Svindlere putter i stigende grad Javascript i html-kode, så det ikke er muligt at tjekke, hvor linket faktisk fører hen, ved at holde musen over det. Teknikken er som sådan ikke ny, men ifølge it-sikkerhedskonsulent hos Dubex Keld Norman er den på fremmarch.
»Det bliver anvendt. Og det har været anvendt længe, vi ser bare flere og flere af dem,« fortæller han.
Et gængs sikkerhedsråd opfordrer fra tid til anden brugere til at holde musen hen over et link, så det fremgår af browserens status-bar, hvor linket faktisk fører hen.
»Det er netop det, man går ud og fortæller i sådan nogle trænings- og awareness-kampagner: Hvis man bare holder musen henover, så kan man se, hvor linket peger hen. Det kan man ikke regne med,« siger it-sikkerhedskonsulenten.
Han har lagt en lille video ud på LinkedIn, hvor han forklarer angrebsteknikken. Her ligger der også et link til en side, hvor det er muligt selv at få syn for sagn.
Den luskede Javascript-kode udnytter, at linket har en værdi, når musen bliver holdt henover, og en anden, når der bliver klikket på museknappen. På kildekoden i testsiden, som Keld Norman linker til, ser det således ud:
<a id="sikker" href="https://www.dinbank.dk" onmouseover="document.getElementById('sikker').href='https://www.dinbank.dk'" onclick="document.getElementById('sikker').href='https://dubex.dk'"> www.dinbank.dk </a>
Selvom knebet skulle være gammelkendt, så vurderer Keld Norman, at der nok er mange, der ikke kender til det.
Version2 har testet, at koden fungerer efter den ønskede onde hensigt i både Edge, Chrome og Firefox. Til gengæld skulle det ikke umiddelbart være muligt at få hverken Googles Gmail eller Microsofts Outlook til at eksekvere koden. Med andre ord så fremgår den adresse, et klik faktisk fører til, af browserens adressefelt i de to mailsystemer - og det er nok godt nok.