Phishing via e-kalender: Ny katten og musen

Kompleksitet er sikkerhedens største fjende, gennemsigtighed den største ven. Men vader vi – trods begejstringen over strømmen af brugervenlige smartphones, apps og cloud-løsninger – durk ind i øget kompleksitet? Durk ind i øget usikkerhed?

Senest har jeg oplevet, at min e-kalender på smartphonen bimbler med varsel om store penge lige om hjørnet, opfordringer til at kontakte FN og andre kuriøsiteter.

Det er i familie med den type phishing, som vi kender så vel fra e-mails, men hvis “fristelser” vi typisk undgår takket være spamfiltre og sund skepsis. Hvorfor de kriminelle også søger nye veje.

Sku’ være smart, blev dumt

Det er min Google-Calendar, der bimler på min nye mobil. Årsagen synes at være, at Google i sine bestræbelser for at lave noget smart laver noget hovedløst, nemlig som “default” (altså præindstillet) siger “Ja” til følgende funktionalitet “Føj automatisk invitationer til min kalender”.

I dag så jeg via Twitter, at selv en såre techkyndig person, en jeg kender som übernørd, har været udsat for kalenderspam. Det er altså ikke kun os tech-dummies:-)

Nørder og dummies

Heldigvis var der også en anden på Twitter, som hurtigt gav en link til et websted, som omtalte problemet – og løsningen for Google Calendar-brugere.

Hos Forbes ser jeg imidlertid, at også brugere af Microsofts Outlook kan opleve møde-banditterne.

Skift væk fra ja

Hos Google ligger problemets rod tilsyneladende i følgende, udtænkt i misforstået brugervenlighed: En person, der kender min e-mailadresse (og den slags viden sælges i kæmpebundter til spotpriser på nettet), kan få sin “mødeinvitation”, altså phishingforsøget, smækket direkte ind på dato og klokkeslet. Det sker, fordi Google som default har flueben ved indstillingen, at det hele uden videre kan smides på.

Som bruger af Google-Calendar SKAL man huske at gå til kalenderfunktionens Indstillinger og under Generelt sætte flueben ved “Nej, vis kun invitationer, som jeg har svaret på.”

Det har jeg nu gjort, og jeg håber, at det er den endelige løsning, men…

Mere bøvl til os

Hvordan bliver vi mestre i “Indstillinger” af dit og dat, når nu producenterne har hovedet under armen.

Selv når producenterne opdager, at en funktion bliver misbrugt, hvorfor sadles ikke om eller varsles? Problemet har været kendt længe.

Rettigheder ved download

Det er heller ikke let at forstå, hvorfor en app, man vil have downloaded, ofte kræver adgang til det meste. Er det vitterligt nødvendigt, eller skal det blot skaffe data til bedre markedsføring eller til videresalg?

Desuden er der problemet, at smartphones (og visse computere) leveres med alskens præinstalleret “bloatware”, fedtflomme. Apps fra producenten selv eller fra andre, der har betalt for at være med. Dels beslaglægger flommen megabits, dels øger alt det uvedkommende fornemmelsen af usikkerhed.

Jeg hører indvendingen, “Jamen slet dem dog!” Og her er, hvad leverandøren af min nye mobil, HTC One, selv skriver “Important: You cannot move or uninstall preinstalled apps”.

Børnesikring, løgn og humor

Så jeg skal altså bare affinde mig med f.eks. en “Kid Mode” på 23 MB – en børneinstilling, selv om jeg ikke kunne drømme om at lade et barn få fingre i min mobil.

I denne sammenhæng er det i øvrigt også relevant at henvise til dagens artikel i Berlingske om kæmpeløgnen (vist bag betalingsmur), når vi alle klikker på, at vi har læst og forstået betingelserne.

Slut så evt. med humorens spøg og alvor vedrørende kompleksiteten. Her er dagens historie i Rokokoposten om Thore, der forfører Rikke, fordi han kan hjælpe hende med smartphone-indstillingerne. Er der flere, der gerne vil “forføres”?

PS tilføjet kl. 14.54: To sjæle én tanke. Personen, med pseudonymet Leoparddrengen, har også skrevet et blogindlæg om kalenderspam med lidt ekstra viden.

Det var også Leoparddrengen, jeg henviste til som den hjælpende sjæl på Twitter. Som han i øvrigt har skrevet en fin brugervejledning til her: http://www.twitterguide.dk/

2 responses to “Phishing via e-kalender: Ny katten og musen

Comments are closed.