100 % äkta nätfiskeruta kapar Facebook-lösenord

Nätfiskarnas uppfinningsrikedom saknar motstycke. Säkerhetsföretaget Myki har nu upptäckt hur nätfiskare kan kapa inloggningsuppgifter till bland annat Facebook med en synnerligen snillrik metod. Myki har också skapat en webbplats som demonstrerar hur kapningen går till och spelat in en film där de visar förloppet.

Det första som händer är att webbplatsen öppnar en dialogruta där användaren ombeds logga in med sitt Facebook-konto. Den ser ut på följande vis.

Nätfiskeruta för Facebook
Nätfiskeruta för Facebook. Foto: ur Mykis demonstrationsfilm.

Ser du något fel? Den konstiga symbolen i inloggningsfälten kommer från Mykis lösenordshanterare och har inte något med själva attacken att göra.

Lägg märke till att domänen är den rätta (facebook.com) samt att anslutningen sker över en krypterad och autentiserad anslutning (hänglås och https://). Nätfiskarna borde inte kunna kapa inloggningsuppgifterna från en sådan dialogruta – och faktum är att de inte heller gör det! Bilden visar nämligen ingen riktig dialogruta. Det som ser ut som en dialogruta är i själva verket bara grafiska och flyttbara element som själva webbsidan ritar upp ovanpå sig själv. Detta avslöjas av att en riktig dialogruta hade gått att flytta utanför webbläsarens fönster, medan denna fejkade ritning bara kan flyttas inom fönstret. Genom att försöka dra ut ”dialogrutan” utanför webbläsaren avslöjas attacken.

Bli säker-läsare luras inte

En attack som denna är ytterligare ett exempel på varför alla bör använda en webbläsarintegrerad lösenordshanterare. I Bli säker-boken rekommenderar vi lösenordshanteraren Lastpass som på ett ypperligt sätt skyddar mot attacker som denna. Vi människor kan inte se skillnad på en fejkad dialogruta och en äkta motsvarighet (förutom genom att försöka dra dialogrutan utanför webbläsarfönstret). Lastpass genomskådar däremot bluffen direkt.

Lastpass fyller enbart i användarnamn och lösenord som är kopplade till domänen som webbläsaren visar. I och med att dialogrutan ritas upp på en annan domän än Facebooks kommer Lastpass inte ha några inloggningsuppgifter att fylla i.