I sidste uge modtog hundredtusindvis af danskere en korrekt formuleret mail fra så troværdige virksomheder som Danske Bank eller PBS. Emnet var ”Opret din kode til Verified by Visa eller MasterCard SecureCode”. På udmærket og fejlfrit dansk blev brugeren opfordret til at afgive sit kreditkortnummer og den tilhørende pin-kode ved hjælp af den medfølgende web-formular.

Kiggede man lidt nøjere på mailen var det let at se, at der var tale om svindel: Hvis man svarede på mailen blev svaret sendt til danskebank@danskebanz.dk. Dette domæne findes ikke. Ser man formularen lidt efter, så blev Danske Banks logo hentet fra et internetsted, der hed ycsiy.com. Og hvis man trykker på ”videre”-knappen, sendes forespørgslen til en hjemmeside, der i mit tilfælde hed qazwsxedcrfvtgbyhnujmikolp.toshia-isas.com. Ingen af de adresser er sandsynlige hjemsteder for hverken Danske Bank eller PBS.

For mig er det let at finde disse spor. Almindelige brugere er nød til at basere deres vurdering på sund fornuft. Som eksempelvis: Hvorfor skal de i det hele taget bruge min pin-kode? Den bruger jeg jo kun i hæveautomater. Svaret er, at det er lige præcis det banditterne har tænkt sig! Når først de har kortnummer og pin-kode, er det en smal sag at lave et falskt kreditkort, og derefter hæve løs i den nærmeste hæveautomat. Hvor den nu end befinder sig i verdenen. Derfor skal man ALDRIG oplyse sin pin-kode. Hvis der er sket, skal kortet omgående spærres.

Svindelmetoden i sidste uge kaldes phishing. Den mest almindelige type af den slags fup er mails, der fortæller, at man har vundet i lotteriet (uden at købe et lod!) eller henvendelser fra personer, der bare lige skal have flyttet nogle penge. Men sidste uges fidus var bedre gennemført. Og mange sikkerhedsfiltre fangede den ikke. Sandsynligvis fordi de blev afsendt fra almindelige brugeres pc’er som tidligere var blevet smittet med virus.

Spørgsmålet er, hvor mange danskere, der er hoppet på limpinden. Ifølge tal fra det danske sikkerhedsfirma CSIS har flere end 300.000 forskellige e-mail adresser i Danmark modtaget en af de fup-mails, som blev udsendt af den samme bande over fire omgange – første gang d. 20. september.

Men hvor mange er gået i fælden? Forskning viser, at det kan være mange tusinde. Tre forskere fra Harvard og Berkeley-universiteterne offentliggjorde i 2006 en artikel med titlen ”Why Phishing Works”.

Artiklen beskriver hvor lette brugere er at narre. De bad 22 testpersoner af forskelligt køn og alder gennemse 20 forskellige web-sider. Mere end halvdelen testsiderne var falske, heraf var 9 kopier af ”ægte” phishing-sider. Under gennemgangen skulle brugerne udpege ægte sider, samt angive hvilke der var svindelsider.

I gennemsnit blev testpersonerne snydt i 40 % af tilfældene. 23 % af testpersonerne så slet ikke efter oplagte ting som sikkerhedsadvarsler fra browseren eller om internetadressen nu også var korrekt. Hvis forskerne anvendte de mest avancerede phishing-tricks, kunne de snyde testpersonerne i 90 % af tilfældene.
Pengeinstitutternes har indtil nu valgt at friholde privatpersoner og små virksomheder for tab forårsaget af cyber-banditter. Men hvis de mange angrebs- og svindelforsøg fortsætter, så kan denne praksis komme under pres.

En meget stor del af brugerne kan ikke – hvis vi skal tro forskerne – kende forskel på ægte internetsider og svindelsider. Derfor hjælper denne uges ”Netsikker nu” kampagne fra Videnskabsministeriets ikke meget.

Derfor er der reelt kun to alternativer: Vi kan holde op med at bruge kreditkort og bank-selvbetjening på internettet eller vi kan – omsider – begynde seriøst og i internationalt samarbejde at forfølge de banditter, som uden risiko og i ro og mag udfører deres fup-numre.

Mon ikke det sidste alternativ er det bedste? Men husk nu: Det er ikke kun Politiet og myndighederne, der har en opgave: Alle skal bidrage ved at holde deres pc’er opdateret, for virus-smittede pc’er er banditternes foretrukne våben.

Bragt som kommentar i Morgenavisen Jyllands-Posten d. 29. september 2009