Markus Jakobsson är från Landskrona men flyttade till USA 1991. Han var då nästan färdiutbildad civil­ingenjör i Lund, men eftersom han inte ville göra militärtjänst beslutade sig han sig för att vara utomlands några år och flyttade till USA. Reglerna var nämligen sådana att utomlandsboende inte kunde inkallas, och folk som bott fyra år utanför Norden ansågs ”olämpliga”.

Att fuska genom att förstå reglerna är numera hans jobb. Han har i flera år varit professor vid Indiana University, där han bor i ett hus helt gjort av återvunnet trä, och forskar om nätfiske sedan flera år tillbaka. Nu vid årsskiftet lämnade han sin tjänst vid Indiana University, även om han fortfarande kommer att handleda studenter, och har i stället blivit chefsforskare på forskningsinstitutet Parc i Silicon Valley.

Hans intresse för nätfiske väcktes när han arbetade på RSA Security för sju åtta år sedan, berättar han.

– Mitt jobb var att försöka lista ut vilka hot mot säkerheten som skulle öka de närmaste åren och då gissade jag på phishing.

Han blev sannspådd. Nätfiske är i dag ett växande problem och Markus Jakobsson tror inte det kommer att minska under överskådlig tid. Hittills har de kriminella inte lagt så mycket kraft på nätfiske, det har gått bra att lura av människor pengar på rätt banala sätt. Men nu börjar en del inse att de kan lyckas ännu bättre om de börjar använda mer aggressiva metoder.

– I stället för att skicka spam till så många som möjligt och få några att nappa har de kommit på att det går att lyckas ännu bättre om de listar ut något om det tilltänkta offret. Exempelvis är det lättare att lura en person om du låtsas mejla från den bank som personen är kund i.

På sin hemsida visar Markus Jakobsson hur man kan göra för att få reda på vilken bank en person använder. Click here to get phished står det längst upp i höger hörn och klickar man där hamnar man på en sida där det finns ett program inlagt som söker efter banksajter i datorns cacheminne.

– När en bedragare vet vilken bank du har blir det 100 gånger lättare att lura dig. Om han dessutom känner till en transaktion du gjort nyligen blir det ännu lättare – tänk dig själv att du får ett mejl från din bank där det står att din transaktion till en nätbokhandel inte har gått igenom på grund av ett tekniskt fel och att du därför måste... och så vidare. Har du då verkligen gjort den transaktionen är det stor risk att du blir lurad.

Markus Jakobsson pekar på att det inte behöver vara speciellt svårt att få fram sådana uppgifter.

– Exempelvis kan man utnyttja onlinespel. World of warcraft har användarsidor där man berättar en massa saker om sig själv och utbyter olika typer av information. Då är det inte så svårt att göra kvalificerade gissningar om olika inköp, säger han.

Trots att användarna höjer sitt säkerhetsmed­vetande hittar bedragarna vägar att gå runt det.

– Budskapet att man inte ska klicka på länkar har hamrats ut så de flesta vet om det. Nu börjar det bli vanligt att det i stället står att man ska kopiera länken och klistra in den i webbläsaren. Det är exakt samma sak men människors okunskap utnyttjas.

– Men felet är egentligen säkerhetsexperternas: det var inget väl genomtänkt råd de gav när de bara sade ”klicka inte”.

I takt med att nätbedragarna blir skickligare måste alla potentiella offer bli duktigare på att skydda sig. Markus Jakobsson ligger därför bakom sajten Securitycartoon.com där han med hjälp av seriestrippar lär människor att bättre genomskåda nätfiskarnas bedrägeriförsök.

– Vi har kommit fram till att serier är det bästa sättet att nå fram till folk. De är inte benägna att läsa tio sidor information om vad de ska göra och inte göra, säger Markus Jakobsson.
Serierna används både i USA och utanför för att förebygga att människor blir lurade. USAs ledande grupp mot nätfiske, Anti-Phishing Working Group, länkar till seriesajten från sin hemsida och inom kort kommer serierna att användas av en av Spaniens största banker, berättar han.

– De har just översatt alla strippar till spanska och ska lägga ut dem på sin hemsida för att informera sina kunder.
Människor kan verkligen behöva bli mer vaksamma eftersom det inte finns några tecken på att nätfisket kommer att minska.

– Nej, tyvärr inte. Jag tror det kommer att öka innan det, förhoppningsvis, minskar. En kriminellt motiverad person kan utan större besvär tjäna 100 000 kronor om dagen och sitter rätt säkert genom att befinna sig i ett annat land där polisen har svårt att nå dem, säger Markus Jakobsson.

Han konstaterar också att samtidigt som nätfisket
tenderar att bli mer specialiserat och riktat så
kommer även de gamla metoderna att finnas kvar parallellt.

– Det finns många proffs som provar nya vägar som de hoppas ska vara mer lukrativa, men det finns också copycats som sett att de bedrägerier som görs nu är rätt lönsamma och de tar över dem.

Men, förutom att öka människors medvetenhet, hur kan man då skydda sig rent tekniskt? Nja, det är inte lätt, anser Markus Jakobsson.

– Det finns inte så många tekniska vapen mot phishing. Ett bra spamfilter är en del men det tar inte hand om allt. En annan sak är ett bra antivirusprogram som kan ta hand om crimeware, alltså virus som skapats för att begå brott med, säger han.

Däremot tror han inte på system där det ska bli omöjligt att skicka mejl med exempelvis en bank som avsändare om det inte kommer från just den banken.

– Nej, det går man lätt runt. Tänk dig att filtret blockerar alla ”spoofade” mejl från SEB, seb.se. Då kanske mejlet i stället kommer från www.seb-security.se, en uppdiktad säkerhetsavdelning. Eller från www.seb.no – ”den norska filialen har fått ta över eftersom den svenska tyvärr gått ner”. Nätfiskarna kan helt enkelt registrera nya domäner och sedan behöver de inte förfalska mejl längre – de bara skickar dem.

Samtidigt som nätets bedragare blir allt mer förslagna och skickliga på att luras så ger de sig också in på nya områden. I stället för att gå på individer som privatpersoner blir de allt mer intresserade av att gå på anställda för att komma in i företag och få tag i affärshemligheter. Här finns det också en symbios med mindre nogräknade konkurrenter som kan ha ett intresse av att få ut information, konstaterar Markus Jakobsson.

Det handlar heller inte bara om lurendrejeri via mejlen – mobilen kan bli nästa väg till offren.

– Vi har blivit mer misstänksamma mot onlineförfrågningar men när det gäller telefonen är vi inte lika vaksamma. Tänk dig till exempel att Skatteverket ringer och säger att det gäller en återbetalning av skatt och att de behöver en bekräftelse av dig för att kunna göra utbetalningen. Och för att göra det behövs lite annan information. När man väl fått fram tillräckligt med information om en person går det att komma åt deras pengar.

På sin nya tjänst som chefsforskare på forskningsinstitutet Parc i Silicon Valley fortsätter han att samarbeta tätt med det amerikanska e-betalningssystemet Pay Pal. Dessutom kommer han att börja titta på hur hotbilden mot bilindustrin ser ut.

– Bilar är datoriserade i dag och jag ska undersöka vad som kan hända om crimeware tar sig in där. Föreställ dig vad som händer om gps:en kan tas över och fjärrstyras till exempel, säger han.

– Det finns också system som kan deaktivera en bilmotor centralt om en bil exempelvis är stulen – men vad händer om någon tar över den centralen och stänger av motorerna på mängder av bilar och blockerar vägar?

Donation – till vem? Amerikansk politik öppnar för nätfiske, konstaterar Markus Jakobsson. Många stöttar sina partier med donationer via internet och eftersom det bara finns två stora partier har spam en nästan 50-procentig chans att nå en mottagare med den partifärg som bedragaren hoppas.
För att visa hur lätt det är att luras har han själv registrerat sajterna www.democratic-party.us och support-gop.org.

Fakta

Namn: Markus Jakobsson.

Jobb: Var professor i datavetenskap på Indiana University till årsskiftet. Nu är han chefsforskare på Parc i Silicon Valley.

Tecknar serier för att få människor mer vaksamma mot nätfiske tillsammans med sin fru, Sukamol Srikwan (även hon före detta universitetsprofessor). Har över femtio patent och har skrivit hundra publikationer och två böcker – ”Phishing and Countermeasures” (Wiley, 2006) och ”Crimeware” (Symantec Press, 2008).

Han säger att han jobbar for mycket och tänker skära ner till fyra timmar om dagen, som han brukade jobba när han var på RSA.

Ålder: 39.

Uppvuxen: Landskrona.

Familj: Fru och son.

Fritidsintressen: Att komma på nya sätt att fuska (utan att bryta lagen eller råka I knipa).

Senast lästa bok: ”The 4-Hour Workweek” av Timothy Ferris och ”Kära Anges” av Håkan Nesser. Båda handlar om lurendrejeri av olika slag…

Lyssnar på: Tango och rock.