En PC & Nätverksteknikers tankar

Kunder i bland annat Swedbank och sparbankerna har den senaste tiden blivit utsatta för bedrägeriförsök. En bedragare har ringt upp och bett att få koder till internetbanken.

Under telefonsamtalen presenterar sig bedragaren som säkerhetsansvarig eller IT-ansvarig på Swedbank. Bedragarens syfte med samtalen är att hitta kunder i banken som har internetbanken och därefter förmå dessa att uppge koder från säkerhetsdosan. Bedragaren uppger att han behöver koderna för att stoppa ett pågående bedrägeri.

Swedbank och Sparbankerna har inget med detta att göra. Vi begär aldrig att du ska lämna ut information om dina lösenord, koder eller kortnummer till banken.

Om du har blivit uppringd av bedragaren råder vi dig att omedelbart kontakta internetbankens kundtjänst på 0771 -97 75 12.

För mer information om bedrägerier kan du läsa på Swedbanks sidor om säkerhet: Till sidor med säkerhetsinformation

Det finns en lång historia av attacker riktade mot DNS. I historien finns bland annat DDoS-attacker, attacker direkt mot vissa root-servrar där man använt specialskrivna program för att kunna utföra attacken.

Det som skrivits mest om under den senare tiden är nog "DNS Cache Poisoning"-attacker (DCP). En sådan attack kräver inte speciellt mycket bandbred, snabba CPU:er eller förfinade tekniker för att genomföras.

DCP kan användas genom att en angripare t.ex. injicerar en falsk IP-adress för en Internet-domän (domain.com) i en DNS. Om DNSen kan luras att acceptera IP-adressändringen så ersätts DNS-cachen med den falska adressen. Följaktligen så får alla förfrågningar om domain.com den falska IP-adressen (som kontrolleras av angriparen) som svar.

Så länge som den falska adressen finns i cachen (TTL-värdet för en domän är vanligtvis några timmar) så skickas surfande användare e-postservrar med mera automatiskt till adressen som servas av den infekterade DNSen.

Den här typen av attack kallas vanligen för "Pharming" och skapar flera problem. En användare tror att han/hon har hamnat på rätt webbplats, URLen är riktig, därför är det svårt att avgöra om något misstänkt som pågår.

Andra problem är att om domänen är populär så skickas hundra- eller tusentals användare till den falska webbservern. Detta kan ställa till stora problem om servern innehåller trojaner eller liknande ondsint kod som laddas ner av den intet ont annande användaren.

Ett annat scenario är att injicera en falsk IP-adress för en e-postserver, vilket innebär att t.ex. en organisations e-post skickas via en server som kontrolleras av en angripare.

...hur går det då till för att lura en "caching DNS server" att acceptera en falsk DNS-post?

När en "caching DNS server" får en förfrågan angående en adress för en domän så tittar den först i sin cache för att se om adressen redan är lagrad (detta för att spara tid och kraft), om informationen inte är lagrad så skickas frågan vidare till auktoritativa DNSer för domänen i fråga.

Innan den senaste beryktade publicerade sårbarheten av DNS-systemet, behövde en angripare tävla med en auktoritativa DNSer för att injicera adress-poster. Skicka ett falskt DNS-svar med rätt parametrar satta i DNS-paketet och hoppas att svaret når målet innan det legitima svaret. Detta gav angriparen en väldigt kort tidlucka att lyckas (det är frågan om hundra- / tiondels sekunder)

I och med den senaste sårbarheten kan tidluckan drastiskt utökas genom att skicka förfrågningar för domäner som - angriparen vet - inte existerar (t.ex b1o2n3n559dzzz.domain.com) till "caching"-servern. Detta genererar mängder av frågor från "caching"-servern, vilket i sin tur öppnar för miljontals möjligheter att skicka falska DNS-svar.

I stället för endast en chans att förfalska svaret får användaren massor av chanser (per tidlucka) att sätta rätt parametrar i DNS-svaren.

Att förfalska en DNS-post för b1o2n3n559dzzz.domain.com är vanligtvis inte användbart eftersom (troligen) ingen kommer att skicka förfrågningar för den domänen - det är då det magiska sker i den sista delen av attacken...

I det falska DNS-svaret pekar angriparen "caching"-servern till en falsk DNS-server för domänen som ska angripas. Denna information sparas av "caching"-servern.

På detta sätt kan angriparen kontrollera för den angripna domänen. Alla förfrågningar som gäller domänen skickas till angriparens server, vilket innebär att angriparen har kontroll över alla sub-domäner för domänen: www.a.domain.com, mail.b.domain.com osv. Angriparen har nu ett kontroll över domänen och kan skicka förfrågningar för alla sub-domäner till en server som är under angriparens kontroll.

Hur kan man då skydda sig mot dessa attacker?
Det finns ett antal olika föreslagna metoder som kan användas till exempel:

• Slumpa fram källportar för DNS-kommunikation (UDP SPR), försvårar för en angripare att gissa rätt parametrar för ett DNS-paket.
• DNSSEC

För att känna sig någorlunda säker vill man kunna svara på frågor som:

1. Hur vet jag att det är rätt DNS-server som svarar på förfrågan?
2. Hur vet jag att DNS-datat inte har blivit förvanskat?

Som det ser ut just nu är svaret på dessa frågor DNSSEC: en standard för autentisering av DNSer och DNS-data genom kryptografiska nycklar samt elektroniska signeturer.

Varför DNSSEC?

• DNSSEC använder DNS för distribution av kryptografiska nycklar, signaturer och certifikat.
• DNSSEC minskar risken för manipulation av namnuppslagningar. T.ex. förfalskningar av webbplatser.
• DNSSEC möjliggör flexibel infrastruktur för distribution av nycklar och certifikat till t.ex. Epost, IPSec, TLS/SSL, VPN, SSH osv.
• DNSSEC skyddar namnuppslagningar och erbjuder nyckeldistribution.
• DNSSEC är flexibelt, enkelt, billigt, skalbart, och interoperabelt.
  

För mer information och länkar kring DNSSEC:
http://www.iis.se/domains/sednssec
http://en.wikipedia.org/wiki/DNSSEC


Förklaringar:
DNS: Domain Name System (Domännamnssystemet)
CACHE: Mellanlagringsminne
DNS CACHE POISONING: Injicering av falsk information i DNS-cache
DNSSEC: Domain Name System Security Extensions
NAT: Network Address Translation (IP-adressöversättning)
UDP SPR: User Datagram Protocoll Source Port Randomization
DDoS: Distributed Denial-Of-Service

På "SANS Internet Storm Center" skriver Marcus H. Sachs att flera personer har hört av sig efter att ha fått falska e-postmeddelanden. Avsändaren ser ut att vara från Microsoft och i meddelandet uppmanas man att installera en kritisk säkerhetsuppdatering som är bifogad med brevet.

Subject: Security Update for OS Microsoft Windows
From: "Microsoft Official Update Center"

Dear Microsoft Customer,

Please notice that Microsoft company has recently issued a Security Update for OS Microsoft Windows. The update applies to the following OS versions: Microsoft Windows 98, Microsoft Windows 2000, Microsoft Windows Millenium, Microsoft Windows XP, Microsoft Windows Vista.

Please notice, that present update applies to high-priority updates category. In order to help protect your computer against security threats and performance problems, we strongly recommend you to install this update.

Since public distribution of this Update through the official website http://www.microsoft.com would have result in efficient creation of a malicious software, we made a decision to issue an experimental private version of an update for all Microsoft Windows OS users.

As your computer is set to receive notifications when new updates are available, you have received this notice.

In order to start the update, please follow the step-by-step instruction:
1. Run the file, that you have received along with this message.
2. Carefully follow all the instructions you see on the screen.

If nothing changes after you have run the file, probably in the settings of your OS you have an indication to run all the updates at a background routine. In that case, at this point the upgrade of your OS will be finished.

We apologize for any inconvenience this back order may be causing you.


Thank you,

Steve Lipner
Director of Security Assurance
Microsoft Corp.

E-postmeddelandet har även, enligt skribenten på SANS, en legitim PGP-signatur, och ser ut på detta sätt:

-----BEGIN PGP SIGNATURE-----
Version: PGP 7.1

3L0SDPQYESHKTVB7P898LE266163YL
9LZQ6AU3LYK9JFM85HDX4S5FG0PEUY5HXP0
31Q8WAOREI4H0A7OF4UDTOG8HAXPAZMV91DI6B8XJEQ0636ND3XAWTCOOSNLIGHUN
ZSDHKKLZ099I6Y03BO91DGUTQMMFT0CWMCZQ4G0R0EYMNN199IEG0PKA6CE3ZPAB6
EJ4UN52NIIB4VF78224S7BCNFH3NP9V91T66QV0RKA2KOG0RA0EUM5VY17P41G016
I2YU34EL9XJQGS7C5GMDU4FJUIC3M3ZIAU6==
-----END PGP SIGNATURE-----

Säkerhetsföretaget Bitdefender har upptäckt en våg av SPAM, som utnyttjar leveranskvitton för att verifiera att e-postadresser fungerar. Ofta rör det sig om sex relaterad reklam för exempelvis olika potensmedel.

En av utmaningarna som SPAM sändare står inför, är att verifiera vilka av email-adresserna, som de skickar till som verkligen fungerar. Förutom att sortera bort automat svar från postmaster och dylikt är en metod att använda sig av leveranskvitton, något som Bitdefender rapporterar har ökat i omfattning på sistone.

Poängen med leveranskvitto är att sändaren får veta att mottagaren verkligen läst ett visst utskick. Standardinställningen i de flesta e-postklienter är att då så begärs inte per automatik skicka något leveranskvitto, istället frågar programmet om man vill göra det. Rekommendationen då det rör sig om SPAM är då givetvis att undvika skicka kvitto, så att avsändarna inte får veta att mejlet verkligen har öppnats av en människa.

- Att validera e-postadressen innebär att användaren har skrivit under dödsdomen för hans eller hennes e-postkonto. Nästa meddelanden så kommer avsändaren att försöka få med skadlig kod som används för att komma åt känslig data, som till exempel kreditkortsnummer, säger Vlad Valvceanu på Bitdefender.

Förutom att utnyttja funktionen med leveranskvitton utnyttjar avsändaren också möjligheten att i e-post lägga in bilder som lagras på en server på internet. Om mottagaren väljer att visa bilden så får de också ett bevis på att brevet verkligen öppnats.



Källa: IDG

Flera tillverkare av säkerhetsprogram varnar för AndromedaAV, ett så kallat "antivirusprogram" som snarare ställer till det för användaren än hjälper till att undvika skadlig kod. Den som installerar programmet möts av uppgifter att det finns en rad infekterade filer på datorn. För att råda bot måste man betala en licensavgift, men någon egentlig virus sökning görs inte. Meddelandena man får är oberoende av om systemet egentligen är infekterat eller ej.

Vad programmet mer orsakar för eventuell skada är oklart, men flera andra liknande falska säkerhetsprogram kännetecknas av återkommande popup-fönster och att orsaka instabilitet i datorn. Det finns också möjligheter för angriparen att lägga in malware som trojaner på den drabbades dator.

Även Computer Associates och F-Secure har liknande varningar. Rådet är att vara vaksam mot program som gör reklam via popup-fönster. För den som saknar antivirus program men inte har lust att betala för det finns det flera seriösa och kostnadsfria alternativ, som Avast, AVG och ClamAV.

Källa: Symantec.

Ett av de vanligaste bedrägerierna just nu är ett falskt program som påstår sig ta bort olika typer av skadlig kod från din dator.

Ett av sätten som det falska anti-malware programmet XP Antivirus sprider sig är falska kommentarer i diskussionsfora på Internet. Det görs på samma sätt som en del skurkar lägger in länkar till sina egna sidor eller andras mot betalning i kommentarerna på bloggar. I XP Antivirus fall går länken till en falsk Google-sida.

Den som besöker länken ser först en "progress bar" som utger sig för att vara ett snällt program som ska kolla din dator mot skadlig kod. Sen ser användaren en välgjord fejk-varning där bakgrunden mörkas precis som i vanliga Windows och varningsrutan presenterar sig som XP Antivirus. Den talar om att det finns skadlig kod och ser riktigt trovärdig ut, för den som inte vet att XP Antivirus inte existeras.

Sen följer olika varningsrutor och små dialogrutor som dyker upp från nedre högra hörnet. Alla ser trovärdiga ut och har små rutor att klicka i. Ett varningstecken är dock att oavsett vad du trycker på kommer du tillbaka till en eller annan sida för att installera programmet eller betala för köpes-varianten. Ett annat varningstecken är att inget seriöst antivisrusföretag skulle trycka ut ett program till en dator utan att först berätta för användaren vad programmet gör och sen fråga om användaren vill ha det.

Filen som laddas ner är i själva verket Trojan-Downloader.Win32.FraudLoad.gen. Enligt Jesper M Johansson finns det förmodligen flera hundra varianter på en server, eller så körs den genom någon form av omvandlare för att försvåra för signaturbaserade skydd att upptäcka den.

Fake-programmet har en lång licenstext (som också ger ledtrådar om att det är fejk - men ytterst få människor läser licenstexter), egen hjälpsida, information om hur buggar kan rapporteras, priser för den fulla versionen anges tydligt och det finns försäkringar om att kreditkorts nummer och andra personuppgifter är skyddade eftersom kommunikationen är krypterad. Skurkarna säljer även support avtal och ett tilläggsprogram kallat FileShredder 2008.

Bedragarna har också skapat en egen version av Windows Security Center som är väldigt likt det legitima Security Center. Båda syns under Mina Program i Start-menyn. Den riktiga heter bara Security Center och dess hjälp-knappar leder till riktiga hjälpsidor. Fake-programmet heter Windows Security Center och dess hjälp-länkar leder till dess egna säljsidor.

Två andra tecken på den elaka koden är att det dyker upp varningsrutor om datorn lämnas i vila ett par minuter. Och texten i de varningsrutor som dyker upp från system-raden i nedre högra hörnet är skriven på dålig engelska. I övrigt är programmets dialogrutor välgjorda både vad gäller språk och form, enligt vad Jesper M Johansson skriver på The Register.

Hans analys visar inte på att programmet försöker installera någon annan form av skadlig kod, fjärrstyra datorn eller stjäla data. Men han skriver att det kan bero på att programmet känner att det befinner sig i en virtuell maskin och då håller tillbaka en del av sina fula trick för att inte underlätta analys.

Ett problem med stulna kontokort som missbrukas, är att det brukar gå en tid innan offret blir medveten om vad som har hänt. I ett försök att komma tillrätta med det problemet provar nu kontokorts företaget VISA om SMS kan hjälpa kunderna att snabbt få bekräftelse på sina inköp.

Det hela är ett pilotprojekt som inletts i USA och Kanada, där 2000 kunder deltar. När ett inköp gjorts, får kunden inom några sekunder en bekräftelse via ett SMS till sin mobiltelefon.

Kunderna får själva välja vilka kriterier som ska gälla för att ett SMS ska skickas. Det kan till exempel röra sig om köp som överstiger en viss summa eller ett uttag från en ATM.

Skulle någon obehörig använda kortet är det tanken att det snabbt ska bli uppenbart för kunden som genast kan kontakta sin bank för att spärra kortet.

Källa: Mobil

Efter en rättsprocess har Symantec vunnit en stämning mot det brittiska företaget Nusoft Trading Limited för piratkopiering av PCAnywhere, skadeståndet slutade på 700 000 pund, motsvarande cirka 8,4 miljoner kronor.

De dömda har olagligt sålt och distribuerat fler än 35000 kopior av programmet. Bland annat var flera externa aktörer medverkande i verksamheten, inklusive en större olaglig verksamhet i Tyskland. Allt detta framkom under rättsprocessen och gav Symantec tillräckligt med information för att vidta åtgärder mot de externa aktörerna, något som resulterat i separata överenskommelser.

Även om den skada piratkopieringen orsakat är signifikant, var huvudsyftet med stämningen att stoppa verksamheten, och att hindra ovetande användare från att använda piratkopierad programvara säger man på Symantec.

Källa: The Inquirer.

För närvarande cirkulerar ett falskt e-postmeddelande bland Swedbanks och sparbankernas kunder. I meddelandet, som är undertecknat "Jan Liden" uppmanas mottagaren att klicka på en länk som leder till en kopia av inloggningssidan till internetbanken.

Swedbank eller sparbankerna har inget med detta e-postmeddelande att göra. Den enda avsikten är att komma över kundernas information i bedrägligt syfte. Bankerna kommunicerar aldrig med sina kunder på det här sättet och ber aldrig kunderna att lämna ifrån sig information via Internet.

Vi råder alla som har fått meddelandet att omedelbart radera det utan att klicka på den medföljande länken. Har du redan klickat på länken och lämnat information om ditt personnummer och lösenord till Bank-ID bör du omedelbart spärra ditt Bank-ID genom att logga in dig på internetbanken.

Den falska internetbankssidan är stängd.

Källa: Swedbank

Flera svenska sajter används för att ta fram information om kontokort. En kontokortskund drabbades nyligen av ett bedrägeri som kostade honom 15 000 kronor sedan cvv-koden knäckts. Den som drabbades av kontokortsbedrägeriet berättade för en kollega om det inträffade. Eftersom kollegan är systemutvecklare började han av eget intresse att undersöka hur hackaren hade gått till väga.

På kontoutdraget framgick att hackarna först hade gjort ett köp för mindre än 100 kronor på SF Bios sajt, innan de shoppade loss ordentligt.

Från den sajten verkade hackaren ha kunnat ta reda på kreditkortsuppgifter. Efter ett manuellt test på sajten ifråga genom att mata in ett giltigt kreditkortsnummer och prova olika cvv-koder visade det sig att testet kunde göras cirka 30 gånger från samma ip-adress utan att kortet spärrades. Slutsatsen är att det i praktiken är möjligt för hackare att skriva ett program som automatiskt provar sig fram till rätt cvv-kod.

Thomas Runfors, informationschef på SF Bio, säger att det är första gången han har hört talas om det här.

– Det är aldrig roligt. Vi följer de rekommendationer vi har fått gällande säkerhet.

– Men är det inte en bra lösning tycker jag att det kan vara aktuellt att byta transaktionsbolag och bank, säger han.

SF Bio har sålt biljetter via webben sedan 2001 och av nio miljoner sålda biljetter per år säljs 20 procent on­line. Mattias Lannegren som är systemsansvarig säger att han har hört från polisen att bedragare gör så kallade testköp på sajter som deras.

Att de fiskar ny information om kontokort är dock nytt för honom.

– Det är tekniskt möjligt att lägga in en spärr på hur många försök man kan få med cvv-koden, och nu kommer vi att göra det. Vi vill ju alltid skydda våra konsumenter i den mån det går, säger Mattias Lannegren.

Enligt Svensk Handels säkerhetsexpert Dick Malmlund finns det inga regler för hur många gånger en felaktig kod får slås i butiker. Mellan butik och bank finns det dock en kommunikationskedja så att alla försök registreras på båda sidor.

– Det vore rimligt att butiken hade någon form av försöksspärr, säger Dick Malmlund.

Jag vill varna för programmet XP-Shield, eftersom att det är ett program som rapporterar falskt när det gäller hur infekterad din dator är av virus, trojaner och annan malware.

För att sedan kunna tabort programmen måste du betala en full licens.







När programmet installeras skapas följande:

• %UserProfile%\Desktop\XP-Shield.lnk
• %UserProfile%\Local Settings\Temp\XPShieldSetup.exe
• %UserProfile%\Start Menu\Programs\XPShield\XP-Shield Web Site.lnk
• %UserProfile%\Start Menu\Programs\XPShield\XP-Shield.lnk
• %ProgramFiles%\XPShield\INSTALL.LOG
• %ProgramFiles%\XPShield\UNWISE.EXE
• %ProgramFiles%\XPShield\XP-Shield Web Site.url
• %ProgramFiles%\XPShield\XP-Shield.exe

Sedan skapar programmet följande registernycklar, vilket medför att XP-Shield startas automatiskt när du startar Windows:

• HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Run\"XPShield" = %ProgramFiles%\XPShield\XP-Shield.exe"
• HKEY_ALL_USERS\Software\XPShield
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XP-Shield

Liknande program är:
AntiVirProtect, WinSpyKiller, TheSpyBot, SpyWatchE, and WinXProtector

Småföretaget Elektro Ohm i Trångsund blev i slutet av augusti kontaktad av Malmöföretaget Europaweb. www.euweb.se. Försäljaren hävdade att ett amerikanskt företag ville registrera domänen Elektroohm.com och Europaweb erbjöd sig att hjälpa dem att skydda namnet för 1950 kronor plus moms.

- Jag kontaktade snabbt vårt eget webbhotell och registrerade adressen själv för 62 kronor. Inte mer än vad en hamburgare kostar, säger Marcus Marjasin, som hjälper Elektro Ohm med deras hemsida. Marcus Marjasin svävar inte på målet om vad han tycker om Europawebs verksamhet.
- Det är skojeri, nästan bedrägeri, säger Marcus Marjasin.

Många drabbade
Internetworld har tidigare varit i kontakt med andra företagare som råkat ut för exakt samma sak. Europaweb, alias Euweb, är dessutom mycket omdebatterat på forum. Det verkar inte bekymra Tom Stach på Europaweb som tycker att det är fullt rimligt att ta 1950 kronor plus moms för en adress som kostar 62 kronor per år hos Loopia.
- Vi gör så mycket för kunderna, säger Tom Stach.

Han förnekar att deras affärsidé är att lura på småföretagare dyra domäner, utan hävdar att Europaweb främst arbetar med att registrera domäner åt spelsajter i en omfattning av 500 åt gången för att styra trafik till sajterna. Han är noga med att påpeka att de inte arbetar åt porrindustrin. Samtalet till svenska småföretag är en ren välgärning för att skydda dem, enlig Stach.

Dick Malmlund på Svensk Handel, som bland annat presenterar en varningslista för skojare, tror inte mycket på Europawebs förklaringar.
- Hur troligt låter det att ett amerikanskt företag skulle sitta och ringa upp svenska småföretag innan de registrerar en domän? Företagare som blir uppringda ska bara strunta i det, säger Dick Malmlund.

Åtta skojarföretag
Europaweb är inte ensamma om att försöka kränga på småföretagare dyra domäner. Svensk Handel har fått in klagomål på åtta olika företag varav där två företag finns på samma adress. Men företagen listas inte på varningslistan eftersom hanteringen inte självklart är olaglig, men nog så obehaglig.
- I värsta fall hotar de med att företagsnamnet kommer att peka till en porrsajt, säger Dick Malmlund.

Europaweb vill gärna ge sken av att vara ett internationellt företag med huvudkontor i England. Till saken hör att det går att skaffa ett aktiebolag i Storbritannien för några pund via nätet. Det är en metod som modemkapare tidigare har utnyttjat. Och enda referensen Internetworld hittar till Europawebs huvudkontor i England är en adressuppgift på någon slags Gulasidorna på nätet.

En snabb blick på Europawebs hemsida, www.euweb.se, gör det pinsamt tydligt att de handlar om amatörer som knappast kan något om sökmotoroptimering eller driva trafik till stora spelsajter. Det är inga vassa skojare direkt, men Dick Malmlund på Svensk Handel tror att de säkert lurar en och annan.
- Det finns exempel på företag som betalt upp till 14 000 kronor för sju olika domäner, säger Dick Malmlund.

Svensk Handels klagolista
Domänförsäljare som Svensk Handel har fått in klagomål på:

DomänRegistreringar Sellnet Group AB*
Domänregistreringar Europa*
EuropaWeb KB alias Juristfirman Mårtensson KB
Domän Direkt (Strigo AB)
Webbmedia Consulting
B.one
Deutsche Messe
Worl Net Registry Ltd
* Samma adress.
Källa: Svensk Handel

Vem har inte fått ett nigeriabrev som lovar stora pengar för den som hjälper till med en eller annan transaktion? Nu verkar myndigheterna i bland annat Nigeria ta i på allvar mot bedrägerierna.

Enligt CNN har en tre år lång satsning mot ekonomisk brottslighet nu börjat ge resultat.

Nuhu Ribadu som är chef för Nigerias kommission mot ekonomiska brott säger att mellan maj 2003 och juni 2004 har pengar och tillgångar för mer än 700 miljoner dollar beslagtagits.

Mer än 500 misstänkta ska också ha gripits, över 100 fall är i domstol och ytterligare 500 under utredning.

Den kommission som Ribadu är chef för vann en stor seger i maj då Mike Amandi dömdes till 16 år i fängelse. Detta för att han satt upp en webbplats där han låtsades vara Ribadu själv och sålde falska kontrakt för upphandlingar.

Det finns många olika förklaringar till att just Nigeria står för en så stor del av bedrägerierna på Internet. Hög utbildningsnivå, Afrikas största befolkning på 130 miljoner, engelskt modersmål och stor arbetslöshet bland unga akademiker har nämnts.

Dessutom frodades bedragarna under Nigerias 15 år av brutal men korrupt militärdiktatur. Sedan sex år är dock Nigeria en demokrati igen och president Olusegun Obasanjo får beröm från USA för sin kamp mot brottsligheten.

FBI, Interpol och andra polisstyrkor har hjälpt till med kunskap och utrustning.