Appen Smittestopp skal varsle via SMS om du har vært nær noen som har korona. Det tok 10 minutter for NRK å sette opp et system som sender ut falske varsel.
Problemene med SMS skaper en gylden mulighet for svindlere og rampunger, mener sikkerhetsekspert Per Thorsheim. Han har tidligere bidratt i en rekke medieartikler om hvordan telefonnumre kan kapres.
– Hva frykter du kan skje?
– SMS er dessverre ikke til å stole på. Det er altfor enkelt å kunne sendte store mengder SMS til hvem som helst i hele verden med et falskt avsendernummer, eller et ord som «Helsenorge».
Slike falske meldinger kan også legge seg i eksisterende meldingstråder brukeren har med for eksempel fastlegen eller Skatteetaten.
Smittestopp hadde i dag tidlig allerede over 1,3 millioner nedlastinger. Norske myndigheter håper på sikt at over 60 prosent vil bruke appen. Det kan ifølge statsminister Erna Solberg bidra til å gi nordmenn «mer frihet, raskere».
– Mange kan forvente å få en SMS de neste månedene om at de har vært i nærheten av noen med koronaviruset, sier Thorsheim.
Han mener at falske meldinger kan svindle sårbare mennesker eller «skremme vettet» av folk som får beskjed om å oppsøke sykehus.
– Det er en gullmelding folk kommer til å klikke på som gale, sier Thorsheim. Han frykter at mottakerne vil bli bedt om å besøke falske nettsider.
– Der kan de bli bedt om å oppgi bankID eller bankkort-informasjon. Dette fungerer, det vet vi dessverre.
FHI: Kjent problem
NRK har selv testet hvor enkelt det er å forfalske avsenderadresser for SMS. På kort tid fikk vi satt opp det tekniske systemet som kreves for å sende denne typen SMS-er. En slik melding sendte NRK til informasjonssikkerhetsleder Pål Solerød i Folkehelseinstituttet (FHI).
– Nå fikk jeg en SMS.
– Hva står det der, da?
– Du har fått en melding fra helsemyndighetene om at du har vært i nærkontakt med noen som har hatt korona. Så blir jeg bedt om å logge inn på en URL jeg ikke kjenner igjen.
– Meldingen du fikk nå, kommer den sammen med andre meldinger på telefonen?
– Den kommer med Helsedirektoratet som avsender hvor jeg allerede har fått melding om å holde to meters avstand. Så avsender ser veldig korrekt ut.
Solerød oppgir til NRK at FHI er kjent med problematikken, men at de likevel valgte å lansere appen med SMS som varslingskanal.
Dette er også noe FHI har nevnt i sin vurdering av personvernkonsekvenser. Der står det at: «SMS-varslingen kan misbrukes ved å sende ut SMS til norske innbyggere med forfalsket avsendernummer».
– Dere er klar over at SMS ikke er helt trygt, hvorfor valgte dere det da?
– Det er en enkel løsning alle vet hvordan de skal forholde seg til. Alternativet ville vært å varselet gjennom appen. Tanken bak appen var en den skulle være enkel og rask å utvikle. Vi ser ikke bortifra at den funksjonen kan komme senere, sier Solerød, om å hvorfor de ikke varsler brukere via appen.
I tillegg har FHI ønsket å lagre helsedata adskilt fra dataene appen samler inn. Det har gjort det mer teknisk komplisert å sende varslinger via Smittestopp.
Solerød anbefaler brukere som er å tvil om en melding er ekte å oppsøke helsenorge.no, der har de en innsynløsning man kan bruke til å sjekke om man faktisk har fått et varsel.
Nkom: Internasjonalt problem
Hans Jørgen Enger er avdelingsdirektør Nkom, tilsynet som følger opp det nasjonale kommunikasjonsnettet.
– Generelt er spoofing et internasjonalt problem som også eksisterer i Norge. Årlig kommer det flere millioner slike anrop inn til Norge. Hovedvekten er på taleanrop, men vi ser også omfattende SMS-spoofing, sier Engen.
SMS-spoofing er fagbegrepet for å sende meldinger med falsk avsender.
I samarbeid med spanske myndigheter har Nkom blant annet stoppet svindelforsøk som utgir seg for å benytte nødnumre, oppgir Engen, som kommer med en advarsel:
– De som spoofer skal derfor vite at Nkom vil søke å komme til bunns i verdikjeden som ligger bak en eventuell spoofing av identifikatorer og navn tilknyttet helsemyndigheter i denne situasjon landet nå er i.
Teleselskapene får jevnlig henvendelser om SMS-svindler
Kommunikasjonssjef i Telenor, David Fidjeland, forteller at de har et eget sikkerhetsmiljø som arbeidet med å håndtere denne typen svindler.
– Vi ser at forsøkene går i bølger, men vi får flere henvendelser i uken relatert til SMS. Noen er reelle svindelforsøk, mens andre er lovlige eller uskyldige som for eksempel at noen har tastet inn feil mottakernummer, slik at feil kunde har mottatt en SMS som virker uforståelig, sier Fidjeland.
Informajonssjef i Telia, Daniel Barhom, oppgir at de benytter en automatisert løsning som stanser mange av svindelforsøkene over telefon.
– Det gjør det vanskeligere for kriminelle aktører som i disse dager ønsker å utnytte koronakrisen til sin fordel, sier Barhom.