|
Bristfällig säkerhet och bedrägerier på svenska dejtingsajter
Antivirusföretaget Kaspersky Lab har undersökt några av Sveriges största dejtingsajter och upptäckt oroväckande säkerhetsproblem. Bland annat blir svenska män kontaktade av bedragare med mål att lura av användarna personlig information och pengar. Företaget har också hittat allvarliga säkerhetsluckor och skadlig kod i länkar.
Kaspersky Lab har granskat sex stycken populära dejtingsajter för att undersöka deras säkerhet. Kaspersky registrerade tio manliga och tio kvinnliga profiler av olika karaktärer på dejtingsajterna Match.com, Spraydate, Mötesplatsen, Be2, Meetic och E-kontakt, och genom dessa undersöktes säkerheten på sajterna.
Det blir allt vanligare att cyberkriminella registrerar falska profiler på dejtingsajter och bygger upp en personlig kontakt med potentiella offer som de sedan försöker lura på pengar. Andra hot som Kaspersky har hittat är allvarliga säkerhetsbrister som kan leda till att användarnas integritet hotas. – Det finns konkreta säkerhetshot på de internettjänster Kaspersky Lab har undersökt. Dels handlar det om en hög andel bedragare och dels har vi hittat andra hot i form av bristfällig säkerhet. Dessa hot leder till att användarens integritet hotas. Bland annat har vi upptäckt att många av sajterna har osäker lagring av lösenord samt möjlighet att kapa användarprofiler och läsa andras kommunikation, säger Ronald Binnerstedt, teknikchef på Kaspersky Lab AB.
Säkerhetsproblem som Kaspersky har upptäckt:
- Bedrägerier
Cyberkriminella registrerar falska profiler på dejtingsajter och bygger upp en personlig kontakt med offren för att senare be om pengar. Ofta vill bedragarna få över konversationen från dejtingsidan till vanlig e-post så fort som möjligt, eftersom deras användarkonton på dejtingsidorna kan blockeras av moderatorer.
- Skadlig kod i länkar
I några fall hittade Kaspersky skadlig kod i länkar som bifogats i kommunikation från bedragare till användare på dejtingsajter. I värsta fall kan denna skadliga kod innehålla en trojan eller en keylogger.
- Osäker lagring av lösenord
De flesta nätdejtingsidorna lagrar användarens lösenord i klartext. Eftersom många personer använder samma lösenord på ett flertal olika tjänster, skulle en databasläcka kunna orsaka stor skada för användarna. Dessutom tillät många sajter endast svaga lösenord med till exempel korta kombinationer och utan krav på blandning av versaler, gemener och siffror. Alla nätdejtingsidor tillät inte användandet av specialtecken i lösenord. Kaspersky har även kunnat konstatera att vissa sidor inte skiljer på gemener och versaler vid verifiering av lösenord. Detta gör det svårare för användare att skapa starka lösenord.
Nästan alla sidor Kaspersky granskat har innehållit antingen XSS- eller CSRF-sårbarheter, som kan utnyttjas av en angripare för att få tillgång till en användares konto. XSS-sårbarheter uppkommer då en sida inte utför tillräcklig validering och sanering av användarens inmatade information innan denna information skickas tillbaka till en användare. CSRF-sårbarheter uppstår då en sida accepterar en användares förfrågan utan att utföra tillräcklig validering av dess ursprung.
För mer information om denna typ av sårbarheter se:
http://en.wikipedia.org/wiki/Cross-site_scripting och http://en.wikipedia.org/wiki/Cross-site_request_forgery
Säkerhetstabell över de största dejtingsajterna i Sverige 
– Kaspersky Lab har hittat ett antal säkerhetsproblem som varierar efter de undersökta dejtningprofilernas karaktärer. Den första observationen är att endast män som har registrerat en hög inkomst blir utsatta för bedrägerier, medan kvinnor och yngre män med låg inkomst blir i lägre grad utsatta. Metoden via dejtingsajter är en mer raffinerad metod än så kallade Nigeriabrev där man mer går rakt på sak direkt, avslutar Ronald Binnerstedt.
Säker lagring av lösenord
Undersökningen gick ut på att kontrollera vilka sidor som lagrade användarens lösenord i klartext. Skulle någon angripare få tillgång till nätdejtingsidornas databas kan detta göra stor skillnad för användarnas säkerhet.
HTTPS
Vilka sidor tillåter säker anslutning via HTTPS och vilka sidor har eventuella problem med HTTPS-anslutningar.
Scam-nivå
Scam-nivån är baserad på antalet potentiella bedrägare som tog kontakt via sidan.
Moderatorer
Moderatorerna har bland annat i uppgift att stänga av användare som missbrukar tjänsten, till exempel bedragare.
Verifiering av e-postadress
Kräver sidorna verifiering av e-postadress innan nya användarkonton blir accepterade.
Verifiering av mobil
Ingen av sidorna krävde verifiering av mobiltelefonnummer innan nya användarkonton blir accepterade.
[1] Sidans identitet är inte verifierad [2] Sidans identitet är inte verifierad[3] Hela anslutningen är inte krypterad.
Kaspersky Labs tips för säker nätdejting:
• Var extra försiktig om du är man och över 30 år
• Fyll inte i inkomstuppgifter
• Var extra observant på meddelanden skrivna på engelska eller på svårförstålig svenska
• Behåll kommunikationen med den andra parten på dejtingsajten. De cyberkriminella ligorna vill gärna få över kommunikationen till vanlig mail. Det är säkrare att kommunicera i dejtingsajtens gränssnitt
• Var mycket försiktig med att ge ut information om dig själv. Lämna aldrig ut information om kreditkort eller bankuppgifter
• Var restriktiv med att klicka på länkar som skickas till e-posten via dejtingsajten. Dessa kan leda till sajter med skadlig kod
• Se till att du har ett nytt antivirus-program installerat samt att operativsystemet är uppdaterat
För mer information om undersökningen, vänligen kontakta:
Ronald Binnerstedt, teknikchef
Kaspersky Lab AB
Mobil: 070-323 19 94
E-post: ronald.binnerstedt@kaspersky.se
Om Kaspersky Lab
Kaspersky Lab är en ledande leverantör av världens mest omedelbara skydd mot IT-hot som antivirus, spionprogram, crime-ware, hackare, phishing och spam. Kaspersky Lab erbjuder överlägsen upptäcktstakt och har branschens snabbaste reaktionstid vid
Högupplöst bild:
http://www.kaspersky.se
Om Kaspersky Lab
Kaspersky Lab erbjuder världens mest omedelbara skydd mot IT-hot som spionprogram, crime-ware, hackare, phishing och spam. Kaspersky Lab erbjuder
överlägsen upptäcktstakt och har branschens snabbaste reaktionstid vid utbrott av IT-virus för hemmaanvändare, företag och organisationer av alla storlekar
samt den mobila IT-miljön. Kaspersky®-teknologin används i IT-säkerhetslösningar av IT-säkerhetsleverantörer över hela världen. Läs mer
på www.kaspersky.com. För de senaste nyheterna om antivirus, anti-spionprogram, anti-spam och andra
IT-säkerhetsfrågor och -trender, besök www.viruslist.com.
|
