Spoofing skyldes design-problem i sms-systemet: »Bekæmpelse en balancegang«
Danskere må vænne sig til, at de i bølger kan blive ramt af snyde-sms'er, hvor navne fra virksomheder optræder i afsenderfeltet i et forsøg på at vække potentielle ofres tillid - sms'er, som fører modtageren videre til ondsindede hjemmesider.
Problemet er, at systemet er designet på en måde, der tillader spoofingen, siger en fagmand.
I sidste uge var blandt andet snyde-sms'er fra 'SAS' i omløb, og mens lignende angreb ikke er daglige begivenheder, så er spoofing nemt at udnytte for enhver lukrerende kriminel med en stor håndfuld telefonnumre i baghånden og en smule teknisk snilde.
Muligheden for at oplyse hvad som helst i afsenderfeltet på sms’er er nemlig indbygget i sms-systemet, der samtidig ikke er bygget til at dæmme op for misbruget, fortæller Torben Rune, der er stifter af virksomheden Netplan.
»Man har tilladt, at du kan skrive hvad som helst ind i afsenderfeltet på sms'er. Det bliver slet ikke tjekket,« siger han.
Funktionen har et helt legitimt formål, der benyttes i stort omfang. For eksempel vil virksomheder ofte gerne have samme navn på beskeder til kunder sendt fra forskellige numre. Det besværliggør bekæmpelsen, mener Torben Rune.
»Hvis man vil dæmme op for den her form for spoofing, så står man over for det problem, at man dermed ikke kan lave de her funktioner, hvor der er et legitimt formål,« siger han.
Designproblem i sms-systemet
Modsat i mail-systemet - hvor det ligeledes er muligt at oplyse et andet domænenavn - er sms-systemet ikke bygget til at bekæmpe problemet, mener han.
»På mail har man globale registre over, hvad man skal se efter, og hvis det domænenavn, der er skrevet ind som afsender, ikke stemmer overens med ip-adressen, der er knyttet til mailen, så slår man alarm. Det er klodset, men det virker, og det findes altså ikke på sms-systemet,« siger Torben Rune.
Det kan skyldes, at hverken sms'ers enorme popularitet, eller de sikkerhedsomstændigheder, der gælder i dag, var tydelige, da systemet oprindeligt blev bygget.
»Graver vi helt ned til den allerinderste kerne, så er det her et designproblem, som blev skabt, da man for lang tid siden udviklede sms-systemet. Da var verden en helt anden, og man tænkte slet ikke i de samme baner som i dag,« fortsætter han.
Omfanget for småt til whitelisting
Selvom 'SAS'-beskederne i sidste uge syntes at nå ud både nært og fjernt, så er denne form for spoofing-angreb ikke noget, teleselskaberne støder på i hverdagen. De kommer i bølger, og ofrene er få, fortæller pressechef i Telia Ramus Avnskjold.
Derfor giver det ikke mening at gå ind og begrænse adgangen til funktionen med whitelisting.
»Problemet rammer for få mennesker, i forhold til hvor mange der benytter den her mulighed helt legitimt, til at det ville give mening at gå ind og whiteliste specifikke virksomheder eller lignende,« siger Rasmus Avnskjold.
Teleselskabet gør dog brug af deres mulighed for at blokere for specifikke numre. Det sker enten efter kundehenvendelser, eller når Telias automatiske filter opfanger et uforholdsmæssigt stort antal beskeder sendt over kort tid fra samme nummer.
Igen er der dog tale om en afvejning, der betyder, at langtfra alle tilfælde bliver fanget.
»Hvis vi laver det her filter for fintmasket, så rammer vi fuldstændig legale kunder, og det har vi ingen interesse i. Så vi har et filter, men det er konstant en balancegang, hvor fintmasket det skal være,« siger Rasmus Avnskjold.
»Derfor vil man nok aldrig komme det helt til livs. Så skulle man gå ind og tjekke hver eneste sms, og det er ikke noget, vi har mulighed for,« fortsætter han.
