Dansk sikkerhedsguru laver egen spoofing-tjeneste: »Det er nemt og uhyre effektivt«

Dansk sikkerhedsguru laver egen spoofing-tjeneste: »Det er nemt og uhyre effektivt«
Illustration: Mads Lorenzen, screendump.
Det er for nemt at oprette en helt legal spoofing-tjeneste i Danmark, lyder det fra it-sikkerhedsselskabet Dubex.
16. september 2020 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Efter et par mails og et telefonopkald er det lykkedes den danske sikkerhedskonsulent Keld Norman at købe adgang til en færdig opsætning, der lader ham ændre afsendernummeret på opkald og SMS’er. Han har simpelthen lavet sin helt egen spoofing-service.

»Ingen kan stole på de afsendernumre, vi ser på vores mobiler. Hverken når det er mor, lægen, bankrådgiveren eller chefen, der ringer eller skriver,« sagde Torben Rune, der er telekonsulent for blandt andet de danske teleselskaber til Version2, da vi beskrev, hvordan adskillige tjenester på nettet lader alle snyde telefonsystemet.

»Vi er først lige begyndt at bruge vores egen spoofingtjeneste, og alle, vi prøver det på, hopper i med begge ben. Folk stoler på SMS'er og opkald. De forventer ikke den her form for angreb,« siger Jacob Herbst, der er teknisk chef i Dubex, hvor spoofingtjenesten indgår i selskabets pentests.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
14
8. oktober 2020 kl. 20:57

Og det har så åbenbart ramt Udenrigspolitisk Nævn, der lige har haft en fortrolig og åbenhjertig samtale med en hviderussisk eksileret politiker. Som altså var en anden.

Ja, troede det var løwn da jeg læste det --- jeg regnede da med det var en selvfølge de lavede en kontrolopringning til vedkommende person (her politiker) for at tjekke, og vel at mærke et nummer de har fundet ad officielle kanaler. Det er forhåbentlig ikke blot snak om vind og vejr når nævnet taler med udlandet...

12
21. september 2020 kl. 15:09

På trods af at jeg på forhånd havde oplyst CPsms om at jeg skulle bruge kontoen til awareness og sende de her slags SMS beskeder (og som nævnt endda fik oplyst at der nu var en kommentar på min konto om at den blev brugt til SMS-ishing, så den ikke blev lukket hvis de så beskeder der så mistænksomme ud), så har de i dag valgt at lukke min konto hos dem på baggrund af omtalen her på Version2.  

Alternativer til deres service er der nok af derude, men deres beslutning om at stoppe mig i at kunne bruge det her til awareness for dem jeg kommer ud til og holder foredrag for, synes jeg personligt er misforstået.

 Måske skulle firmaet ikke have været nævnt med navn - det husker jeg til næste gang.

 .. og CPsms må naturligvis også selv bestemme hvad deres service må bruges til; blot ærgerligt at man ikke kan demonstrerer problemet i en god sags tjeneste.

/Keld Norman

11
19. september 2020 kl. 15:42

En kort bemærkning..

Da jeg signede op hos CPsms skal det til deres forsvar siges at de modsat andre screener deres kunder meget grundigt. De ringede til dubex's hovednummer og spurgte ind til om jeg arbejdede der og kun fordi jeg fortalte dem at jeg skulle bruge servicen til smsishing i forbindelse med arbejdet kunne jeg få lov til (næsten) at skrive hvad som helst som afsender.

Signer man op i udlandet er der ingen begrænsninger eller kontrol - her i DK stoppes afsender tekst med politi og lign af sms gateway udbyderen ( jeg ved ikke hvad de konkrete "forbudte" ord er )

/Keld Norman

8
17. september 2020 kl. 17:13

Det er udelukkende historisk betinget

Nope, det er en funktion der er indført fordi det giver mening i mange steder hvor man bruger et omstillings anlæg, men som alt andet kan alting misbruges.

7
17. september 2020 kl. 14:34

som med så meget andet, er der en god grund til af det er muligt

Nej!

Det er udelukkende historisk betinget at man ikke (fordi det nok er billigt for operatørerne, som jo alligevel bare tørrer regningen for misbrug af på kunderne) har fået ført SS7 protostakken ind i dette årtusinde, og tilpasset den nye virkelighed.

Så man kan måske nok sige der er en grund, men den er denondelyneme ikke god!

5
16. september 2020 kl. 16:54

Jeg demonstrerede lidt før årtusindeskiftet, for et par IT-kyndige politifolk, hvor nemt, det var, at tilgå deres server hos CSC og f.eks. sende en mail, som jeg gjorde, hjemme fra egen stue - vel, at mærke UDEN, at spoofe - men direkte fra hestens egen mund... De havde alstå særdeles god tid til at rette op, inden anakata kom på visit - men det var nok ikke så interessant dengang.

Henvendelser om lige så seriøse breaches i den finansielle infrastruktur til PET resulterede i ingenting. Vi har også det systemiske råd - og visse sikkerhedsfolk - hvis fornemmeste opgave det er - fornemmer jeg, at lukke øjnene - så ingen i toppen af den givne organisation inkrimineres af belastende viden. De VIL jo ikke vide noget, for hvis det går galt - så vil nogen jo pege på dem, som ansvarlige. Nationalbanken optræder hér, på flere måder, som nyttige idioter, men det overrasker mig ikke.

Imens kan vi vente på en reel whistleblower ordning, som ville gøre det muligt, at sikre vores allesammens infrastruktur langt bedre end det sker i dag, hvor man tilsyneladende også er helt blind for, at det ofte - hvis ikke oftest, er desillusionerede tidligere medarbejdere, som er blevet behandlet som skidt - som hævner sig.

I rest my case... for a while @ 1east ;->

4
16. september 2020 kl. 16:20

Korrekt, men dét sker ikke med mindre der er noget der er ubelejligt for en politikker.

Tjah, bum bum bum. En eller anden "international profil" ringer til diverse politikere. En åbenhjertig samtale, der bagefter, til almindelig latter, dukker op på en avis eller en tv- eller radiostation. Det har været gjort før. Altså forsvarsministeren snakker med "USAs forsvarsminister", udenrigsministeren med "Xi Jinping", statsministeren med en eller anden fra Unicef, justitministeren med "Paul M. Nakasone" ...

2
16. september 2020 kl. 10:41

Nej vi skal ikke have flere magiske "apps" - det vi mangler er at telefonsystemet kommer ind i dette århundrede, således det slet ikke er muligt at fuske med A nummeret.

Og så skulle teleselskaberne også komme så meget ind i kampen, at man selv kunne whiteliste de lande man overhovedet var interesseret i opkald fra.

1
16. september 2020 kl. 09:36

Jeg modtager ugentlig adskillige opkald fra Mïkrosoft Support. Det her har været et problem i umindelige tider uden der er sket noget som helst.

Vi mangler en app der efter endt opkald spørger om det var et scam opkald. Hvis man trykker ja skal den sende et tweet/email til den ansvarlige ministeren på området.