Kjennetegn på svindel
- E-posten hevder å være fra Netflix, men er sendt fra en e-postadresse som ikke er relatert til Netflix (e-postadressen i dette eksempelet er sensurert, les hvorfor under).
- Lenken i e-posten går ikke til
netflix.com, selv om den hevder å lenke til innloggingssiden til Netflix. - E-posten bruker sosial manipulering ved å spille på frykt og tillitt. Tilliten har vi til merkevaren til Netflix, og frykt oppstår fordi vi er redde for at tjenesten blir avbrutt (forutsatt at man er kjent med merkevaren og bruker tjenesten).
I eksempelet over er avsenderens e-postadresse sensurert. Det er fordi avsenderadressen var forfalsket til å ligne e-postadressen til en ekte, legitim aktør, som vi ikke ønsker at skal belastes med assosiasjon til denne svindelen. Det er viktig å påpeke at dette ikke er Netflix, så det er likevel godt mulig å se at e-posten ikke er sendt av Netflix.
For de teknisk interesserte
Lenken i denne e-posten går til google.com, men Google er da ikke en svindelaktør? Hvorfor har svindlerne lenket dit, og hvordan klarer de å bruke Google i svindelen sin? Google genererer i enkelte tilfeller egne URL-er som automatisk videresender brukeren til en annen nettside. Formålet med at Google gjør dette kan f.eks. være å gjøre sjekker på det aktuelle nettstedet, samt samle statistikk. Svindlere har skjønt at hvis de får tak i en slik Google-videresendings-URL for deres svindelside, så har de en lenke til et domene folk stoler på, men som videresender dem til svindelsiden.
Eksempel: Denne URL-en har domene google.com, men videresender deg automatisk til https://nettvett.no/ om du trykker på den:
https://www.google.com/url?q=https%3A%2F%2Fnettvett.no%2F&sa=D&sntz=1&usg=AFQjCNGqpDcWf5QT__GRvRNmA9F0OcpbAA
Google har ikke dokumentert noen steder hvordan man lager en slik URL, men fenomenet og en metode er beskrevet her: https://isc.sans.edu/forums/diary/How+Malware+Campaigns+Employ+Google+Redirects+and+Analytics/19843/
Google har kommentert fenomenet her: https://sites.google.com/site/bughunteruniversity/nonvuln/open-redirect