Hver gang det avdekkes et forsøk på phishing får vi høre denne setningen fra bedrifter som er rammet. Ofte stemmer det rent formelt, men det er likevel noe med kommunikasjonen mellom bedrifter og privatpersoner som gjør at folk til stadighet går på limpinnen. Det er faktisk fullt forståelig at noen ikke klarer å se forskjell på en phishing-epost og en genuin e-post fra en bedrift – og det har ingen ting med manglende kritisk sans hos forbrukeren å gjøre. Det handler om dobbeltkommunikasjon fra bedrifter.
Problemet
Omtrent samtlige nyhetsbrev jeg mer eller mindre frivillig mottar fra organisasjoner, nettbutikker, banker og kredittkortselskap inneholder linker som avsender vil jeg skal trykke på. Kanskje vil de at jeg skal være med i en aksjon, kjøpe et nytt produkt, aktivere nye tjenester eller få full oversikt over alle medlemsfordeler. Felles for dem alle er at de ønsker å få meg til å klikke på linken og så gjerne logge inn for å få tilgang til aksjonen, produktet, tjenesten eller fordelsoversikten. Vi er derfor blitt godt vant til at bedrifter sender e-post med linker vi skal klikke på som leder til innloggingssider. Til alt overmål er det ofte linken ikke går direkte til innloggingssiden, men gjerne via en sporingstjeneste slik at bedriften kan få oversikt over hvor godt e-postutsendelsen fungerer.
La oss se på et typisk eksempel fra en ikke navngitt bank. E-posten inneholder en link til nettbanken, men om man holder muspekeren over linken fremkommer det at linken egentlig går til en sporingstjeneste (anpdm.com). Hvis man følger linken (jeg har ikke prøvd) vil man antakelig bli videresendt til bankens innloggingsside, for deretter å taste inn brukernavn og bankID-passord/kode. For en vanlig bruker er det umulig å avgjøre om dette er en ekte innlogging før man trykker på linken. Etterpå kan man sjekke sertifikatstatus og slikt (men hvor mange gjør det?). Det er i det hele tatt ingen prinsipiell forskjell på denne e-posten og en klassisk phishing e-post. Og da er det ikke så unaturlig at noen gjør som de pleier, også når de utsettes for phishing-forsøk.
Så, hver gang noen sier at “vi vil aldri be deg om å oppgi brukernavn/passord i en e-post”, har de for så vidt rett. Men veldig ofte vil de sende deg en e-post med en link til en side der du må oppgi brukernavn og passord (evt. kredittkortinformasjon for kjøp av produkter). Forskjellen er å anse som marginal og det er nettopp denne dobbeltkommunikasjonen som er problemet.
Hva er løsningen
Løsningen er å gjøre det enkelt å skille phishing e-post fra genuin e-post. Det opplagte er å unngå å ha linker i e-postene som sendes, men i stedet referere til “nettsidene våre”. Folk må da selv åpne nettleseren og taste inn adressen for å komme til det gode tilbudet, tjenestene eller fordelssidene. En phishing e-post vil ikke kunne bruke samme strategi, fordi mottakeren da ikke vil komme til phishing-siden. Altså blir det enklere for brukere å skille ekte e-post fra phishing e-post (og også generell spam). Man kan si mye om EU-kommisjonen, men én ting har de alle fall fått til. Jeg mottok nylig en e-post fra dem med denne opplysningen nederst:
Ulempen med å ikke ha linker i e-postene er selvsagt at det er tungvint å måtte skrive adressen selv og dermed færre som vil gjøre som bedriften ønsker. Som et absolutt minimum bør man derfor sørge for at eventuelle linker går direkte til avsender av e-posten (f.eks banken) og ikke via sporingstjenester. Da kan den årvåkne mottaker sjekke at linken ser genuin ut før den klikkes og dermed avsløre om det er et forsøk på phishing eller ikke. Men i og med at de færreste gjør dette, er det egentlig ikke noen fullgod løsning det heller.
Vi har tidligere ivret for kryptografisk signering av e-post som en måte å skille genuin e-post fra phishing/spam, og det er fremdeles et meget godt alternativ. Imidlertid krever det at senderen har nødvendige sertifikater og at e-postleseren er satt opp til å varsle tydelig om at e-posten er signert (noe lignende det grønne adressefeltet i nettleseren som er vanlig for sertifikatbaserte sikre nettsider).
Frem til nå har bedriftene gjort det vanskelig for forbrukere å skille ekte e-post fra phishing og samtidig indirekte signalisert at det er brukerne det er noe i veien med. Det er på tide at bedriftene tar tak i sin egen rolle og slutter å sende e-post som til forveksling ligner på phishing. Først da kan vi begynne å snakke om mangler hos forbrukeren. Og den mest effektive måten å få til det på er å konsekvent ikke klikke på linker i e-poster du mottar. Tast heller adressen selv. Da vil antakelig bedriftene finne ut (via sporingstjenester) at e-postene ikke virker, og kanskje det da blir slutt?