Er du en fast leser av Dinside, har du sikkert fått med deg at vi fra tid til annen advarer mot svindel-e-poster.
Senest for et par uker siden, da svindlere begynte å sende ut en haug av e-poster som angivelig skulle være fra Apple. Om du klikket på lenka i e-posten, kom du til en side nærmest prikk liks Apples variant, og da er veien kort til å taste inn brukernavn og passord og dermed gi det bort til uvedkommende.
Vi har også advart om at nordmenn må passe ekstra godt på, fordi språket i disse e-postene begynner å bli helt prikkfritt. Vi mistenker at svindlere nå har begynt å kopiere legitime e-poster fra store selskaper som Apple, PayPal, Facebook, Netflix og andre, der alt som endres er nettsiden lenka peker til. Ja, til og med norske oversettere får oppdrag om å oversette svindel.
En ting du alltid må sjekke
Heldigvis har det alltid vært én ting du kan ta dem på; nemlig å se ekstra godt på adressefeltet i nettleseren din, eller holde muspekeren over lenka i e-posten. De falske sidene har nemlig en helt annen nettadresse – i bildet under ser du for eksempel hvordan det så ut da Apple/Eplehuset ble misbrukt av svindlere nylig:

Om du ser i adressefeltet etter å ha klikket på en slik lenke, er det heldigvis enkelt å se at det ikke stemmer. Apple hadde neppe brukt en nettadresse som educacao.synapsis.org for å gi kundene sine muligheten til å nullstille passordet.
Nei, for de hadde jo heller brukt apple.com, ikke sant?
Trykk på lenka du nettopp passerte (gjerne i en ny fane). Kom du ikke til Apples nettside, altså? Men i adressefeltet i nettleseren din stod det da vitterlig apple.com*?
Nei, det gjør ikke det. Her er nemlig nettadressen skrevet med det kyrilliske tegnsettet og ikke det latinske. Den egentlige nettadressen til siden er https://www.xn--80ak6aa92e.com/.
*Klipper du ut det og limer inn i adressefeltet, «oversettes» det av nettleseren din til apple.com; vel å merke om du bruker Chrome, Firefox eller Opera. Safari og Microsofts nettlesere oversetter ikke slike URL-er.
Slik ser det ut for de som bruker de nevnte nettleserene:

Nettsiden er laget av den kinesiske webutvikleren Xudong Zheng, som et «proof-of-concept» på hvordan dette fungerer. Og vi kan vel være skjønt enige om at det bare vil være et spørsmål om tid før slike URL-er begynner å dukke opp i svindel-e-postene, og at de kommer til å peke til nettsider som er praktisk talt identiske med den legitime siden.
Derfor skjer det
Når en nettadresse er kodet på denne måten, benytter den seg av det såkalte Unicode-tegnsettet; et stort bibliotek over ulike tegn fra en rekke tegnsett, som nettleseren din oversetter til ASCII. Det er den samme mekanismen som tillater oss nordmenn å registrere .no-domenenavn med æ, ø og å i. Også emoji-ikoner er en del av Unicode-tegnsettet.
Konseptet kalles «punycode» og standard i både Chrome, Firefox og Opera er at dette ikke vises, men oversettes.

Ifølge Fortune, har Zheng meldt i fra om svakhetene, og mottok blant annet 2.000 dollar fra Google, som gladelig premierer folk som finner slike ting. De har allerede laget en fiks som sannsynligvis vil komme i neste Chrome-oppdatering; i løpet av april.
Mozilla, som står bak Firefox, har fortsatt ikke avklart hvordan de skal løse problemet. Men bruker du denne nettleseren, kan du fikse det selv ved å taste inn about:config i adressefeltet, trykke deg forbi advarselen og så søke etter punycode i søkefeltet. Innstillingen står standard som «false» (altså at slike URL-er oversettes), men ved å dobbeltklikke på den setter du den til «true» slik at slike URL-er ikke oversettes.
Så - hvordan unngår du det?
Vi skal innrømme at vi sannsynligvis kunne ha gått på en slik variant av e-postsvindel selv.
Rådet må derfor være som følger:
Dersom du får en e-post som ber deg om å logge på for å endre noe, verifisere informasjon eller lignende, bør du la være å klikke på lenkene i den, og heller åpne siden manuelt i nettleseren din og logge på som vanlig.
LES OGSÅ:
Hackerens beste råd
Slik logger du ut andre fra din konto
Mer enn passord: Slik sikrer du kontoen din med tofaktorautentisering