Fisket passord fra Telenor-kunder
Har du fått epost fra Telenor, om en layout-oppdatering? Vel, da bør du være forsiktig.
Telenors sikkerhetsavdeling TSOC har nemlig gått ut med en advarsel mot et brev, som gir seg ut for å gjelde en layout-oppdatering til Telenors epost på nett, og oppfordrer Telenors kunder til å logge seg på tjenesten.
Phishing-mailen inneholder en lenke som tilsynelatende går til Telenors epost-klient på nett. En rask undersøkelse av lenken viser derimot at den i stedet sender brukeren til en nettside i Peru.
Nettsiden er en kopi av Telenors login-side for epost.telenor.no, og er forholdsvis godt utformet, med unntak av at bokstavene Æ, Ø og Å manglet.
Ble tipset
En av Telenors brukere som mottok eposten synes innholdet i meldingen og nettstedet som var lenket var noe mistenkelig, og sendte tips til Norsis (Norsk senter for informasjonssikring).
Norsis på sin side sendte meldingen videre til Telenor SOC. Her satte en sikkerhetsanalytiker i gang arbeidet med å undersøke serveren som serverte det falske nettstedet.
Analytikeren oppdaget raskt at innsamlet informasjon var lagret i en tekstfil direkte på serveren, og all informasjon var lett tilgjengelig i klartekst.
Nettfiskerne hadde opparbeidet en liste med omtrent 100 brukernavn og passord.
I tillegg inneholdt serveren også en falsk nettside for en Bank i Malaysia.
Utsatte brukere har fått beskjed
Listen med brukernavn og passord og informasjon om phishing-serveren ble oversendt Telenors abuse-avdeling, som begynte arbeidet med å tatt ned den falske nettsiden.
Samtidig ble Telenors kundeservice oppdatert, og de utsatte brukerene fikk utsendt informasjon og tildelt nytt passord over SMS.
Abuse-avdelingen hadde i mellomtiden tatt kontakt med et firma som spesialiserer seg i å få slike nettsider fjernet fra nett. Nettleverandør og serverhost fikk automatisk epost og faks.
Hosting-leverandøren fjernet raskt de aktuelle nettsidene.
Telenor har også satt opp automatisk overvåking av nettstedet, og får beskjed dersom siden dukker opp på nytt.
Hele prosessen tok omtrent èn time, ifølge en bloggpost på TSOC-bloggen.
Anbefaler flere passord
Dette phishing-forsøket ble heldigvis raskt oppdaget og stoppet.
Hadde det fått stå i fred en stund, kunne utsatte brukeres kontoer bli brukt til å sende ut søppelpost, eller på annen måte misbrukes.
Siden mange ofte bruker samme passord til forskjellige nettsteder og nettjenester, er det ikke vanskelig å tenke seg at skurkene kunne ha brukt informasjonen til å forsøke å logge seg på andre tjenester, som for eksempel sosiale medier.
