Hengelås på tastatur
Foto: Chris Roberts

Stoppet over 300 millioner svindel-eposter

Britiske skattemyndigheter har klart å stoppe enorme mengder svindel-eposter sendt i deres navn. Ny teknologi gjør det mulig å stoppe mange før de kommer til din postboks, men i Norge har få etater tatt i bruk løsningen.

«En pakke med sporingsnummer XX er forsøkt levert til deg. Trykk her for å avtale levering eller få info.»

eller

«I henhold til skatteberegningen har vi fastslått at du er berettiget en skatterefusjon. Fyll inn skjemaet på denne siden for å få pengene utbetalt»

De fleste har fått slike luremeldinger i innboksen. Eposter som utgir seg for å være Posten, skattemyndighetene eller banken.

Felles for dem alle er at de er falske og at de ofte sendes ut i enorme antall. Epostene har som mål å lure nettbrukere til å gi fra seg sensitiv informasjon om bank- eller kredittkort, eller de er skapt for å infisere datamaskinen med skadelig programvare som i verste fall kan ødelegge alt du har lagret på maskinen.

– Vi får jevnlig inn eksempler på hva folk utsettes for av forsøk. Innrapporteringen av slike eposter foregår med uforminsket styrke, sier Bjarte Malmedal hos NorSIS. Nasjonalt senter for informasjonssikring (NorSIS) jobber for sikrere bruk av IT både i det offentlige og private i Norge. De følger tett med på truslene i dataverdenen.

E-post tilsynelatende fra skatteetaten

En rekke ganger har svært mange nordmenn motatt svindeleposter som utgir seg for å være Skatteetaten – noen ganger også med tilsynelatende ekte avsender @skatteetaten.no.

Foto: Poppe, Cornelius / NTB scanpix

Rådet er å vurdere nøye om epostene er ekte, og aldri klikke på ukjente lenker. Men av og til er det noe som gjør at folk går i fella – for eksempel at avsender-adressen ser helt ekte ut.

Akkurat det har både norske og britiske skattemyndigheter vært utsatt for.

Falsk epost med riktig adresse

For når meldingen om at du har fått penger igjen på skatten, ser ut som den kommer fra adressen skatteetaten@skatteetaten.no, kan det jo fort virke som det er snakk om en ekte epost.

Men for personer med onde hensikter er det svært enkelt å forfalske epostadressen som står i avsenderfeltet. Problemet er at grunn-teknologien bak epost er gammel, og det er ikke lagt inn beskyttelse mot slik forfalskning.

Dette har svindlere utnyttet. Skatteetaten her i Norge har derfor flere ganger de siste årene måttet gå ut i mediene og advare: – Ikke klikk på lenkene i epostene. Vi ber aldri om kontoopplysninger per epost.

I samme situasjon har de britiske skattemyndighetene (HMRC) vært. Svindlere utgir seg for å være skattemyndighetene med adresser som slutter på @hmrc.gov.uk, og gjerne emnefelt merket «Tax Refund Notification».

HMRC-logo og penger

HMRC er etaten britene må forholde seg til når det gjelder skatter og avgifter.

Foto: HMRC

– Svindel-eposter er mer enn bare uønskede meldinger. De er verktøyet som kriminelle bruker mot uskyldige innbyggere for å skaffe seg tilgang til sensitive person- eller bankopplysninger, uttaler sjefen for it-sikkerhet Ed Tucker, hos de britiske skattemyndighetene HMRC i ei pressemelding.

Ed Tucker

Ed Tucker (til høyre) fra HMRC forteller om suksessen med å stoppe hundrevis av millioner falske eposter, og har også fått priser for sitt informasjonssikkerhetsarbeid.

Foto: UK IT Industry Awards

Britiske myndigheter anslår at det både i 2014 og 2015 ble sendt ut en halv milliard eposter med falsk avsender som sluttet på hmrc.gov.uk.

Myndighetene har derfor aktivt tatt opp kampen mot svindlerne med bruk av nye teknologier.

Med en ny metode knyttes strenge regler til domenet hmrc.gov.uk – bare godkjente systemer skal få sende ut epost på vegne av skattemyndighetenes adresse.

Slik har de klart å stoppe over 300 millioner falske eposter hittil i år.

– Dette endrer veldig mye. Med denne teknologien har vi klart å stoppe nesten alle disse epostene fra å i det hele tatt nå innboksen til innbyggere, skriver Tucker i et blogginnlegg om innsatsen.

I blogginnlegget forteller sikkerhetssjefen at de med teknologien også skaffer seg informasjon som brukes for å etterforske svindlerne. I første halvår av 2016 har de klart å ta ned over 14 000 svindelnettsider knyttet til epostene fra kriminelle.

Teknologien

Bak det store antallet svindel-eposter som er stoppet står en teknologi kalt DMARC.

Domain-based Message Authentication, Reporting and Conformance (DMARC) setter regler for epostene – hvilke som skal komme fram og hvilke som skal blokkeres. Samtidig samles det inn informasjon om epostflyten.

Siden denne teknologien nå støttes av store internasjonale aktører som Google og Microsoft er det mulig å stoppe epostene før de havner i innboksen til brukerne.

I den opprinnelige epostteknologien fantes det få systemer for å kontrollere at eposter faktisk er ekte og kommer fra rett sted.
Med DMARC kan store tjenester som Gmail og Hotmail hindre falske eposter fra å nå innboksen ved å filtrere basert på sikre opplysninger.

Eierne av en adresse legger inn et sett med regler for hva som er tillatt epost fra deres domene, og kunngjør dette for hele internett slik at mottakere som Gmail skal følge reglene.

DMARC utnytter så flere andre teknologier for å filtrere vekk svindel-eposter:

  • Sjekker om eposten er sendt fra et system som er godkjent (SPF)
  • Sjekker om eposten er teknisk signert (kryptografisk signatur med DKIM)
  • Sjekker hva eierne av adressen vil at skal skje om eposten ikke følger reglene (kastes eller legges i søppelpost-mappe)
  • Samler inn info om eposter som bryter reglene
DMARC-test for hmrc.gov.uk

Britiske skattemyndigheter har skrudd på den strengeste formen for filtrering «reject» som ber mottakere som Gmail om å kaste eposter som ikke sikkert er fra dem.

Foto: faksimile fra dmarcian.com

– Dette gjør at de som driver eposttjenester kan identifisere svindel-epostene som utgir seg for å være fra våre domener, og hindre at de kommer fram, skriver sikkerhetssjef Ed Tucker i de britiske skattemyndighetene.

I Storbritannia arbeider myndighetene nå med å innføre teknologien for alle etater.

Bjarte Malmedal

Bjarte Malmedal i NorSIS vil berømme de som har tatt i bruk de nyeste teknologiene, og følger i samme spor som store Google og Microsoft.

Foto: NorSIS

Lite utbredt i Norge

NorSIS opplever at svindel-eposter er en utfordring og at epost brukes aktivt av ondsinnede aktører. Derfor er de positiv til nye tekniske løsninger som kan hjelpe til med å beskytte brukerne.

– Vi synes så klart at man burde bruke denne typen moderne teknologi for å minske faren, sier seniorrådgiver Bjarte Malmedal i NorSIS til NRK.

Han vil berømme de som har valgt å ta i bruk teknologien, og mener at det går den veien at alle må utnytte nye metoder fordi problemene med svindel og skadelig programvare som spres på nettet ikke forsvinner av seg selv.

– Vi vil oppfordre IT-avdelingene i norske selskaper til å se hva de store aktørene internasjonalt gjør. De store aktørene bruker slike teknologier, og derfor bør også it-avdelingene her ta jobben med å sette det opp, sier Malmedal.

Laster innhold, vennligst vent..

NRK har undersøkt utbredelsen av den nyeste teknologien DMARC hos et utvalg virksomheter i Norge.

Undersøkelsene viser at den nyeste teknologien ikke er så utbredt.

Blant offentlige etater som er medlemmer av Forum for store offentlige nettsteder er bare 8 av totalt 40 domener sikret med DMARC.

Store aktører som Nav, Brønnøysundregistrene og Lånekassen mangler løsningen på sine domener.

Se hele listen over domenene NRK har sjekket i bunnen av saken

Skatteetaten som har opplevd et stort antall svindelforsøk på epost hadde ikke DMARC da NRK begynte å undersøke, men har nettopp startet arbeidet med å se på teknologien.

Svein Mobakken

Svein Mobakken i Skatteetaten understreker at de aldri sender ut epost for å be om konto- eller kredittkortopplysninger.

Foto: Skatteetaten

– Skatteetaten er opptatt av å benytte mekanismer som gjør det vanskeligere for svindlere å benytte falsk epost i sin virksomhet, sier sikkerhetsdirektør Svein Mobakken i Skatteetaten til NRK.

Han forklarer at Skatteetaten har tatt i bruk noen av de underliggende teknologiene som skal til for å bruke DMARC – de innførte informasjon om godkjente avsendere gjennom SPF i november 2013.

Men etaten mangler ennå DKIM og DMARC.

– DKIM (DomainKeys Identified Mail) ser etaten på, men har ikke begynt å bruke det ennå. Dette primært fordi våre eposter til skattytere aldri skal inneholde sensitive opplysninger eller lenker, vi benytter andre kanaler for denne type informasjon, svarer Mobakken.

Ikke skrudd på for felles IT-løsninger

Heller ikke direktoratet med koordineringsansvar for IKT og informasjonssikkerhet i det offentlige har innført den nyeste DMARC-teknologien på eget domene.

Direktoratet for forvaltning og IKT (Difi) driver i tillegg store felles løsninger for mange offentlige etater. Blant dem er ID-porten man bruker for å logge seg inn hos veldig mange offentlige etater.

Selv om Difi tilbyr brukerstøtte tilknyttet til denne innloggingsløsningen på epost med domenet difi.no er ikke dette beskyttet med den nye teknologien.

– Vi har innført den underliggende teknologien SPF fordi vi mener det har en effekt. DMARC har vi ennå ikke innført fordi det ikke gir noen vesentlig gevinst i forhold til den innsatsen som må legges inn, svarer seksjonssjef for drift og sikkerhet Tommy Harjo i Difi til NRK.

Harjo mener at statistikken fra direktoratets egne søppelpostfiltre viser at mange millioner eposter stoppes på grunn av erfaringsbaserte regler, men at svært få stoppes av teknologien DMARC.

Montasje: Innlogging til Lånekassen gjennom ID-porten

ID-porten fra Difi brukes til å logge inn på en rekke offentlige tjenester, som her hos Lånekassen.

Foto: Montasje av skjermdumper/NRK

Seksjonssjefen forteller at svindel-eposter stort sett er knyttet til virksomheter som håndterer penger, og at Difi ikke har erfaring med at noen utgir seg for å være dem på epost.

Tommy Harjo

Tommy Harjo i Difi forteller at de enn så lenge ikke helt har sett kost/nytte i å innføre den nyeste teknologien.

Foto: Difi

Han sier dette om den nye teknologien som er laget for å stoppe slike svindel-eposter fra å komme i innboksen til vanlige brukere.

– Det er viktig å være klar over at DMARC er siste ledd i en kjede av verktøy, der SPF og DKIM er teknologiene som utfører selve jobben, sier Harjo.

– NorSIS sier at it-avdelingene bør strekke seg etter det de store internasjonale nå gjør – hva tenker dere om det?

– Jeg er enig i at de underliggende teknologiene sprer seg mye, og de er blitt enklere å innføre. Samtidig blir det litt feil å sammenligne it-driftsavdelingen i en middels stor norsk bedrift med internasjonale kjemper som Google og Microsoft. Jobben er den samme om du er en liten bedrift på ti personer eller en kjempebedrift som Google med millioner av brukere, svarer seksjonssjef Harjo i Difi.

Han vedgår likevel at teknologien kan hjelpe.

– Det er likevel absolutt noe man bør strekke seg etter, og slik jeg ser det bør man starte med de underliggende teknologiene SPF, DKIM og STARTTLS, sier Harjo.

Viktig med kombinasjon av teknologi og mennesker

Malmedal i NorSIS har tro på at nye metoder kan hjelpe.

– Vi vet ikke ennå, men om mange tar i bruk dette kan det kanskje gi en positiv endring, sier seniorrådgiveren innen informasjonssikkerhet.

Han mener alle aktører bør bidra så godt de kan for å beskytte brukerne bedre mot nettsvindel, og at teknikken også må kombineres med andre tiltak.

Svindelmail

Svindlerne bruker også andre adresser, men satser på at folk skal la seg lure av navnetrekk og logoer.

Foto: Faksimile av svindelpost/Skatteetatens logo

For selv om eposter fra skatteetaten@skatteetaten.no stoppes på veien til epostboksen din kan du fortsatt bli lurt. DMARC og de andre teknologiene er laget for å beskytte de ekte adressene, og gjøre at vanlige nettbrukere skal kunne stole på at eposter fra det ekte domenet skatteetaten.no ikke er forfalsket.

Svindlerne utnytter likevel at en del brukere uansett er litt for raske med å klikke på lenker. Det er ikke uvanlig at svindlere lager seg epostdomener som de har full kontroll over og som er laget for å ligne på de ekte adressene – f.eks. en adresse som slutter på skatteetat.eu.

– Ondsinnede aktører kan sette opp sine egne systemer med et domene som ligner mye, og folk kan fortsatt bli lurt, sier Malmedal og understreker at det alltid er en menneskelig faktor i det med å bekjempe svindelforsøk.

Etter hans mening kan ikke problemet løses bare med teknologi.

DMARC i det offentlige

Virksomhet

Domene

DMARC

SPF

Helse Sør-Øst

helse-sorost.no

Ja

Ja

Oslo universitetssykehus

ous-hf.no

Ja

Ja

Statens vegvesen

vegvesen.no

Ja

Ja

Altinn / Brønnøysundregistrene

altinn.no

Delvis

Ja

Helsedirektoratet

helsedir.no

Delvis

Ja

HelseNorge - helsedirektoratet

helsenorge.no

Delvis

Ja

Politiet / Politidirektoratet / Politiets IKT-tjenester

politiet.no

Delvis

Ja

Skatteetaten / Skattedirektoratet

skatteetaten.no

Delvis

Ja

Difi

difi.no

Nei

Ja

Forsvarsdepartementet

fd.dep.no

Nei

Ja

Finansdepartementet

fin.dep.no

Nei

Ja

Justis- og beredskapsdepartementet

jd.dep.no

Nei

Ja

Lånekassen

lanekassen.no

Nei

Ja

Utenriksdepartementet

mfa.no

Nei

Ja

Nasjonalbiblioteket

nb.no

Nei

Ja

NTNU

ntnu.no

Nei

Ja

SSB

ssb.no

Nei

Ja

Stortinget

stortinget.no

Nei

Ja

Trondheim kommune

trondheim.kommune.no

Nei

Ja

Utdanningsdirektoratet

udir.no

Nei

Ja

Universitetet i Bergen

uib.no

Nei

Ja

Arbeids- og sosialdepartmentet

asd.dep.no

Nei

Nei

Bergen kommune

bergen.kommune.no

Nei

Nei

Barne- og likestillingsdepartementet

bld.dep.no

Nei

Nei

Brønnøysundregistrene

brreg.no

Nei

Nei

Helse- og omsorgsdepartementet

hod.dep.no

Nei

Nei

Husbanken

husbanken.no

Nei

Nei

Kunnskapsdepartementet

kd.dep.no

Nei

Nei

Klima- og miljødepartementet

kld.dep.no

Nei

Nei

Kommunal- og moderniseringsdepartementet

kmd.dep.no

Nei

Nei

Kulturdepartementet

kud.dep.no

Nei

Nei

Landbruks- og matdepartementet

lmd.dep.no

Nei

Nei

NAV

nav.no

Nei

Nei

Nærings- og fiskeridepartementet

nfd.dep.no

Nei

Nei

Olje- og energidepartementet

oed.dep.no

Nei

Nei

Oslo kommune

oslo.kommune.no

Nei

Nei

Oslo kommune - byrådssekretariatet

byr.oslo.kommune.no

Nei

Nei

Oslo kommune - rådhusets forvaltningstjeneste

rft.oslo.kommune.no

Nei

Nei

Samordna Opptak

samordnaopptak.no

Nei

Nei

Samferdselsdepartementet

sd.dep.no

Nei

Nei

Statsministerens kontor

smk.dep.no

Nei

Nei

Utenriksdepartementet

ud.dep.no

Nei

Nei

Universitetet i Oslo

uio.no

Nei

Nei

Domenene er undersøkt av NRK den 21. desember 2016. DMARC oppført som "Delvis" betyr at DMARC er slått på, men bare monitorering og at filtrering ennå ikke er aktivert. Utvalget som er testet er i all hovedsak basert på medlemmer i Forum for store offentlige nettsteder med noen tillegg for offentlige banker.

NRK arbeider med å innføre denne typen teknologier for beskyttelse av domenet nrk.no mot svindeleposter. SPF er slått på, og det arbeides med fullverdig oppsett av DKIM og DMARC.