Udbredt sikkerhedstrick på nettet er ikke sikkert mere

Hvis du er usikker på, om et link virkelig fører derhen, hvor det lover, har det længe været et godt sikkerhedsråd at holde musen over linket. Så afsløres det nemlig i venstre hjørne i statuslinjen, hvilken webadresse linket egentlig peger hen til.

Men så simpelt er det desværre ikke længere.

Hackere og phishere følger med udviklingen og har fundet en smart måde at omgå tricket på.

- Det, du kigger på, kan være kodet med html-kode, hvor man inde i koderne kan skrive scripts også, som er små programmer. Når du så holder musen hen over, ændrer scriptet det, du ser nede i hjørnet eller andre steder. Så du ikke ser det, linket i virkeligheden peger på, fortæller Keld Norman, konsulent i it-sikkerhedsfirmaet Dubex.

Det vil altså sige, at man ikke nødvendigvis kan stole på det link, man ser nede i venstre hjørne, når man bruger en almindelig browser som eksempelvis Firefox, Safari, Chrome eller Edge.

Hos Dubex holder de øje med hackerne og phishernes trick, og Keld Norman fortæller, at de oplever en stigning i, at der bliver brugt scripts til at omgå det link, som ellers skulle afsløre, om man er ved at blive sendt et helt andet sted hen.

Til gengæld kan du stadig bruge sikkerhedstricket med at holde musen over linket, når du bruger et almindeligt mailprogram.

- Alle mailprogrammerne, vi har testet, fortolker ikke script, så er du stadigvæk - i gåseøjne - sikker, når du holder musen hen over i mailen. Vi har kigget i Outlook, Outlook 365 og Gmail, som er dem, de fleste sidder med, siger Keld Norman.

Får du tilsendt et link på Facebook i din sædvanlige browser, kan du til gengæld ikke bruge tricket. Så snart du er ude af mailprogrammerne, kan browseren så mange ting, at der kan snydes med det, vi ser, fortæller han.

Anette Høyrup, næstformand hos Rådet for Digital Sikkerhed samt seniorjurist hos Forbrugerrådet Tænk, fortæller, at det bliver sværere og sværere at beskytte sig på nettet.

- Når nu man ikke kan se, om linket peger hen til den rigtige adresse, så må man være enormt kritisk omkring formuleringerne og udseendet. Det handler om at kigge grundigt på logo, på brand og på stavning, siger Anette Høyrup og tilføjer:

- Men det bliver sværere og sværere, for det er også småt med stavefejl efterhånden. Men det er stadig det, vi anbefaler.

Vil man beskytte sig selv mod de scripts, som kan få et falsk link nede i venstre hjørne af statuslinjen til at ligne et rigtigt og uskyldigt link, så er der selvfølgelig it-tekniske muligheder for det.

- Der findes nogle plug-ins, som man henter ned til sin maskine, som kan blokere scripts, fortæller Keld Norman.

Det mest kendte plug-in hedder NoScript, og det er også integreret i browseren Tor. Folkene bag Tor-browseren er med Keld Normans ord "ret sølvpapirs-paranoide" og har derfor kigget koden igennem. Han mener derfor, at det er et bud, hvis man ønsker helt at undgå script.

Man skal dog være mere end almindeligt it-kyndig for at kaste sig ud i det. Der er nemlig også farer ved den strategi - og mange ting på internettet, som så ikke virker.

- Rigtig mange plug-ins har til gengæld en bagdør, et leak eller kan se alle mulige ting. Så hvis de er onde, dem der står bag pluginnet, og lægger bagdøre ind, så har du selv lige hjulpet dem ind, siger Keld Norman.

Fakta: Beskyt dig mod hacking og phishing

- Kig grundigt på logo, brand og stavning for at sikre dig, om det kommer fra en pålidelig kilde.

- Man kan ikke sige, at man aldrig skal stole på, at mails kommer fra myndigheder - for der kommer rent faktisk mails fra myndigheder. Men til forskel fra de falske mails så beder myndighederne ikke om personoplysninger via links i deres mails.

- Forbrugerrådet Tænks app "Mit digitale selvforsvar" advarer blandt andet om om phishing-forsøg, som aktuelt er i omløb.

Kilde: Keld Norman, Anette Høyrup.