Våra senaste 
Min bok finns att köpa på Coop just nu, vilket såklart är roligt. Vad som är mindre kul är skylten…
(Foto: Dag Öhrlund)
Kanske inte menade ”mot” Internet när vi skrev boken… Och internett? Är det norska?
Nåväl, all uppmärksamhet är väl bra uppmärksamhet…
Tänkte passa på att göra reklam för ett seminarium jag ska prata på i mitten av september:
Välkommen till ett seminarium om hur du utvecklar din verksamhet med säkra mobila lösningar. Var i teknikens framkant men med bibehållen kontroll.
Framgångsrecept eller giftbrygd. Det mesta kan effektiviseras och göras tillgänglig med hjälp av webb och handdatorer, men tänk om kreditkortsnummer stjäls och patientdatabasen dyker upp på Aftonbladets löp? I lågkonjunkturen har du inte råd att göra fel. Ny teknik kan vara skillnaden mellan framgång och konkurs. Men bara om du har riskerna under kontroll.
Risken finns att det blir riktigt intressant 
Jag borde ha skrivit om detta tidigare, men en massa annat har kommit i vägen. Hur som helst. Det har under de senaste månaderna skickats EN MASSA mejl av denna typ:
Bäste XXXX.se Användare,
Detta meddelande från XXXX.se Administration Center för alla XXXX.se
användaren. Vi håller på att uppgradera vår databas och e-post centrum.
Vi tar bort alla oanvända XXXX.se konto användaren. Du är skyldig att
kontrollera och uppdatera din e-post genom att bekräfta din e-identitet
omedelbart. Detta kommer att hindra din e-post från avslutats under
denna övning. För att bekräfta din e-identitet, du skall lämna följande
uppgifter;
Bekräfta din e IDENTITET NEDAN
Förnamn :________________
Efternamn :____________________
Epost Användarnamn :___________________
Email Password :____________________
Varning! Alla XXXX.se användare som vägrar att kontrollera och därefter
uppdatera hans eller hennes e-post inom sju dagar efter mottagandet av
denna varning kommer att förlora hans eller hennes e permanent.
Tack för att du använder XXXX.se e-postkonto
Varning Kod: VX2G99AAJ
Tack,
XXXX.se Management Information
Copyright © 2009 Regents på XXXX.se alla rättigheter förbehållna.
(Jag har på ett snillrikt sätt maskerat företagsnamnet med XXXX 
)
Mejlet kan komma på engelska, eller som i fallet ovan, på svenska. De är mer eller mindre bra skrivna. Exemplet ovan är ovanligt välskrivet. Tro mig, jag har sett betydligt värre versioner.
Mejlkontona som det sägs röra kan vara i princip vilka som helst. Jag har sett fejkade avsändare från privata företag, Hotmail, Gmail, universitet och så vidare och så vidare.
Avsändaradressen är mer eller mindre sinnrik, alltifrån riktiga människor (hackade mejlkonton förmodligen), till fejkade admin-adresser på företaget i fråga.
Reply-to adressen verkar dock alltid vara samma: admin.upgradingaccount@googlemail.c om (Jag lade till ett mellanslag i adressen med flit)
En annan sak som verkar vara gemensam är den varningskod (eller Varning Kod) som står i brevet: VX2G99AAJ. Varför det är så kan man bara gissa. Har du förslag? Mejla mig eller skriv en kommentar här i bloggen. Den som knäcker den nöten får förmodligen stor uppmärksamhet globalt. Jag har ännu inte hittat någon förklaring.
Någon vänlig själ har till och med registerat domänen www.vx2g99aaj.com för att hjälpa oroliga sökare. Men jag kan som sagt inte förklara varför just denna kod ligger med.
Det är vanligt med olika typer av löpnummer i spam. Förmodligen för att kunna avgöra vilken ”batch” som ditt klick kommer ifrån, eller för att se vilka e-postadresser som funkar. Men här är det samma. Det kan vara så enkelt att man helt enkelt inte har någon baktanke med det hela. Det kan vara så att man skrev in koden en gång i tiden för att det såg bra ut, och sen har den bara legat kvar.
Jag var och lyssnade på en dragning om just detta mejl häromdagen. Ett universitet (skriver inte ut vilket, för jag vet inte om jag får) hade råkat ut för detta, och ett stort antal personer hade faktiskt svarat. När de sedan spårade inkommande trafik till dessa konton visade det sig att trafiken kom från Nigeria (eller rättare sagt, den senaste kopplingen kom från Nigeria).
I exemplet ovan kom mejlet från en ”helt vanlig” svensk e-postadress från en ”helt vanlig” svensk e-postleverantör. Men vem som kontrollerar det kontot och hur, ska vi låta vara osagt. Polisanmälan är upprättad och de kommer säkert spåra vidare.
Så, hur skyddar man sig mot denna typ av attack? Rätt enkelt egentligen:
För dig som privatperson:
- LÄMNA ALDRIG UT DITT LÖSENORD!
För dig som är ansvarig för IT på ett företag:
- Säg till dina användare att ALDRIG LÄMNA UT SINA LÖSENORD!
- Prova Ingress Filtering för att filtrera bort fejkade mejl och annan trafik
- Håll antispamfiltret uppdaterat
Ok, frågar du dig. Varför går något igenom så hiiiimla stort besvär för att få tag på någons e-postkonto? Är det så hiiiiimla roligt att läsa nån annans e-post?
Kanske. Det beror på vems konto man kommer in på. Det finns säkert en del smaskigt att få reda på via e-posten. Nåt man sen kan använda i utpressning, mobbning eller företagsspionage t ex. En klar integritetskränkning är det i alla fall.
Men, det kan finnas en enklare förklaring – Pengar.
Eftersom allt elakingarna gör idag går ut på att tjäna pengar så försöker man ständigt hitta nya vägar att göra det på. Affärsutveckling kan man kalla det för.
I vår Underground Economy Report (PDF) och även i den senaste Internet Security Threat Report visar vi på att information om stulna e-postkonton är den tredje vanligaste handelsvaran (efter kreditkortsnummer och internetbankkonton). Varför är folk beredda att betala för det och varför detta intresse? Jo, för att man kan använda din e-post för att komma vidare och i ett nästa steg stjäla dina pengar.
Man lägger in e-postadressen till kontot man har kontroll över på en massa intressanta webbplatser. Till exempel internetbanker, internetaktiehandlare och så vidare. Sen klickar man på den magiska knappen: ”Jag har glömt mitt lösenord”. Då skickar sajten snällt lösenordet till e-postkontot man har kontroll över. Sen är det fritt fram att logga in och föra över pengar.
Men tar det inte en massa tid? Jo. Vem har tiden? De som vill tjäna pengar.
Det finns nu, som alltid, en hel massa människor runt om i världen som inte har pengar. Sen finns det en hel massa personer som har pengar. De som inte har pengar, och i och med det inte mat/husrum/kläder/knark/blöjor/52″ LCD-TV eller andra oumbärliga saker är ofta beredda på att lägga ned en del jobb på att skaffa pengar. Internetbrott är enkelt och svårt att upptäcka/hindra/spåra/stoppa. Risken för upptäckt är minimal och man har hela världen som brottsplats. Klart lockande alltså.
Så, se till att det inte är dina pengar de för över. Lämna ALDRIG ut ditt lösenord.
skulle jag laddat upp här om det bara gått… i FF så laddas bilden upp, men visas inte. I Internet Explorer kraschar Flash när jag laddar upp bilden (dagens märkligaste fel) och i Opera kan man inte ens logga in på IDG idag.
Kanske bättre att gå o lägga sig…
Forskare på University of California har lyckats ta sig in i Torpig-bottnätet (Symantec kallar den Mebroot). De har dissekerat och skrotat runt lite. Det är faktiskt ganska intressant att se hur de är uppbyggda och vilka enorma mängder data de samlar in från offren.
Just detta botnät består av ca 180 000 (!) datorer och under de 10 dagar forskarna studerade nätet aggregerade det hela 70 GB data! Med tanke på att det bara är keylogging-uppgifter (användarnamn och lösenord etc) så är det enormt mycket.
På dessa tio dagar samlade Mebroot in uppgifter om 8 310 konton från 410 olika institutioner (banker, kreditkortsbolag, etc). Ett par exempel:
* PayPal – 1 770 konton
* Poste Italiane – 765 konton
* Capital One -314 konton
* ETrade -304 konton
* Chase -217 konton
Den samlade också in 1 660 unika kreditkortsnummer. Forskarna såg kapade datorer från i princip hela världen men topp 3 såg ut så här: 49% fanns i USA, 12% i Italien och 8% i Spanien
Läs mer om Mebroot här. Denna är något av det ”värsta” som finns just nu. Kanske en av de värsta någonsin. Man får in Mebroot via Drive-by-Downloads, alltså att man surfar in på en sida som är kapad eller helt i händerna på elakingarna. Nu senast körde man en ”raid” mot porrsiter. Dessutom kan man få in den om man luras att öppna en preparerad PDF (därav att jag tjatar om att ni ska vara försiktiga med PDFer och att ni ska uppdatera den 12′e maj).
Här finns en alldeles ypperlig, mer teknisk, förklaring vad Mebroot gör och hur den fungerar.
Det som är riktigt giftigt med Mebroot är att det är ett rootkit som gömmer sig i MBRen. Den finns INTE som en fil på hårddisken. Den injicerar sig själv i olika kernel drivers när man startar upp datorn
Läs mer om forskarrapporten här (PDF)
Känns lite spännande att länka till en PDF särskilt som jag i förra inlägget varnade för dem 
*EDIT* Lagt till mer information och länkar
Nu har det äntligen lossnat! Adobe meddelar via sin blogg att de kommer släppa patchar för de två senaste sårbarheterna den 12 maj.
Gör oss alla en tjänst och patcha så snart det går. Det pågår mycket fuffens via PDFer just nu.
Jag kan dessutom, som först i världen, visa en bild på hur svininfluensan en gång startade:
Det skickas just nu runt en hel massa spam som handlar om svininfluensan. Det mesta är spam där man vill sälja allehanda ”läkemedel” som uppges skydda mot influensan, men som förmodligen är tvättmedel. En del av spammet leder dit till sajter som infekterar datorn med elak kod.
Dessutom har man nu fuskat med Googles Adwords, så många av de man får upp när man söker på svininfluensan leder till ”fel” sajter.
Var försiktig. Håll dig till de officiella sajterna, t ex European Centre for Disease Prevention and Control eller Smittskyddsinstitutet.
Hittade igen en gammal artikel som Assi Abdel-Baki skrev för ett par år sedan till tidningen Datormagazin.
Det är en så kallad profilartikel och även fast den är ett par år gammal vid det här laget så är det mycket som fortfarande är aktuellt (och nej, jag har inte varit väktare. Vet inte var det kommer från).
Blir lite nostalgisk 
