Sedan länge har hackare hittat på nya sätt att försöka komma åt vanliga människors konton på olika tjänster. Det senaste i raden är ovanligt svårt att se om man inte är vaksam på rätt tecken. Så här går bluffen till:

1. Hackarna skickar ett e-mail till dig. På sistone är det ofta Gmail-konto som utsatts. Avsändare är någon du haft mailkontakt med (som redan blivit hackad). Mailet innehåller en bilaga eller foto som du behöver klicka på för att se hela av. 
2. När du klickar på länken tas du till en webbsida som exakt ser ut som inloggningssidan till Google. Detta har vi sett förut, kallas för phishing. 
3. Det nya är att i webbläsarens adressfält så står det att du är på https://accounts.google.com, vilket skulle vara helt korrekt så även om du har ögonen med dig kan du falla för bluffen:
4. Två saker skiljer det från den äkta loginsidan:
   1. Det står “data:” före själva adressen. Det betyder att webbläsaren läser innehållet i adressen som en fil, inte som en adress. Längre bak i adressen kommer ett script som utför bluffen
   2. För vanliga inloggningssidan visas ett hänglås
      
5. Om du inte upptäcker bluffen utan fyller i dina användaruppgifter går hackarna blixtsnabbt till attack, eventuellt sker det hela automatiskt. De loggar in på ditt Google-konto och sprider attacken vidare till dina kontakter genom att skicka en av dina lagrade bilder till adresser i din adressbok. Har du andra tjänster där du använder din Gmail-adress som login kan de förstås komma åt dem också genom att återställa lösenord för dessa med potentiellt stora konsekvenser.

Hur skyddar jag mig?

Det är två ställen som man behöver hålla ögonen öppna:

Skydda dig mot phishinglänkar i mail

Den ena komponenten som får denna bluffen att fungera är att mailet innehåller en länk. I de allra flesta mailprogram och på Gmail kan du se denna adress i statusfältet längst ner genom att hålla musen över länken och se vart länken leder:

I statusfältet kan du se vart länken leder, men du måste titta ordentligt. T.ex. kan det stå “https://accounts.google.com.hackerhemsida.com/login”. Då ser det ut som att det är en Google-sida men egentligen är det en underdomän till “hackerhemsida.com”. Det är alltså de sista två textbitarna innan första “/” i adressen som bestämmer vilken server man kommer till, i detta fallet “hackerhemsida” och “com”. Innan dess kan det stå vad som helst och vem som helst kan också skapa en sådan underadress till sin hemsida.

Skydda dig mot falska loginsidor

Det kan faktiskt hända att du kommer till en falsk inloggningssida från något annat ställe än ett mail, t.ex. har en del skummare nedladdningssajter farliga länkar. Därför behöver du också se var du hamnat. Här är det två saker du behöver titta på.

1. Hänglåset. Alla viktiga tjänster har ett grönt hänglås på sina loginsidor (i de flesta webbläsare). Det betyder att de är verifierade och krypterade. Detta är emellertid inte tillräckligt utan du behöver också kontrollera
2. Webbadressen. Här ska det stå “https://mail.google.com/…..” för Gmail, “https://www.facebook.com/” för Facebook etc. Observera att samma gäller som för länkarna i mailet, det är sista två texterna innan första “/” som avgör vart du kommit, fetmarkerat i exemplen. Webbadressen skall också starta med “https:“. Allt annat bör du se upp med.

Hur vanligt är sånt här egentligen? Tyvärr ganska vanligt. En vän till mig råkade t.ex. ut för Ransom ware, där alla personliga data på datorn (bilder, dokument etc) krypteras och man måste betala för att dekryptera dem.

För den som vill läsa mer i detalj finns mer info i Wordfences säkerhetsblogg (på engelska).