Eilen huomasin Facebookissa parin tutun levittävän epäilyttävää kutsua:
 |
| Suomenkielinen kutsu tutuilta hämää tehokkaasti. |
Linkkiä napsauttamalla aukeni Facebookin kirjautumissivu, joka näytti varsin aidolta:
 |
| Kirjautuminen joulupukkina paljastaa huijauksen. |
Mutta oliko se aito? Olen käyttänyt yksinkertaista kikkaa kalastelusivujen paljastamiseen: kirjoitan takuulla väärän käyttäjätunnuksen ja salasanan. Yleensä kalastelusivu ei tarkista, ovatko tiedot oikein, sillä tietojen validointi edellyttäisi kirjautumista oikeaan palveluun. Sitä ei ole aivan helppo ohjelmoida, eivätkä kalastelijat muutenkaan ole mitään ruudinkeksijöitä. Lisäksi kirjautumisskriptit kuormittaisivat konetta, joka on yleensä kaapattu palvelin.
Oikea Facebook antaisi vääristä tunnuksista virheilmoituksen, mutta kalastelusivu hyväksyi joulupukin mukisematta ja alkoi kysellä lisätietoja:
 |
| Minun isoisäni oli astronautti. |
Varsinainen pihvi oli vasta viimeisellä sivulla:
 |
| Luottokortin tiedot, kiitos. |
Ilmoitin kuvitteellisen luottokortin numerot -- tekeepähän hieman kiusaa hakkereille, kun yrittävät käyttää luottokortteja luvatta. Hyvässä lykyssä saman henkilön useat ostoyritykset väärillä numeroilla voivat johtaa jopa rosvon paljastumiseen.
Osa kalastelusivuista tarkistaa, että luottokortin numero on oikean näköinen. Vastaavasti netistä löytyy palveluita, joilla voi generoida kuvitteellisia, loogisesti oikeita luottokorttinumeroita kaikkine tietoineen.
Kun kalastelija oli saanut kaiken tarpeellisen, uhri palautettiin takaisin oikeaan Facebookiin, eikä hän luultavasti edes huomannut tulleensa huijatuksi. Sen jälkeen hänen tunnuksiaan alettiin käyttää uusien uhrien houkutteluun.
Väärien kirjautumistietojen kokeilu on yksinkertainen, mutta varsin toimiva kikka. Mainitsin siitä aamulla Twitterissä ja ilmeisesti niksiä pidettiin hyvänä, koska se sai paljon retwiittejä ja Digitoday teki siitä jopa
uutisen.
 |
| Niksi Twitterissä. |
Itse kikka ei ole mikään uutinen -- esittelin sen jo vuonna 2006 ilmestyneen Paranna tietoturvaasi -kirjani sivulla 298. Olen noin kymmenen vuoden ajan kokeillut kikkaa eri huijauksissa, eikä vielä ole tullut vastaan yhtään kalastelijaa, joka oikeasti tarkistaisi kalastelemiensa tunnusten toimivuuden reaaliajassa (tosin yksi huijaus tarkisti, että salasana oli riittävän pitkä). Yleensä tunnukset kerätään vain tekstitiedostoon, joka käydään imuroimassa myöhemmin parempaan talteen.
Ellei halua tehdä joulupukista uhria, voi tietenkin käyttää omaa tunnustaan -- kunhan salasana on varmasti väärä. Oman tunnuksen käyttö kertoo kuitenkin huijarille, että uhri on mennyt lankaan. Jos kyse on FB:n tapaan sähköpostiosoitteesta, se kertoo myös, että tälle henkilölle kannattaa lähettää huijauksia jatkossakin.
Kalastelut pitäisi ensi sijassa tunnistaa väärennetyn osoitteen, puuttuvan ssl-suojauksen tai jonkin muun tekijän avulla. Väärien tietojen hyväksyminen on varma merkki huijauksesta, mutta vaikka tuloksena olisi virheilmoitus, se ei vielä takaa palvelun aitoutta. Siksi kikka on vain yksi lisätekijä arvioitaessa palvelun luotettavuutta.
Tässä tapauksessa ensimmäisen sivun osoiterivi näytti oikealta, mikä varmaankin lisäsi huijauksen tehoa:
 |
| SIvun osoite on hämäävästi oikean näköinen. |
Osoiteriville on saatu mahtumaan www.facebook.com, mutta todellinen domain on tässä tapauksessa
com-gb.co.uk. Luulisi osoiterekisterien ylläpitäjällä olevan sen verran maalaisjärkeä, etteivät myöntäisi näin helposti huijattavia osoitteita lainkaan.
Yleensä kalastelusivut pyörivät kaapatuissa palvelimissa. Silloin kannattaa kokeilla toista kikkaa: osoiterivin perästä poistetaan kaikki ylimääräinen niin, että vain domain-osuus jää jäljelle. Jos kyse on huijauksesta, selaimeen ilmestyy kaapatun palvelimen oikea kotisivu. Tässä tapauksessa siitä on vain vähän hyötyä, sillä com-gb.co.uk:n kansisivu on aivan tyhjä. Ilmeisesti osoite on varattu juuri tätä huijausta varten..
Huolestuttavaa on se, että näin avoimesti huijaava sivu saa olla toiminnassa ilman, että se päätyy Firefoxin ja Chromen sulkulistalle.
Kirjautumissivun jälkeen palvelu vaihtaa toiseen, ilmeisesti kaapattuun osoitteeseen. Sen domain-nimi www.exsazen.com antaa selvän osoituksen vaarasta:
 |
| Toinen niksi: kokeile osoitetta pelkällä domain-nimellä. |