Lösenordssäkerhet: Historien om Inge Koll

Det enda som står mellan oss och illvilliga hackare är våra lösenord. Idag, när den genomsnittliga internetanvändaren har fler konton än någonsin tidigare så spelar starka lösenord en väsentlig roll för att säkra vår identitet i den digitala världen. 

Detta är historien om Inge Koll, och hur enkelt hans digitala identitet kunde kontrolleras av en tredje part med onda intentioner.

Detta är Inge Koll.
Han är VD för företaget Kopieringspapper AB.
Inge är en flitig användare av Facebook och LinkedIn. Han twittrar lite sporadiskt ibland. Han har en privat epostadress, inge.koll@gmail.com samt en företagsadress, inge@kopieringspapper.se.


Detta är Sten Koll (ej besläktad med Inge Koll).
Sten spenderar största delen av sin tid vid datorn. Han drivs av nyfikenhet och kaffe.

Han försörjer sig på diverse ströjobb, både på och utanför internet. Sten använder även Facebook, LinkedIn, och Twitter, fast inte med samma identitet.
Sten har även en laptop med klistermärken på.


Del 1: Epostutskicket

Sten har efter lite "detektivarbete" på internet kommit över en lista med 300 000 epostadresser. Nu börjar han sina förberedelser.

Han sätter upp webbutiken Kungliga Klockor som säljer just klockor.
Sten har dock inga klockor på lager och han har inga intentioner att sälja några heller.

När hemsidan ligger uppe så konstruerar han ett snyggt reklam-email med erbjudanden samt en länk till webbutiken. Han skickar ut detta meddelande till de 300 000 epostadresserna.

Efter en stund så kan Sten se att epostmeddelandet har öppnats av 40 000 av dessa personer.


Del 2: Epostmottagarna

En av epostadresserna i Stens lista råkar vara inge.koll@gmail.com.

Inge öppnar och läser mailet. Eftersom han gillar klockor så fångas hans intresse relativt fort.

Inge klickar sig in på webbutiken och kikar igenom utbudet. Han ser några klockor som han väldigt gärna skulle vilja ha.

Han har dock en dålig magkänsla kring denna butiken.
Vem skickar ut epost bara sådär? Och vad är detta för butik egentligen?

Han lämnar hemsidan.


Del 3: Sten undersöker resultatet

Som du kanske redan har listat ut så är webbutiken Kungliga Klockor ingen vanlig webbutik.

När en användare har valt sina produkter och skall betala, så tvingas de att skapa ett konto.

Användaren anger sin epostadress och ett lösenord som de vill använda.
Istället för att ett konto skapas så skickas den angivna epostadressen och lösenordet i ett epostmeddelande till Sten Koll.

Användaren ser bara ett felmeddelande i stil med "Någonting gick fel, försök senare.".

Sten ser nu att 90 personer har försökt att skapa ett konto i webbutiken.
Han har nu en lista på deras respektive epostadresser samt vilket lösenord de valde på hans hemsida.

Inge Koll lät sig dock inte luras. Han har minsann inte angett något lösenord.
Men Sten har ett ess i rockärmen.


Del 4: Retargeting

Nu utför Sten den andra delen av sin plan.

Han har placerat en Facebook-pixel på sidan.
Detta innebär i praktiken att han kan visa Facebook-annonser för alla personer som har besökt hans sida men som aldrig skapade ett "konto".

Nu ser Inge en Facebook-annons för just den klockan han var intresserad av.
Denna gången med ett oslagbart rabatterat pris som nästan är för bra för att vara sant.

Han klickar på annonsen och kommer till webbutiken som han tidigare hade fattat misstankar mot.
Denna gången vinner hans köpimpuls över hans förnuft, och han försöker skapa ett konto.

Han möts av följande felmeddelande:

"Sidan är hårt belastad för tillfället och ditt konto kunde inte skapas. Vänligen försök igen senare."

Inge lämnar återigen sidan. Några minuter senare har han glömt bort både klockan och webbutiken.


Del 5: Sten gräver djupare

Efter Facebook-annonseringen så har Sten fått in några ytterligare epostadresser och lösenord.
En av dessa är inge.koll@gmail.com som verkar ha valt lösenordet Benj4min2018.

Sten börjar nu att  söka runt på internet efter sidor, konton, och personer som är associerade med ovan nämnda epostadress.

Det dröjer inte länge förrän han vet att epostadressen tillhör en person vid namn Inge Koll som finns på både Facebook, Twitter, och LinkedIn.

Han hittar även några gamla konton på diverse dejtingsidor.
På Inges Facebook-profil står det att han har en son som heter Benjamin. Det förklarar lösenordet.


Del 6: Dags att prova lösenord

Sten provar att logga in på de olika sajterna med Inges epostadress och lösenord.
Ingen lycka på någon av sajterna, förutom på LinkedIn. Där fungerade lösenordet.

Sten har nu tillgång till Inges LinkedIn-konto.

Sten riktar nu fokus mot epostkontot inge.koll@gmail.com.
Genom lite mjukvarumässig hokus-pokus så kan han automatiskt prova många versioner av det kända lösenordet Benj4min2018.

Till exempel:
Benj4min-2018, benj4min2018, benjamin2018, Benj4min2017

Efter en stund så får Sten träff igen. Det fungerade att logga in på epostkontot inge.koll@gmail.com med lösenordet benjamin2014.
Nu öppnas ytterligare möjligheter för Sten.

Nu kan Sten använda "Glömt lösenord"-funktionen på Facebook, Twitter, och på dejtingsidorna.

Ett mail med en återställningslänk skickas till inge.koll@gmail.com, och eftersom han har åtkomst till detta konto så kan han använda länken, byta lösenord, och radera mailet.


Del 7: Utnyttja situationen

Nu när Sten har tillgång till Inges konto så finns det mycket han kan göra för att utnyttja situationen.
Här kommer några tänkbara scenarion.


Scenario 1: Dejtingsidorna


Inge
har inte varit inloggad på dejtingsidorna sedan han träffade sin fru för 6 år sedan.

Sten kan med enkelhet använda informationen från Inges Facebook-profil för att uppdatera hans dejtingprofiler så att de ser ut att vara aktiva och nyligen uppdaterade konton.
Därefter kan han ta skärmdumpar och pressa Inge på pengar i utbyte mot att inte avslöja det för hans fru.

Givetvis så har Sten bytt ut kontots epostadress, så Inge kan inte återställa lösenordet eller radera sitt konto.


Scenario 2: Företagsmailen

Det verkar inte bättre än att Inge har angivit inge.koll@gmail.com som återställningskonto för sitt företagskonto inge@kopieringspapper.se.

Ett återställningskonto är en epostadress som kan användas för att återställa lösenordet för ett annat epostkonto i händelse av glömska.

Sten kan nu även få tillgång till Inges företagsmailkonto, och jag behöver nog inte gå in på detaljerna kring hur detta kan utnyttjas.


Scenario 3: Lura flera

Sten utger sig för att vara Inge och skickar meddelanden till hans vänner via epost, Facebook, och LinkedIn där han rekommenderar Kungliga Klockor. Han skickar till och med en personlig rabattkod.

Det räcker att en person nappar, så börjar historien om från Del 3 igen.


Sten har använt sig av ett social engineering-trick som kallas för phishing. Det finns många versioner av phishing, och i detta exemplet så har antagonisten använt sig av riktad annonsering i sociala medier för att förbättra sina odds.


Sensmoral

Detta var den första i en rad av kommande historier om Inge Koll.
Idag är det väldigt lätt att hamna i en utsatt situation i den digitala världen om man inte är försiktig och har grundläggande kunskaper kring den organism som vi kallar internet.


Hur undviker man att bli som Inge Koll?

Det är ganska lätt att skydda sig mot personer som Sten Koll. Jag har skrivit en uppföljning på detta inlägg där jag går igenom vad man kan göra för att skydda sig.

Läs inlägget här: