har SEB lagt ut sin säkerhetsuppdatering på ett företag som i alla fall har ett domännamn i Frankrike, så praktiskt. Och trovärdigt… Detta är alltså ett bedrägeriförsök och länkar i mail av den här typen ska man I-N-T-E klicka på. Men om man nu är nyfiken på vad som finns där borta på andra sidan länken, hur gör man då? Man kan alltid börja med att Googla på länken och se vad som dyker upp. Att döma av sökträffarna är Civel ett internationellt språkinstitut. Ser legitimt ut, men då är det antagligen inget ställe som sysslar med säkerhet åt SEB:

Sökresultat för SEB-länken.
Sökresultat för SEB-länken. Notera Googles förhandsvisning till höger.

Antagligen har någon hackat institutets webbplats och använder den för att skjuta ut elak kod till intet ont anande besökare. Men hur testar man en webbplats för skadlig kod utan att råka smitta sin burk? Googlar man på how to test if a web page is safe får man upp massor med träffar. Frågan är dock om du kan lita på dom platserna, eller om dom är uppsatta av skurkar som försöker infektera dig också?

C|Net har en artikel om att testa webbplatser för skadlig kod och pekar i artikeln på några olika tjänster. Så varför inte testa med länken från SEB-mailet?

Hphosts är en lista med webbplatser och IP-adresser som tidigare funnits sprida skadlig kod. Hphosts går att lägga in i webbfilter, brandväggar etc för. Men i vårt test ser allt bra ut:

Hphosts för SEB-länken
Hphosts för SEB-länken

Ser grönt och fint ut. Även när vi testar med Norton Safeweb, AVG Online Web Scanner, Trend Micros scantjänst eller Google Safebrowsing diagnostic får vi resultat som säger att länken pekar på ett säkert ställe. Men det stora bekymret är att test av webbplatser inte sker på kommando, utan det sker bara en sökning i en befintlig databas. Googles resultat för SEB-länken ser ut så här:

Google Safebrowsing testar SEB-länken.
Google Safebrowsing testar SEB-länken.

(Googles tjänst når du genom URL:en http://google.com/safebrowsing/diagnostic?site= där du hänger på den URL du vill testa efter likamedtecknet.)

Så är SEB-länken säker? Vi testar med ett par tjänster till. Tjänsten Unmask parasites säger att länken pekar på ett rent ställe, men samtidigt hittar den en massa länkar på sidan SEB-länken pekar på. Länkar som antagligen inte har att göra med lingvistikforskning:

Spännande länkar funna på sidan SEB-länken pekar på.
Spännande länkar funna på sidan SEB-länken pekar på.

Vi gör ett försök till, nu med tjänsten som säkerhetsföretaget Sucuri, som specialiserat sig på att detektera skadlig kod, tillhandahåller. Och hoppsan, nu ser det inte alls speciellt bra ut:

Testresultat från Sucuri av SEB-länken.
Testresultat från Sucuri av SEB-länken.

Flera kända exempel på skadlig kod finns på webbplatsen länken pekar på. Notera att Sucuri påpekar att webbplatsen även är svartlistad. Den som svartlistat webbplatsen är en tjänst kallad PhishTank. Så vi testar väl den tjänsten lite närmare:

PhishTank testar SEB-länken.
PhishTank testar SEB-länken.

Vi har alltså ett par tjänster som säger att SEB-länken pekar på en webbplats som sprider skadlig kod, en plats som är svartlistad. Och sedan har vi ett flertal andra tjänster som säger att länken pekar på ett ställe som är snällt, trevligt och seriöst. Hur ska vi nu bedöma det här, och vad är slutsatsen?

Eftersom länken kom från ett märkligt mail, och eftersom vi hittade i alla fall ett par tjänster som var tveksamma bör vi välja att bedöma länken som pekandes på ett farligt ställe och INTE, INTE, INTE klicka på länken.

Samtidigt sätter vårt lilla test ljuset på en viktig fråga. Kan du lita på tjänster som undersöker sidor åt dig? Flera av sidorna som dök upp när vi sökte efter tjänsterna ser tveksamma ut. Dom kommer från okända leverantörer och finns på webbplatser som namnmässigt låter lite skumma. Men även de klassiska säkerhetsföretagen och Google ger resultat som man kanske inte kan lita på.

Så regeln, både när Microsoft ringer på telefon för att fixa din dator (det gör dom aldrig), SEB eller andra banker skickar mail är att inte göra som dom vill. Och är du osäker kontakta din leverantör på det sätt du gjort tidigare. Ring och prata med banken.

Och klicka INTE på länken.

4 reaktioner på ”SEB-lurendrejeri och undersökning av webbplatser

  1. Samma sak gäller Anti-Virusprogram. Idag är de helt utspelade. De skyddar inte mot nya attacker. Även om de skulle skydda på kända, äldre attacker så gör de det inte konsekvent. Man vet aldrig om anti-virusprogrammet som man använder är bra eller inte och vet man inte det så varför ens köpa ett? Olika AV-program är olika bra mot olika saker. Ingen ger ett 100%:igt skydd. Man kan heller inte kombinera de olika AV-programmen för att få ett fullgott skydd.

    Nä… Det som gäller idag är att avaktivera javascript och alla tillägg i browsern och absolut inte klicka på länkar som man inte är 100% säker på att den inte är ”farlig”.

  2. Självklart kunde jag inte låta bli att testa sucuri sitecheck genom att mata in secworks.se , en liten röd varningstriangel, men i övrigt ok.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Följande HTML-taggar och attribut är tillåtna: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>