Hvem sa du at du var? – Spoofing
Å utgi seg for å være en annen er et gammelt svindlertriks. Det å signere et brev med en annens navn er svært enkelt. Selv det å lage brevhoder og konvolutter med en bedriftslogo går greit. Allikevel er det stor sannsynlighet for at mottakeren følger instruksjonene i et slikt brev, ettersom de stoler på den som ser ut til å være avsenderen.
Image courtesy of Idea go at FreeDigitalPhotos.net
Det skal faktisk svært mye til før noen misstenker svindel dersom kommunikasjonen tilsynelatende kommer fra en venn eller en velkjent bedrift/organisasjon. Automatisk forbinder vi navnet med trygghet, og svindlene blir mye mer effektive enn om en ukjent skulle tatt kontakt.
Tilsvarende er det enkelt å utgi seg for å være en annen i en telefonsamtale. Selv om få tenker over alvorligheten, er det jo samme prinsipp som benyttes i f.eks. P4 sine “fem på” tulletelefoner. Riktignok var falske telefonoppringninger lettere å utføre før man fikk nummervisning.
Digital forfalskning av avsender
Å forfalske avsender er dessverre svært enkelt å også gjøre i digitale medier. Få digitale kommunikasjonskanaler har en grundig sjekk (verifisering/autentisering) av avsender. Rett og slett fordi det ville blitt en for omfattende prosess eller at standardene ikke tok hensyn til en slik sjekk da de ble utviklet.
Slike svindler med falsk avsender er ofte svært enkle å gjøre digitalt, men samtidig svært effektive fordi mottakerne (ofrene) tror at det er innebygget en stor grad av sikkerhet i systemene. Mottar man et ordinært brev med litt misstenkelig innhold er det lettere å tenke at her kan noen har forfalsket et brev i avsenders navn. En e-post fra en du kjenner med litt rart innhold vil hos mange ikke få varselklokkene til å ringe i samme grad, da de ikke vet om muligheten for forfalskning.
Vi skal videre forklare litt om hvordan slik svindel fungerer i den digitale verden. For å vise hvor utsatt du er vil vi presentere deler av fremgangsmåten også. Husk da på at å forfalske avsender anses som dokumentforfalskning, og må IKKE gjøres da det er straffbart.
En forfalskning av avsender omtales innen datasikkerhet ofte som spoofing.
E-post spoofing
Systemet for å sende og overføre e-post ble laget tilbake på tidlig 70-tallet. Få tok da med i betraktningen at det skulle bli så utbredt som det har gjort. Dessverre gjorde det at fokuset ble lagt på å lage systemet enkelt og pålitelig, fremfor sikkert.
Det er derfor viktig å alltid huske på at hvem som helst kan uten noen spesiell programvare og uten noen spesiell kunnskap sende en e-post i en annen persons navn. Selv Wikipedia-artikkelen for SMTP (overføringsprotokollen) inneholder all informasjon man egentlig trenger. Det er for noen med litt over minimumkunnskap innen IT like lett som å forfalske et ordinært brev. Det finnes også en rekke webtjenester for dette, som gjør det svært enkelt og mulig for alle.
Vi må derfor aldri ta for gitt at en e-post kommer fra den oppgitte avsenderadressen.
SMS spoofing
Selv om mange har stor tiltro til det tekniske bak mobilnettet, er sikkerheten omtrent like dårlig her. Spesielt SMS er svært enkelt å forfalske. Også her finnes det en rekke tjenester på nett som gjør jobben eneklt.
Slike tjeneste kan forfalske et avsendernummer eller sette et avsendernavn, slik som “Banken” eller “Politiet”.
Telefon spoofing
Den siste tiden har også det å forfalske telefonnummer som ringer blitt en utbredt teknikk. Dette er noe mer teknisk, men med rett utstyr er det ikke noe problem, og vanskelig for teleoperatørene å stoppe uten nye rutiner og utstyr. Også her finnes det ferdige tjenester som utfører forfalskningen. Ofte ved at du ringer via tjenestens nummer i utlandet. Slike tjenester koster som regel litt.
Tenk deg sev når telefonen ringer og det står at det er en kontakt du kjenner, ville du noen gang blitt skeptisk til at dette kunne vært noen andre?
Selv nødnumre (110,112,113) har den siste tiden blitt missbrukt i svindler. Tenkt deg alt hva en svindler kan få til dersom han/hun ringer og sier det er fra politiet, og telefonen viser 112 som nummer det blir ringt fra…
Sosiale Medier
Også i sosiale medier kan noen forfalske en avsender, men det gjøres ofte med en litt annen fremgangsmåte. Enten får bakmennene tilgang til brukerkontoen gjennom ulike former for svindel eller hacking, eller de lager nye kopier av kontoene.
Effekten er imidlertid den samme. Det skal langt mer til før du tviler på informasjonen fra en “venn” enn fra en totalt ukjent. Se f.eks. alle svindlene som den siste tiden har vært rundt kopier av bedrifters Facebook-profiler.
Hva er så løsningen?
Dessverre finnes det ingen gode tekniske løsninger mot spoofing i dag som er praktisk gjennomførbare. Å f.eks. bytte ut hele e-postsystemet over natten vil i praksis være umulig.
Den enkle løsningen er derimot at brukerne blir oppmerksomme på hvor enkelt det er å utføre slik forfalskning av avsender i digitale kommunikasjoner. Vet man hvor enkelt det er, vil man også ha en langt lavere terskel for å si at dette virker såpass rart, at det nok er en svindel…
Hvorfor har du ikke kommentar feltet åpen på ItAVisen på din : “Så lett er det å bli lurt av en epost” ??
Du har skrevet feil:
“Dersom e-postadressen endrer på noe helt annet, er det virkelig grunn til å bli skeptisk:”
…..dnb.no ”
Dette var jo ikke noe å bli skeptisk for!?
Hei,
Det er Itavisen som har en begrensning på hvor lenge det er mulig å kommentere.
Her er det itavisen som har satt inn feil bilde under teksten. Skal få de til å rette opp. Takk for tips.
Du kan se den riktige teksten her:
http://www.datasikkerhetsboka.no/blogg/2016/10/02/nasjonal-sikkerhetsmaned-tips-02-forfalskning-av-e-post-avsender/