TREDJEPART: Innlogging med Facebooks Oauth-tjeneste er trygg nok, men nå har noen funnet ut at de kan forfalske den, og da blir det phishing av det. (Ill: skjermdump)

TREDJEPART: Innlogging med Facebooks Oauth-tjeneste er trygg nok, men nå har noen funnet ut at de kan forfalske den, og da blir det phishing av det. (Ill: skjermdump)

Ny phishingteknikk oppdaget

En ny metode for å narre bruker-id og passord ut av folk er oppdaget. Den er veldig vanskelig å oppdage, selv for de mest årvåkne brukere, men her er løsningen.

Mange nettjenester bruker blant andre Facebook og Google som tiltrodde tredjeparter for innlogging. Vi ser denne teknikken oftest der nettsteder har lagt til knappen «Logg på med Facebook» i innloggingsdialogen sin.

Nå har sikkerhetsteamet bak passordhåndteringen Myki oppdaget at noen har begynt å bruke denne funksjonaliteten til å stjele brukerens bruker-id og passord ved hjelp av en ganske sleip teknikk.

Falsk innlogging

Når man klikker på å logge inn ved hjelp av Facebook-kontoen sin, så spretter det vanligvis opp et eget innloggingsvindu for dette. Dette vinduet har svindlerne nøyaktig kopiert, slik at det ikke er til å skille fra originalen: Nettlinken (URL-en) er faktisk helt korrekt, nettsideadressen er ikke en slu feilstaving som er så å si lik, og den bruker naturligvis HTTPS, og har en grønn hengelås i adresselinjen. Likevel er den falsk.

Forskjellen på ekte og falsk er at den ekte er i et eget nettleservindu, mens den falske er en helt eksakt kopi som er tegnet som ethvert annet grafisk element på en nettside med HTML og Javascript.

Den eneste måten å skille den falske innloggingen fra den ekte, er å ta tak i innloggingsvinduet og dra det ut av det opprinnelige nettleservinduet. Er det ekte, så vil det gå helt fint, siden dette er et annet nettleservindu. Er det falskt, vil denne bevegelsen stoppe ved kanten av det opprinnelige vinduet, siden dette bare er et tegnet element på den opprinnelige siden.

To andre hjelpemidler

Beskrivelsen over er den eneste måten å se at innloggingsvinduet er falskt på, men det vinnes et par andre hjelpemidler som også vil kunne gjøre deg motstandsdyktig mot denne svindelen.

På nettsiden The Hacker News, som opplyste om denne nye phishingteknikken, anbefales det å alltid bruke to-faktor autentisering overalt, slik at det ikke er mulig å ta seg inn på kontoen din kun ved hjelp av bruker-id og passord.

I tillegg anbefales det å bruke programvare for passordadministrasjon. Slike reagerer på nettlenken til siden du prøver å logge inn på, og vil ikke komme med riktig passord på denne svindelteknikken, fordi URL-en er feil i forhold til den legitime siden – husk at på den falske innloggingen er nettadressen bare en tegning, ikke en nettleserdel.

Sikkerhetsselskapet Myki viser her hvordan denne nye teknikken virker:

It-sikkerhet