Bedrifter og offentlige virksomheter bruker stadig mer e-post og SMS i kommunikasjon med kunder, innbyggere og pasienter. Men kan vi stole på innholdet?
Noen ganger brukes disse kanalene som varslingskanaler, andre ganger sender virksomhetene lenker som skal lede brukerne over til virksomhetens egne tjenester.
Er det trygt å klikke på lenkene? Hvem har ansvar for potensiell svindel som oppstår som følge av forfalskede meldinger? Hvem tar ansvar?
Nettsvindelen øker
Svindel gjennom falske e-poster, såkalt phishing, har lenge vært et utbredt problem. De gamle Nigeria-brevene er i stor grad erstattet av årlige hendelser som skatteoppgjøret, og skreddersys i stadig større grad til individuelle mottakere basert på data vi legger igjen i ulike kanaler, slik at meldingen framstår som en naturlig oppfølging fra en bedrift eller offentlig virksomhet. I tillegg øker svindelen når folk er på sitt mest sårbare, for eksempel i forbindelse med Korona-situasjonen. Slike angrep kan også målrettes til konkrete personer, såkalt spear phishing, som vi også har sett mange eksempler på i Norge.
Det har riktignok kommet en del sikkerhetsløsninger på plass de senere årene, blant annet som skal bidra til å sikre at e-posten du får faktisk er fra den reelle avsenderen. Et viktig grep for virksomheter er for eksempel å sette opp DMARC (NSM har laget en god tjeneste på dmarc.no). Dessverre er det fortsatt enormt mange e-poster som flyter usikret fra virksomheter til mottakere. Hvor mange falske e-poster har du fått i det siste?
De siste årene har tilsvarende forsendelser gjennom SMS, såkalt smishing, blitt mer utbredt. I april 2020 avslørte NRK at de hadde brukt ti minutter på å sette opp et system for å sende falske SMSer, som gir svindlerne samme mulighet og kanskje framstår som enda mer troverdig for mottaker. Det blir altså så vanskelig å skille ekte fra falsk at store deler av befolkningen ikke nødvendigvis vil klare det.
Eksempler på svindelforsøk
Eksemplene er mange. Høsten 2018 fikk Coop-kunder SMS om at de måtte logge på kundeportalen for å oppdatere personopplysningene fordi bonuspoengene var i ferd med å gå ut på dato. Våren 2019 fikk mange en SMS med betalingsanmodning fra «Bomavgift». SMS knyttet til manglende tollavgift er en gjenganger. Skatteetaten opplever årlig smishing-kampanjer knyttet til skatteoppgjøret. Kunder av Posten Norge AS utsettes kontinuerlig for tilsvarende phishing-angrep.
Siden SMS ofte oppleves som en mer sikker kanal enn e-post, så gir det økt handlingsrom for svindlere. Smishing kampanjer er enkelt å gjennomføre da det finnes ferdige rammeverk og skytjenester som er lett tilgjengelig. Virksomheter bør derfor gjøre risikovurderinger om hvilke kanaler de bør bruke til varslinger og meldinger til sine kunder.
Fra usikre til sikre kanaler
Virksomheter som ønsker å bruke et sikkert rammeverk for å kommunisere til sine kunder eller innbyggere, kan sende meldingene til kundenes digitale postkasser.
For det første vil forsendelser til digitale postkasser resultere i at mottaker får meldinger raskere enn ved ordinær postgang, noe som gjør at mottaker kan fange opp svindelforsøk raskere. Rundt 100.000 nordmenn har blitt utsatt for ID-svindel, og det er flere eksempler på innbyggere som har klart å avverge svindelforsøk som følge av at de har fått gjenpartsbrev levert i Digipost. NorSIS anbefaler derfor bruk av digitale postkasser.
For det andre løser digitale postkasser de utfordringene som phishing og smishing representerer. En av grunnene til at digitale postkasser ble etablert, var nettopp å kunne tilby en sikker digital postkasse hvor innbyggerne får oppbevart dokumentene i eget eierskap. Dokumentene beskyttes under overlevering (in transit) og når de lagres i innbyggerens postkasse (at rest). Avsendere valideres med virksomhetssertifikater. Digipost sitt sikkerhetsregime kan du lese mer om i sikkerhetsdokumentasjonen.
Hvem tar ansvar?
NorSIS sin trusselrapport for 2019-2020 viser at phishing og ID-tyveri fortsatt står høyt opp på trussellista. Så lenge virksomhetene bruker usikre kanaler for kommunikasjon med sine kunder og innbyggere, så er de avhengig av at mottakerne selv må bidra inn i vurderingene av hvorvidt en melding er ekte eller ikke. Derfor ser slike virksomheter behovet for å følge opp forsendelsene med informasjonstiltak. For eksempel advarer Skatteetaten mot e-postsvindel, og poengterer at de ikke sender lenker i sine e-poster.
Så hva var problemet med e-post og SMS igjen?
Problemet med e-post og SMS er altså at de er usikre kanaler. Når virksomhetene sender gjennom usikre kanaler, så skyver de ansvaret over på brukerne. Det er imidlertid åpenbart at brukerne ikke kan ta ansvar for den stadig økende trusselen som nettsvindel utgjør.
Den nasjonale digitale infrastrukturen for å sende sikre meldinger er tross alt på plass. Den kalles Digitale Postkasser Innbygger.