Etter NRKbetas sak om SMS-er med falske avsendere, registrerte noen et domene perfekt for å svindle nordmenn.
Å endre bokstaver for å etterligne ekte nettadresser er utbredt blant datakriminelle. Selv om du tror du har trykket på en ekte og troverdig lenke, kan du på en falsk nettside bli lurt til å oppgi passord eller andre sensitive opplysninger til noen som vil deg vondt.
En metode som brukes i slike svindelforsøk kalles «domenespoofing». Det som ofte gjøres er å bytte om bokstaver som ligner hverandre, for å etterligne et domenenavn.
En annen taktikk kalles IDN-spoofing og bruker tegn fra andre alfabet som ligner på hverandre, som kyrillisk. Hvis du ser veldig nøye etter, kan du se at det faktisk er forskjell på bokstavene а og a. Brukt i en lenke er det nærmest umulig å se forskjellen.
Disse taktikkene er ekstra skumle når avsenderen virker troverdig.
Registrerte helsenorge.no-kopi
Programmerer Ivar Nesje har lenge vært opptatt av hvor enkelt dette er å etterligne domener på denne måten, og registrerte derfor heisenorge.no etter NRKbetas sak om hvor enkelt det er å forfalske avsenderen på en SMS.
Brukere av Smittestopp-appen vil nemlig varsles om at de har vært i nærheten av noen med koronaviruset på SMS. Dette er sikkerhetsekspert Per Thorsheim kritisk til.
Nesje ønsker mer oppmerksomhet om hvor lett det er å forfalske avsendere på nett:
– Problemet er at SMS og e-post ikke verifiserer avsender på en trygg måte, slik at svindlere kan putte egne meldinger inn i kommunikasjonen. Som heisenorge.no-domenet viser, kan det være vanskelig å avsløre falske lenker, sier Nesje til NRKbeta.
Hans nye domene, en variant av helsenorge.no, leder nå til NRKbetas artikkel om å forfalske SMS-meldinger.
Hvorfor ser «helse» så likt ut?
Når «i» skrives med stor bokstav i skrifttyper som Helvetica, ser heIsenorge.no, som demonstrert her, til forveksling ut som helsenorge.no. Sistnevnte domenenavn den offisielle kanalen for informasjon fra norske helsemyndigheter.
I ytterste konsekvens kunne svindlere sendt ut en falsk SMS med den falske lenken. Slik kunne de fått tilgang på opplysninger som innloggingsdetaljer og bankkort, fra personer som ble lurt.
Svakhetene med SMS blir ekstra farlig i kombinasjon med slike falske lenker. Forrige uke viste NRKbeta at en svindler kunne få falske meldinger til å dukke opp i samme meldingstråd som tidligere meldinger sendt fra myndighetene.
De siste ukene har norske helsemyndigheter sendt ut flere meldinger til befolkningen, og minst en av dem har inneholdt en lenke. Dette er ikke svindelforsøk, men demonstrerer at lenker også brukes av seriøse aktører, og at det dermed kan være vanskelig å skille falske og ekte meldinger som inneholder lenker.
Informasjonssikkerhetsleder i Folkehelseinstituttet, Pål Jakob Solerød, sier på generelt grunnlag at myndighetene bør unngå lenker i kommunikasjon på SMS.
Problemstillingen har blitt særlig aktuell i forbindelse med koronaviruset. Britiske myndigheter og selskap jobber nå for å stoppe korona-relaterte svindelforsøk via SMS.
Telenor opplyser til NRKbeta at de har mulighet til å blokkere utsending av SMS fra et kortnummer, som «Helsedir».
– Flere store norske bedrifter har tidligere sperret for bruken av sine merkenavn på denne måten, sier kommunikasjonssjef i Telenor, Fredrik Tangeraas til NRKbeta.
Koronavirus gir grobunn for svindelforsøk
En undersøkelse gjennomført av Yougov for Norsk senter for informasjonssikring og Næringslivets Sikkerhetsråd, indikerer at flere hundre tusen nordmenn har opplevd koronarelaterte svindelforsøk*.
Norske myndigheter har nylig satt opp en egen nettside med informasjon om hvordan en kan «bevare en trygg digital hverdag med koronatiltak».
Også Verdens helseorganisasjon (WHO) har i lang tid advart mot svindelforsøk tilknyttet koronaviruset, hvor det ser ut som WHO er avsenderen av nettsteder og e-post-adresser.
Sikkerhetsekspert: – Eksepsjonelt godt eksempel
– Heisenorge.no er et eksepsjonelt godt eksempel på hvordan man kan lure folk, bare ved å skrive noe med stor i, sier sikkerhetsekspert Per Thorsheim.
Han beskriver at det å benytte falske og lignende domenenavn er en enkel måte å lure noen på. Det er likevel mulig å oppdage svindelforsøk gjennom falske nettadresser, og til en viss grad e-post, fordi det fins måter å undersøke hvem avsenderen egentlig er.
Når det kommer til tekstmeldinger, er dette en spesielt utfordrende kommunikasjonskanal.
– Som mottaker av en SMS er det nærmest ingenting jeg kan gjøre for å finne ut hvor den kommer fra. Jeg blir overlatt til et nummer og et navn, og det kan du ikke stole på et sekund, sier Thorsheim til NRKbeta.
Thorsheim mener derfor det beste er å være skeptisk til alle lenker i SMS og e-post.
– Mange meldinger fra eksempelvis helsesektoren inneholder ikke lenker, men henviser til offisielle nettsteder, og det gis beskjed om at meldingen ikke kan besvares. Det er tungvint, men tryggere å oppfordre til at mottakeren selv oppsøker riktig nettside.
Til tross for sikkerhetsutfordringene ved SMS, mener Thorsheim det er en nødvendig kanal.
– Mange har ikke smarttelefon eller mulighet til å installere apper. For mange mennesker fungerer ikke mail godt for varsling. Dermed er SMS den beste og mest universelle måten å nå mange mennesker på, selv om det ikke er den tryggeste løsningen.
Vær derfor nøye med å sjekke alle lenker du får tilsendt, spesielt på SMS og e-post.
Helsedirektoratet har ikke besvart NRKbetas henvendelser om den nevnte SMS-meldingen som inkluderte en lenke til helsenorge.no.
* Info om den nevnte undersøkelsen: 1004 nettintervjuer (CAWI) ble gjort med personer over 18 år, hvor 15 prosent svarte «ja» på spørsmålet om de har opplevd svindelforsøk (som phishing-eposter, falske faktura og lignende) som benytter seg av korona-tematikk.
Oppdatert 14:00: Fjernet all stilisering av HeIsenorge til fonten Helvetica i artikkelen, bortsett fra i eksempelet hvor det kommer tydelig fram at fonten er endret.