Hur vi luras

För att förstå hur lurendrejare lyckas lura folk i den digitala åldern så hjälper det att förstå hur de lyckades lura folk innan datorer och internet. (Spoiler alert.)

 

De ljög.

Och såklart behövdes det också skapas en illusion av trovärdighet kring både lögnare och lögn. Det kunde göras på olika sätt. Vi tar två exempel: att sälja broar och att skicka telegram.

Om att sälja broar

Har du någon gång hört sägas "Och tror du på det där så har jag en bro att sälja åt dig"? Det är tack vare en lurendrejare som hette George C. Parker.

 

George livnärde sig som försäljare. Vilket i sig inte sku ha varit problematiskt, om han inte hade specialiserat sig på att sälja saker han inte ägde. Stora, dyra saker. Bland det han sålde under sitt liv var Brooklynbron.

George-C_edited.png

George C.Parker (1860-1936)

330px-Brooklyn_Bridge,_Looking_East,_New

Brooklynbron år 1899 (bild: D. Austin)

Historieböckerna vet tyvärr inte berätta mycket vad gäller detaljer. George var aktiv under flera årtionden och tros ha sålt Brooklynbron upprepade gånger - ibland till och med två gånger i veckan. Vi kan anta att han skapade trovärdighet genom att vara välklädd, ha ett övertygande sätt, ett stiligt kontor och dokument vilka såg officiella ut.

 

Det som fick offren att vilja tro på lögnen var den utlovade möjligheten att tjäna gott om pengar genom att sätta upp en vägtull på bron. Alltså att ta betalt av alla som ville korsa den. Det sägs ha blivit en bekant odåga för polisen att återigen få dra ut till Brooklynbron för att riva ner hastigt konstruerade vägtullar och meddela åt nya "ägaren" av bron att de fick packa ihop och dra.

Om att skicka telegram

Även innan internet använde lurendrejare sig av teknologi - och offrens brist på kunnande om teknologi - för att skapa trovärdighet och lura offren på sina pengar.

Under guldrushen i Alaska på 1800-talet byggdes det i ett mycket tidigt skede en telegrafbyrå vilken man kunde använda sig av för att skicka meddelanden till familj och vänner. Det var dyrt att skicka telegram, så de var ofta korta. Man kanske meddelade att man kommit fram tryggt till Alaska. Kom man tillbaka några timmar eller dagar senare kunde det vänta ett kort meddelande i svar.

Soapy_Smith_1898c.jpg

Det man inte inte kom att tänka på var att för att ett meddelande ska kunna färdas från avsändande telegrafbyrån till den mottagande så måste stationerna vara sammankopplade med en ledning genom vilken meddelandet kan färdas.

Sku man ha varit insatt i hur telegramskickandet (och lurendrejerier) fungerar sku man kanske ha förundrat sig över hur de lyckats dra ledningar hela vägen till Alaska så fort efter att guldrushen börjat.

 

Och så sku man kanske ha undrat varför det inte syntes några sådana ledningar som kopplade telegrafbyrån med omvärlden.

"Soapy" Smith (1860-1898) Källa

Telegrafbyrån drogs av ett gäng lurendrejare, med Jefferson "Soapy" Smith i spetsen. De tog offrens pengar och låtsades skicka deras telegram. Och hittade på möjliga svar till dem. Inte nog med det - lurendrejarna använde också telegrafbyrån som ett sätt att lära känna sådana som nyligen anlänt till Alaskas guldrush. För att se vilka som var rika och lättlurade - så de kunde lura dem på ännu mera pengar på andra sätt.

Om lurendrejeri idag

Grundidén är densamma idag: lögner som fås att verka trovärdiga. Men nu kan lurendrejarna utnyttja - och gömma sig bakom - teknologi.

 

Internet har gjort det lättare att nå massiva mängder människor. Och teknik har givit lurendrejare nya sätt att skapa en illusion av trovärdighet kring sina lögner. Ofta genom att lita på vår brist på kunnande om teknologi. Vi tar en titt på några populära knep lurendrejare använder sig av.

Om "spoofing" - förfalskande av e-post eller telefonnummer

Ett exempel är att förfalska avsändarinformationen i ett e-post. Det finns sajter på nätet vilka låter dig (gratis) skicka e-post där du själv kan bestämma vilken adress som ska stå som avsändare. På engelska kallas det för "email spoofing". Det samma går att göras också med mobiltelefoner - att t.ex. skicka ett textmeddelande som ser ut att komma från ett nummer vilket sändaren bestämmer helt fritt.

Phishing_email.png

Det finns webbsidor som gör det möjligt att luras med e-post. Här kan man själv välja vem det ska verka komma från och vad det ska stå.

E-post spoofing kan användas för olika lurendrejerier. Ett enkelt exempel är att använda det i något som kallas VD bedrägeriet, eller CEO Scam.

Om VD bedrägeriet

Det går att göra olika varianter på en CEO scam. Men grundidén är att det kommer ett e-post från chefen, som är på resa då, med ett viktigt meddelande. Vanligtvis i form av en räkning som måste betalas, och gärna så fort som möjligt.

Vad det är för räkning och varför det är brådskande att betala den kan variera. Om chefen är på semester så är det kanske en räkning de "glömde" betala innan de åkte på semester. Räkningen har redan förfallit och de vill att den betalas så fort som möjligt. Eller, om chefen är på arbetsresa så kan det vara en betalning som har att göra med arbetsresan. En investering för att slå fast en otrolig möjlighet till nytt samarbete.

Om att skicka räkningar åt vikarier

Samma idé kan genomföras på olika sätt - det behöver inte alls vara en räkning från chefen. Med hjälp av ett företags hemsida, LinkedIn, diverse social media mm. går det ofta att bygga upp en bra uppfattning av hierarkin i ett företag. Och luska ut när någon är på semester eller arbetsresa. Vilket skurkarna använder till sin fördel.

 

Det kan göras genom att skicka en brådskande räkning åt någon som turar den som egentligen sköter betalningar. De kanske inte märker att det är något skumt med betalningen, och vill oberoende inte störa den som är på semester med frågor om saken. Så de betalar den.

Om att "Vi har bytt bank"

Och ännu en sista variant: Det går till så att man skickar ett meddelande till ett företag att man har bytt bank och ber dem uppdatera sin betalningsinformation. Och man utger sig vara ett företag som de gör affärer med. Ifall de då har räkningar öppna till företaget i fråga så hoppas man att de betalar de räkningarna till ens (skurkarnas) bank istället för till det riktiga kontot som står på räkningen.

Om teknobabbel, struntprat och sextortion

Ett annat sätt att använda teknologi mot oss är genom att uttnyttja vår brist på kunnande om teknologi. Till exempel genom att lurendrejare använder avancerade teknologiska termer för att få det att verka som om de är tekniskt kunniga. Och på så sätt få deras påståenden att verka trovärdiga.

Ett vanligt exempel på det här är såkallade sextortion e-post.

 

De går till så att vi får ett mejl där en okänd avsändare skriver att då vi besökte en porrsida lyckades de infektera vår dator med något otrevligt program. Med hjälp av vilket de lyckats banda in både vår skärm och oss genom vår dators kamera. Och så har de också lyckats roffa åt sig hela vår kontaktlista. Och om vi inte ger en säck med pengar åt dem så skickar de en genant video av oss åt alla på vår kontaktlista.

note.webp

Sådana här lappar är farligare i filmer än i din e-post. (Källa.)

De här påståendena kan skurkarna försöka göra mer trovärdiga genom att använda teknologiska termer då de förklarar vad de gjort. Men allt är en enda stor lögn. De installerade aldrig något skadeprogram på vår dator och de har ingen kopia av vår kontaktlista. Det enda de egentligen gjorde var att de skickade en massa e-post och hoppades på det bästa.

De litar på att tillräckligt många människor har besökt vuxensidor, och tillräckligt många av dem ska falla för deras teknobabbel, att det ska vara värt deras tid att försöka luras. (Och det är tyvärr massor av människor som faller för det.)

En extra krydda i ett sextortion e-post som är värt att känna till är att de ibland skickar ett "bevis" på att de hackat vår dator. Vanligtvis i form av något lösenord vi använder eller har använt. Men de känner inte till lösenordet för att de hackat vår dator, utan för att de fått tag på lösenordet genom ett dataintrång - de har alltså hittat lösenordet (och vår e-post) på nätet.

Om phishing

Phishing hadlar om att lura offret att ge något värdefullt åt skurken. Samma som vi behandlat hittils. Men med phishing så är det ofta fråga om inloggnings-information för e-post, social media, arbetsplatsens interna sidor, el.dyl.

phishing_license.png

"Phishing license" (källa: xkcd)

I ett mycket populärt sätt för phishing används e-post. Du har säkert fått mer än nog av dem själv också. De kan t.ex. påstå sig vara från IT avdelningen på ens arbetsplats, universitet, eller något företag vars produkter eller tjänster man använder.

Det kan hända att personen som får phishing är det slutliga offret. Men det kan också hända att skurkarna t.ex. vill komma åt en annan persons e-posts inloggningsinformation för att sedan kunna skicka ett mer avancerat phisihing e-post (eller VD bedrägeri, eller något annat) som inte bara verkar komma från, utan faktiskt kommer från den personens e-post.

De skriver att det är viktigt för dig att logga in på ditt konto. Orsaken som ges för varför det är viktigt kan variera. Det kan t.ex. vara att de säger att ditt konto har blivit hackat och att du måste byta lösenord. Och för att göra livet lättare för dig så avslutar de mejlet med en länk till inloggningssidan.

Om att inte lita på länkar

En viktig sak att veta med länkar är att de inte alls behöver leda dit de påstår sig leda. Länkar i e-post eller webbsidor kan skapas så att man säger åt datorn att en viss text snutt ska länka till en viss internetsida. Men datorn kollar inte att länken och texten är lika. Så jag sku t.ex. kunna ha en länk här som ser ut som om den leder till digifanskap.com men som sku leda någon helt annanstans. (I det här fallet till en Rick Astley musikvideo.)

Surfar du på en dator så kan du sätta musen (eller "pekdosan" om du föredrar 1900-tals lingo) ovanför länken. Då borde du se vart länken leder. Men oberoende vad du använder för manick så är det tryggast att helt enkelt inte klicka på länkar man får i e-post. Ett undantag är om du väntar dig en länk av just den avsändaren, t.ex. om du glömt ditt lösenord och förväntar dig en länk för att skapa ett nytt.

Skulle vi klicka på (en oväntad) länk. Vilket vi ju inte skulle göra. Men skulle vi göra det. Så sku den antagligen leda till en inloggningssida för den tjänsten eller gruppen phishing mejlet låtsas vara från - ett universitet, en arbetsplats, ett gmail eller facebook konto, o.s.v.

Om att inte lita på en sida för att den "ser äkta ut"

De här sidorna kan se identiska ut till äkta inloggningssidan. (Det är faktiskt bara lättja från skurkarnas sida om phishing sidor inte är fullständigt identiska till dem de ger sig ut att vara.) Alltså:

​​Det går inte på basen av hur en webbsida ser ut att veta om den är äkta eller en phishing sida.

Om att kolla sidans adress (URL) för att se om det är phishing

För att kolla om en sida är äkta måste man titta på adressfältet. Vilket på mera formella tillställningar kallas sidans URL. (Eller Uniform Resource Locator om man riktigt vill snofsa upp det.) Ser inloggningssidan äkta ut men URL:en är fel så vet du att det är phishing. (Vilket såklart kräver att vi vet vad adressen borde vara.)

Det skapas tuuusentals phishing sidor per år. Skurkarna försöker ofta använda sig av webbaddresser som verkar trovärdiga. Det finns olika sätt att försöka luras med URL:ar. För att inte falla för dem måste vi veta hur webbaddresser fungerar.

Om att luras med URL:ar

På med nördhattarna - det är dags att lära sig om URL:ar. (Hurraaaaa! hör jag kanske dig ropa.) (Inte? Nå, jag försöker vara kortfattad.)

I slutet av en address kommer det .com, net, org, etc. Den delen kallas webbsidans Top Level Domain (eller TLD). Ett sätt att luras är att ha samma webbaddress men ett annat TLD. Jag har t.ex. inte reserverat addresserna digifanskap.net, .org, eller några andra digifanskap TLD:n. Så ett effektivt sätt att skapa en phishing sida som utgör sig vara den här sidan sku vara att bara använda ett annat TLD:

 

Men stora företag och tjänster har ofta reserverat olika TLD:n. Då kan lurendrejare istället luras med hjälp av själva sidans namn.

 

Det som kommer genast till vänster om TLD:n kallas sidans domän namn. Ett populärt knep är att reservera ett domän som påminner om den sidan man vill låtsas vara. Något som ser rätt ut om man tittar snabbt - men tittar man noggrant så märker man att någon enstaka bokstav är fel. Jämför:

Rör vi oss djupare in i domän skogen så hittar vi ännu flera sätt att luras - med hjälp av sub-domäner. Här är två addresser som verkar ha mycket gemensamt:

  • phishingsajt.digifanskap.com

  • digifanskap.phishingsajt.com

 

Men det är bara en av de här sidorna som hör till sajten digifanskap.com. Äger jag ett domän, som digifanskap.com, så kan jag skapa vad som kallas sub-domäner under det. Skapar jag ett sub-domän som heter phishingsajt så är dess adress phishingsajt.digifanskap.com.

Det finns inget som hindar en från att skapa missvisande sub-domäner i avsikt att luras. Så lita inte på en webbsida bara för att det någonstans i URL:en finns något du känner igen (som google, instagram, namnet på ditt företag, etc.). En webbsida med addressen digifanskap.phishingsajt.com skulle höra till sidan phishingsajt.com, inte till sidan digifanskap.com.

Om att det är "brådskande!"

Desto mera tid man tar på sig, desto lättare är det att märka tecken på att något är skumt med ett mejl, en länk eller en webbsida. Därför är ett standardelement i lurendrejeriförsök att de försöker skapa en känsla av brådska eller panik. Att få oss att vilja åtgärda deras mejl så fort som möjligt.

Phishing_panic.jpg

Får ett mejl dig att känna dig så här så är det antagligen phishing.

Några exempel, alla baserade på äkta phishing mejl:

  • Du använder en föråldrad programversion - uppdatera nu!

  • Ditt konto har blivit hackat - byt lösenord nu!

  • enligt din önskan kommer vi att avsluta ditt konto - hör av dig om du ändrar åsikt.

  • Vi har mottagit din betalning på 942 euro. Här är ditt kvitto. Har du frågor så ta kontakt.

  • Tack för ditt medlemskap i klubben "Porr-länkar dagligen direkt till din jobbmejl". Här får du dina första länkar - det kommer nya imorgon! Vill du skriva ut dig ur klubben, kontakta oss.

Alla det här exemplen inkluderar sedan en länk till en sida att logga in på. Det är vanligtvis en bekant tjänst, som Google, Facebook, etc. Länken leder, som vi redan vet, till en sidan som kommer att se äkta ut (förutom URL:en) men inte alls är äkta. Loggar man in där så är det enda som händer att skurkarna får vår inloggningsinformation.

Sedan kan de t.ex. visa ett meddelande om att något gick snett och att vi måste logga in på nytt. Och sedan koppla oss till en äkta inloggninssida i hopp om att vi inte märker att vi just lurades.

Om att besöka sidor direkt istället för genom att klicka på länkar

Låt oss säga att du får ett e-post som t.ex. säger att du måste byta lösenord genast för att [viktiga orsaker som får en att bli lite panikerad]. Du vet att det antagligen är phishing, men är orolig för att tänk om det ändå kanske är sant. Hur gör man då?

Du kan både byta lösenord och undvika risken att falla för phishing helt enkelt genom att gå till tjänstens webbsida direkt istället för att klicka på länkar i ett mejl. Skriv alltså helt enkelt in URL:en till sidan i en webbläsare själv, istället för att klicka på länken. Sedan navigerar du till "byt lösenord" delen av webbsidan och byter lösenordet där.

Gör du det så kan det hända att du har bytt lösenord i onödan, men du har åtminstone inte fallit för phishing.