Eksperter vil ha slutt på lenker i SMS og e-post

Phishing, spoofing og smishing.

De er alle ulike ord på ulike typer svindel.

De siste årene har mange av oss mottatt meldinger fra bank, frisør, kundeklubb eller offentlige myndigheter.

Meldingene kommer både med og uten lenker. Men vet vi at avsenderen er den vedkommende utgir seg for?

– Urimelig at forbrukere holdes ansvarlig

– Vi har sett en del phishing-saker hvor man får tekstmeldinger eller e-poster med lenker. Når man klikker, ledes man gjerne til sider som krever at man oppgir passord eller bank-id.

Det sier teamleder Petter Omland i ID-juristen.

Økende kommunikasjon på e-post og SMS med klikkbare lenker fra seriøse aktører, også det offentlige, kan utilsiktet ha banet vei for svindlerne, frykter Omland. Befolkningen stoler mer på slike lenker.

Likevel forstår han at det offentlige har behov for å nå ut til mange på en gang, særlig under pandemien.

– Det sentrale er at det må legges større vekt på at det blir stadig vanskeligere for forbrukere å skille mellom legitime meldinger fra seriøse aktører, og svindelmeldinger, sier Omland.

– Vi synes det er urimelig at forbrukere holdes helt eller delvis ansvarlig for tapet når de utsettes for svindelmeldinger. Ofte fremstår de svært troverdige, og ligner meldinger fra det offentlige.

Omland tror befolkningen over tid har blitt mer vant til meldinger med lenker fra troverdige avsendere.

Lenkeforkortelser kan skape utfordring ...

Ludwig Sandell er etisk hacker. Han sier seg enig i bekymringen fra ID-juristen.

– I Norge er vi oppdratt til å stole på myndighetene og at teknologien er sikker nok. Det er litt av den norske tiltroen til offentligheten. At vi ikke setter spørsmålstegn ved det.

Han forklarer at man i tekstmeldinger vil kunne se forskjell i lenkene til et trygt eller utrygt nettsted. I lenker til utrygge nettsteder vil det kanskje være en bokstav som er feil plassert eller lignende.

Noe han er mer bekymret for, er om det blir vanlig at offentlige myndigheter bruker lenkeforkortelser.

– Hvis myndighetene begynner å bruke teknologi i form av lenkeforkortelser, er det enklere at vi tror at det er greit neste gang vi får en slik lenke.

... og svindlerne har blitt mye dyktigere

Problemet er ikke lenken i seg selv. Problemet oppstår med en gang du legger igjen sensitiv informasjon som fødselsnummer, bankkontoopplysninger eller passord.

– Det er viktig å få med seg at svindlerne har blitt mye dyktigere. Før var det enkelt å identifisere en typisk svindel e-post. I dag ser det helt perfekt ut.

Faktisk så perfekt at det i DNBs årsrapport om bedrageri kom fram at det i fjor ble registrert nesten 8.400 svindelsaker. Det er en økning på 66 prosent i forhold til 2020.

NKOM: – Skulle ønske man aldri sendte lenker

Nasjonal kommunikasjonsmyndighet (NKOM) ser også at både private og offentlige aktører bruker lenker i utsendinger av e-post og SMS.

De mener det kan være en farlig vei å gå.

– Rett og slett fordi man kan forfalske avsenderen av meldinger og man kan også lede brukeren inn på farlige veier, sier Frank Stien.

Han er leder i avdelingen NKOM EkomCERT- Computer Emergency Response Team, som har jobbet med problemstillingen i flere år.

– Vi vet at det ofte er motstridende interesser mellom sikkerhet og funksjonalitet. Som sikkerhets-person skulle jeg ønske at man aldri sendte ut lenker. Og at man heller ba folk om å besøke nettsidene.

Om man får en lenke på SMS eller e-post har ofte ikke skaden skjedd om du trykker på lenken.

Rådet er:

– Blir du ledet inn på en internettside eller klikker på en lenke og blir bedt om å bekrefte noe med BankID eller oppgi sensitive opplysninger, bør du stoppe.

• Her har du et typisk eksempel på hvor sofistikert en svindel-telefonsvarer kan høres ut: