Lidt omtanke vil være på sin plads, mener Preben Andersen, direktør i sikkerheds-organisationen DK-CERT.

Tele2-phishing: Data sendes til Hong Kong

Hvis man klikker på den vedhæftede fil i den aktuelle phishing-mail, der har Tele2 som ufrivillig afsender, aktiveres et ondsindet netværk, der omfatter en server i Hongkong. . "Lidt omtanke vil være på sin plads," mener CERT-direktør Preben Andersen.

Klaus Krabbe

Anbefal

Sponsoreret af:

Publiceret d. 22. marts 2007 kl. 14.48 |

(50)

ANNONCE:

Mange modtagere af den aktuelle phishing-mail, der tilsyneladende kommer fra Tele2 for at minde kunder om en manglende betaling hopper i med begge ben og klikker på den vedhæftede fil, selvom de slet ikke er Tele2-kunder.

"Lidt omtanke vil være på sin plads," mener Preben Andersen, chefkonsulent og leder af det danske Computer Emergency Response Team, der i samarbejde med tilsvarende CERT'er over hele verden indsamler information om internetsikkerhed.CERT-direktør.

Reelt har mailen intet med Tele2 at gøre, men indeholder et ondskabsfuldt program, som hackerne kan bruge til at aflæse personlige oplysninger fra ofrets computer.

"Manglende omtanke er et problem for mange af ofrene. De kunne jo starte med at spørge sig selv: Er jeg overhovedet kunde hos Tele2," lyder det fra Preben Andersen,

Server i Hongkong
Ifølge sikkerheds- og virusanalytiker Peter Kruse fra CSIS Security Group sker der følgende, hvis man klikker på den famøse vedhæftede fil:

Den ondsindede kode ringer til en server i Hongkong.

Fra den server henter og kører den yderligere binær kode, der har som formål at stjæle følsomme oplysninger fra det inficerede system.

Disse data sendes herefter fra en lokale log-fil over FTP til den samme udenlandske server.

Godt samarbejde
Samarbejdet mellem teleselskaberne fungerer ifølge Tele2's administrerende direktør Thomas Nistrup upåklageligt, og alle selskaber har ydet en effektiv indsats for at tage luften ud af den skadelige mail.

Preben Andersen vurderer mailen som "medium" farlig, og han mener, at den her torsdag eftermiddag har toppet i antal og udbredelse.

Den vedhæftede fil er af typen .rar, hvilket ikke er en helt almindelig filtype.

"Rar er en komprimeringsalgoritme, der bruges af styresystemet Linux, hvilket tyder på, at der er Linux-folk blandet ind i konstruktionen og udsendelsen af den her ondsindede mail," siger Preben Andersen.

Han frygter, at de brugere, der har lukket den uønskede rar-fil ind på deres computere dels risikerer at få afluret for eksempel nøglefiler og passwords til netbanken, dels at blive del af et såkaldt botnet.

Et botnet er et netværk bestående af virusinficerede pc'er, der forbinder til en IRC-server, hvorfra bagmændene kan fjernstyre pc'erne til typisk at fungere som spamserver.

Finansrådet advarer bankkunder
Også pengeinstitutternes interesseorganisation, Finansrådet, er på dupperne og har offentliggjort en pressemeddelelse, hvor de advarer netbankbrugerne mod at hoppe på limpinden, der tilsyneladende kommer fra teleselskabet Tele2.

Finansrådet anbefaler netbankbrugere at følge en håndfuld gode råd:

- Brug et antivirusprogram, der opdateres automatisk og altid er slået til.

- Installer løbende sikkerhedsopdateringer til dit software.
- Anvend en personlig firewall på computeren.

- Åbn ikke vedhæftede filer og klik ikke på links i mails, medmindre det er en mail og fil, du har ventet.

- Mener du, at din pc er angrebet, så vent med at bruge din netbank til du er sikker på, at din pc er virusfri.

Skulle det alligevel gå galt og ende med, at man får lænset sin netbankonto, så dækker banken tabet, oplyser Finansrådet.