Du kanske har hört talas om dem. Men hur ser de egentligen ut och är det lätt att råka ut för dem. Nu kan du se själv då jag väljer och publicera ett SPAM-brev från en bedragare.

Bдste kund

Fцlj instruktionerna nedan.

Klicka pе den genererade lдnken nedan fцr att slutfцra ditt konto verifiering.

https://www.avanza.se/aza/login/login.jsp ?uniqueid=38010293&cliente?verify=49-1023

Om du misslyckas med att slutfцra verifieringsprocessen ditt online-konto kommer att vara tillfдlligt avbrytas.

Tack
Avanza Bank

Som synes så är det inte korrekt svenska. ÅÄÖ är felaktiga. Dessutom så avslöjas det hela genom att följande finns i headers:

Message-ID: <20111114080156.CA8A4CD011C@webmail.bercaglobalaccess.com>

Det verkar vara så att SPAM-brevet är skickat från en kapad windows-dator som blivit en spam-robot och skickat ut SPAM åt bedragare.

Ett annat sätt som visar på att det inte är från Avanza är att länken man skall klicka på går till:

http://213.191.228.230/avanza/

Denna IP-adress tillhör via http://www.ip-adress.com/ip_tracer/213.191.228.230 en ISP på Irland:

213.191.228.230 IP address location & more:
IP address [?]: 213.191.228.230 [Whois] [Reverse IP]
IP country code: IE
IP address country: ip address flagIreland
IP address state: Tipperary
IP address city: Thurles
IP address latitude: 52.6819
IP address longitude: -7.8022
ISP of this IP [?]: Telefonica O2 Ireland Limited
Organization: O2 Ireland
Local time in Ireland: 2011-11-14 11:47

Skall vi gissa att den siten inte är uppe länge till ?

Siten är blockerad som en webbbedrägeri. Men klickar man förbi det så kommer man till en webbplats som är trasig. Det intressanta är att den webbplatsen pekar fortfarande på Avanzas webbplats och hämtar bilder från den.

https://www.avanza.se/aza/images/ikon_skriv_ut.gif

https://www.avanza.se/aza/images/nav_avanza_sb.gif

Däremot så ser webbplatsen helt trasig ut – och det beror nog på att webbplatsen hämtar css från avanzas egna webbplats men att de därifrån spärrat utskicket av filen pga referer-url. Men de har missat och göra det från https-webbplatsen.

Ja ja. De som gjort det hela har lyckats göra ett antal allvarliga fel som gör att det går enkelt att se om man är IT-expert som jag. Men vanliga människor kan utan större it-kunskap kan då råka illa ut om de väljer och följa länken och prova att logga in – för då kommer bedragarna över deras namn/lösenord och kan använda dem för att logga in på webbplatsen och manipulera aktiekurserna för egen vinnings skull.

Så vad bedragarna gjort är att de skapat en webbplats där de kopierat förstasidan från avanzans hemsida samt ändrat så när något försöker logga in så sparar de användardnamn och lösenordet så de själva kan logga in på den riktiga webbplatsen. Sedan har de köpt spam-utskick av någon zombiebätverkägare som då spammat det falska brevet till svenska epostadresser.

Tog inte många timmar och fixa till. Lite mera jobba och med någon som kan svenska i gruppen så hade det kanske gått mycket bättre för dem att lyckats lura kunderan att avslöja sin kontoinformation.

PS Om denna siten hade varit en barnporrsite så hade den lagt in i polisens barnporrfilter och varit uppe i ett halvår för polisen hade inte gjort något mera. Nu är det en ekonomisk site som borde vara nerstängd inom några timmar.