Mobiler sårbare for phishing

Mobiler sårbare for phishing

Vanskelig å oppdage falske nettsider som stjeler dine brukerdata.

Pc-brukere synes å bli stadig flinkere til å oppdage falske nettsider som vil stjele passord, men ved surfing via mobiltelefon er situasjonen en ganske annen, viser en ny forskningsrapport fra Berkeley, University of California.

Forskerne har undersøkt 100 mobiltelefonapplikasjoner for Android og Iphone, og kommet fram til en rekke teknikker svindlere kan bruke for å skrive skadelige programmer som stjeler offerets brukernavn og passord på nettsteder som Facebook og Twitter, skriver Computerworlds nyhetstjeneste.

Problemet er at mobilbrukerne blir lært opp til å skrive inn brukernavn og passord i mobilapplikasjoner.

Ikke plass til beskyttelse

Første gang en applikasjon ber om tilgang til en annen – for eksempel hvis Groupon for Iphone vil dele noe på Twitter – vil programmet åpne et vindu som ber brukeren logge inn på Twitter. Men det er vanligvis ingen måte å vite om innloggingsnettsiden virkelig er ekte, og om brukeren faktisk sender sitt brukernavn og passord til Twitter.

Nettlesere på pc-en har nettadressefelt, varslingslamper og andre funksjoner som hjelper brukere med å avsløre om de blir forsøkt lurt av svindlere. Slik er ikke situasjonen i mobilverdenen, der skjermen på mobilen er så liten at det ikke er plass til disse beskyttelsesfunksjonene.

I tester har forskere vist at det er nesten umulig for mobiltelefonbrukere å skjelne forskjell på ekte og falske nettsider, på grunn av den lille skjermen. Forskerne ved Berkeley sier det vil være enkelt for kriminelle å utvikle programmer som enten spionerer på brukeren mens han skriver inn passord, eller omdirigerer brukeren til en phishing-nettside som ser nøyaktig ut som en ekte nettside.

David Wagner, it-professor ved Berkeley og en av forskerne bak rapporten, tror at inntil det utvikles bedre metoder for hvordan mobilapplikasjoner kommuniserer med hverandre, vil dette være et vanskelig problem å løse.

Mobilplattformen henger etter

Akkurat nå er det ikke mange phishing-angrep som er rettet spesielt mot mobiltelefonbrukere, ifølge Dave Jevans, styreformann i Anti-Phishing Working Group. Han sier seg likevel enig i at phishing-epost er mer effektiv når den dukker opp i innboksen på mobiltelefonen.

- Anti-phishing-teknologien på mobiltelefoner er underlegen sammenlignet med hva som er tilgjengelig på Windows-plattformen, sier Jevans.

Selv om applikasjonsbutikker har sikkerhetsfunksjoner som skal forhindre at skadelige applikasjoner slipper inn, kan kriminelle distribuere et program som virker autentisk til å begynne med, før det plutselig blir til et passordstjelende phishing-program, sier Kevin Mahaffey, teknologisjef og grunnlegger av mobilsikkerhetsselskapet Lookout.

- Det er en helt ny verden av mobil skadevare som omgår sikkerhetskontrollene, sier Mahaffey.

Les om: