Stoppet over 300 millioner svindel-eposter
Britiske skattemyndigheter har klart å stoppe enorme mengder svindel-eposter sendt i deres navn. Ny teknologi gjør det mulig å stoppe mange før de kommer til din postboks, men i Norge har få etater tatt i bruk løsningen.
«En pakke med sporingsnummer XX er forsøkt levert til deg. Trykk her for å avtale levering eller få info.»
eller
«I henhold til skatteberegningen har vi fastslått at du er berettiget en skatterefusjon. Fyll inn skjemaet på denne siden for å få pengene utbetalt»
De fleste har fått slike luremeldinger i innboksen. Eposter som utgir seg for å være Posten, skattemyndighetene eller banken.
Felles for dem alle er at de er falske og at de ofte sendes ut i enorme antall. Epostene har som mål å lure nettbrukere til å gi fra seg sensitiv informasjon om bank- eller kredittkort, eller de er skapt for å infisere datamaskinen med skadelig programvare som i verste fall kan ødelegge alt du har lagret på maskinen.
– Vi får jevnlig inn eksempler på hva folk utsettes for av forsøk. Innrapporteringen av slike eposter foregår med uforminsket styrke, sier Bjarte Malmedal hos NorSIS. Nasjonalt senter for informasjonssikring (NorSIS) jobber for sikrere bruk av IT både i det offentlige og private i Norge. De følger tett med på truslene i dataverdenen.
En rekke ganger har svært mange nordmenn motatt svindeleposter som utgir seg for å være Skatteetaten – noen ganger også med tilsynelatende ekte avsender @skatteetaten.no.
Foto: Poppe, Cornelius / NTB scanpixRådet er å vurdere nøye om epostene er ekte, og aldri klikke på ukjente lenker. Men av og til er det noe som gjør at folk går i fella – for eksempel at avsender-adressen ser helt ekte ut.
Akkurat det har både norske og britiske skattemyndigheter vært utsatt for.
Falsk epost med riktig adresse
For når meldingen om at du har fått penger igjen på skatten, ser ut som den kommer fra adressen skatteetaten@skatteetaten.no, kan det jo fort virke som det er snakk om en ekte epost.
Men for personer med onde hensikter er det svært enkelt å forfalske epostadressen som står i avsenderfeltet. Problemet er at grunn-teknologien bak epost er gammel, og det er ikke lagt inn beskyttelse mot slik forfalskning.
Dette har svindlere utnyttet. Skatteetaten her i Norge har derfor flere ganger de siste årene måttet gå ut i mediene og advare: – Ikke klikk på lenkene i epostene. Vi ber aldri om kontoopplysninger per epost.
I samme situasjon har de britiske skattemyndighetene (HMRC) vært. Svindlere utgir seg for å være skattemyndighetene med adresser som slutter på @hmrc.gov.uk, og gjerne emnefelt merket «Tax Refund Notification».
HMRC er etaten britene må forholde seg til når det gjelder skatter og avgifter.
Foto: HMRC– Svindel-eposter er mer enn bare uønskede meldinger. De er verktøyet som kriminelle bruker mot uskyldige innbyggere for å skaffe seg tilgang til sensitive person- eller bankopplysninger, uttaler sjefen for it-sikkerhet Ed Tucker, hos de britiske skattemyndighetene HMRC i ei pressemelding.
Ed Tucker (til høyre) fra HMRC forteller om suksessen med å stoppe hundrevis av millioner falske eposter, og har også fått priser for sitt informasjonssikkerhetsarbeid.
Foto: UK IT Industry AwardsBritiske myndigheter anslår at det både i 2014 og 2015 ble sendt ut en halv milliard eposter med falsk avsender som sluttet på hmrc.gov.uk.
Myndighetene har derfor aktivt tatt opp kampen mot svindlerne med bruk av nye teknologier.
Med en ny metode knyttes strenge regler til domenet hmrc.gov.uk – bare godkjente systemer skal få sende ut epost på vegne av skattemyndighetenes adresse.
Slik har de klart å stoppe over 300 millioner falske eposter hittil i år.
– Dette endrer veldig mye. Med denne teknologien har vi klart å stoppe nesten alle disse epostene fra å i det hele tatt nå innboksen til innbyggere, skriver Tucker i et blogginnlegg om innsatsen.
I blogginnlegget forteller sikkerhetssjefen at de med teknologien også skaffer seg informasjon som brukes for å etterforske svindlerne. I første halvår av 2016 har de klart å ta ned over 14 000 svindelnettsider knyttet til epostene fra kriminelle.
Teknologien
Bak det store antallet svindel-eposter som er stoppet står en teknologi kalt DMARC.
Domain-based Message Authentication, Reporting and Conformance (DMARC) setter regler for epostene – hvilke som skal komme fram og hvilke som skal blokkeres. Samtidig samles det inn informasjon om epostflyten.
Siden denne teknologien nå støttes av store internasjonale aktører som Google og Microsoft er det mulig å stoppe epostene før de havner i innboksen til brukerne.
I den opprinnelige epostteknologien fantes det få systemer for å kontrollere at eposter faktisk er ekte og kommer fra rett sted.
Med DMARC kan store tjenester som Gmail og Hotmail hindre falske eposter fra å nå innboksen ved å filtrere basert på sikre opplysninger.
Eierne av en adresse legger inn et sett med regler for hva som er tillatt epost fra deres domene, og kunngjør dette for hele internett slik at mottakere som Gmail skal følge reglene.
DMARC utnytter så flere andre teknologier for å filtrere vekk svindel-eposter:
- Sjekker om eposten er sendt fra et system som er godkjent (SPF)
- Sjekker om eposten er teknisk signert (kryptografisk signatur med DKIM)
- Sjekker hva eierne av adressen vil at skal skje om eposten ikke følger reglene (kastes eller legges i søppelpost-mappe)
- Samler inn info om eposter som bryter reglene
Britiske skattemyndigheter har skrudd på den strengeste formen for filtrering «reject» som ber mottakere som Gmail om å kaste eposter som ikke sikkert er fra dem.
Foto: faksimile fra dmarcian.com– Dette gjør at de som driver eposttjenester kan identifisere svindel-epostene som utgir seg for å være fra våre domener, og hindre at de kommer fram, skriver sikkerhetssjef Ed Tucker i de britiske skattemyndighetene.
I Storbritannia arbeider myndighetene nå med å innføre teknologien for alle etater.
Bjarte Malmedal i NorSIS vil berømme de som har tatt i bruk de nyeste teknologiene, og følger i samme spor som store Google og Microsoft.
Foto: NorSISLite utbredt i Norge
NorSIS opplever at svindel-eposter er en utfordring og at epost brukes aktivt av ondsinnede aktører. Derfor er de positiv til nye tekniske løsninger som kan hjelpe til med å beskytte brukerne.
– Vi synes så klart at man burde bruke denne typen moderne teknologi for å minske faren, sier seniorrådgiver Bjarte Malmedal i NorSIS til NRK.
Han vil berømme de som har valgt å ta i bruk teknologien, og mener at det går den veien at alle må utnytte nye metoder fordi problemene med svindel og skadelig programvare som spres på nettet ikke forsvinner av seg selv.
– Vi vil oppfordre IT-avdelingene i norske selskaper til å se hva de store aktørene internasjonalt gjør. De store aktørene bruker slike teknologier, og derfor bør også it-avdelingene her ta jobben med å sette det opp, sier Malmedal.
NRK har undersøkt utbredelsen av den nyeste teknologien DMARC hos et utvalg virksomheter i Norge.
Undersøkelsene viser at den nyeste teknologien ikke er så utbredt.
Blant offentlige etater som er medlemmer av Forum for store offentlige nettsteder er bare 8 av totalt 40 domener sikret med DMARC.
Store aktører som Nav, Brønnøysundregistrene og Lånekassen mangler løsningen på sine domener.
Se hele listen over domenene NRK har sjekket i bunnen av saken
Skatteetaten som har opplevd et stort antall svindelforsøk på epost hadde ikke DMARC da NRK begynte å undersøke, men har nettopp startet arbeidet med å se på teknologien.
Svein Mobakken i Skatteetaten understreker at de aldri sender ut epost for å be om konto- eller kredittkortopplysninger.
Foto: Skatteetaten– Skatteetaten er opptatt av å benytte mekanismer som gjør det vanskeligere for svindlere å benytte falsk epost i sin virksomhet, sier sikkerhetsdirektør Svein Mobakken i Skatteetaten til NRK.
Han forklarer at Skatteetaten har tatt i bruk noen av de underliggende teknologiene som skal til for å bruke DMARC – de innførte informasjon om godkjente avsendere gjennom SPF i november 2013.
Men etaten mangler ennå DKIM og DMARC.
– DKIM (DomainKeys Identified Mail) ser etaten på, men har ikke begynt å bruke det ennå. Dette primært fordi våre eposter til skattytere aldri skal inneholde sensitive opplysninger eller lenker, vi benytter andre kanaler for denne type informasjon, svarer Mobakken.
Ikke skrudd på for felles IT-løsninger
Heller ikke direktoratet med koordineringsansvar for IKT og informasjonssikkerhet i det offentlige har innført den nyeste DMARC-teknologien på eget domene.
Direktoratet for forvaltning og IKT (Difi) driver i tillegg store felles løsninger for mange offentlige etater. Blant dem er ID-porten man bruker for å logge seg inn hos veldig mange offentlige etater.
Selv om Difi tilbyr brukerstøtte tilknyttet til denne innloggingsløsningen på epost med domenet difi.no er ikke dette beskyttet med den nye teknologien.
– Vi har innført den underliggende teknologien SPF fordi vi mener det har en effekt. DMARC har vi ennå ikke innført fordi det ikke gir noen vesentlig gevinst i forhold til den innsatsen som må legges inn, svarer seksjonssjef for drift og sikkerhet Tommy Harjo i Difi til NRK.
Harjo mener at statistikken fra direktoratets egne søppelpostfiltre viser at mange millioner eposter stoppes på grunn av erfaringsbaserte regler, men at svært få stoppes av teknologien DMARC.
ID-porten fra Difi brukes til å logge inn på en rekke offentlige tjenester, som her hos Lånekassen.
Foto: Montasje av skjermdumper/NRKSeksjonssjefen forteller at svindel-eposter stort sett er knyttet til virksomheter som håndterer penger, og at Difi ikke har erfaring med at noen utgir seg for å være dem på epost.
Tommy Harjo i Difi forteller at de enn så lenge ikke helt har sett kost/nytte i å innføre den nyeste teknologien.
Foto: DifiHan sier dette om den nye teknologien som er laget for å stoppe slike svindel-eposter fra å komme i innboksen til vanlige brukere.
– Det er viktig å være klar over at DMARC er siste ledd i en kjede av verktøy, der SPF og DKIM er teknologiene som utfører selve jobben, sier Harjo.
– NorSIS sier at it-avdelingene bør strekke seg etter det de store internasjonale nå gjør – hva tenker dere om det?
– Jeg er enig i at de underliggende teknologiene sprer seg mye, og de er blitt enklere å innføre. Samtidig blir det litt feil å sammenligne it-driftsavdelingen i en middels stor norsk bedrift med internasjonale kjemper som Google og Microsoft. Jobben er den samme om du er en liten bedrift på ti personer eller en kjempebedrift som Google med millioner av brukere, svarer seksjonssjef Harjo i Difi.
Han vedgår likevel at teknologien kan hjelpe.
– Det er likevel absolutt noe man bør strekke seg etter, og slik jeg ser det bør man starte med de underliggende teknologiene SPF, DKIM og STARTTLS, sier Harjo.
Viktig med kombinasjon av teknologi og mennesker
Malmedal i NorSIS har tro på at nye metoder kan hjelpe.
– Vi vet ikke ennå, men om mange tar i bruk dette kan det kanskje gi en positiv endring, sier seniorrådgiveren innen informasjonssikkerhet.
Han mener alle aktører bør bidra så godt de kan for å beskytte brukerne bedre mot nettsvindel, og at teknikken også må kombineres med andre tiltak.
Svindlerne bruker også andre adresser, men satser på at folk skal la seg lure av navnetrekk og logoer.
Foto: Faksimile av svindelpost/Skatteetatens logoFor selv om eposter fra skatteetaten@skatteetaten.no stoppes på veien til epostboksen din kan du fortsatt bli lurt. DMARC og de andre teknologiene er laget for å beskytte de ekte adressene, og gjøre at vanlige nettbrukere skal kunne stole på at eposter fra det ekte domenet skatteetaten.no ikke er forfalsket.
Svindlerne utnytter likevel at en del brukere uansett er litt for raske med å klikke på lenker. Det er ikke uvanlig at svindlere lager seg epostdomener som de har full kontroll over og som er laget for å ligne på de ekte adressene – f.eks. en adresse som slutter på skatteetat.eu.
– Ondsinnede aktører kan sette opp sine egne systemer med et domene som ligner mye, og folk kan fortsatt bli lurt, sier Malmedal og understreker at det alltid er en menneskelig faktor i det med å bekjempe svindelforsøk.
Etter hans mening kan ikke problemet løses bare med teknologi.
NRK arbeider med å innføre denne typen teknologier for beskyttelse av domenet nrk.no mot svindeleposter. SPF er slått på, og det arbeides med fullverdig oppsett av DKIM og DMARC.
