Spoofing skyldes design-problem i sms-systemet: »Bekæmpelse en balancegang«

Illustration: MKM / Screendump
Sms-systemet er ikke bygget til at dæmme op for såkaldte spoofing-angreb, der udnytter muligheden for at oplyse hvad som helst i afsenderfeltet på sms'er. Grundlæggende er det et design-problem, mener civilingeniør og stifter af Netplan Torben Rune.

Danskere må vænne sig til, at de i bølger kan blive ramt af snyde-sms'er, hvor navne fra virksomheder optræder i afsenderfeltet i et forsøg på at vække potentielle ofres tillid - sms'er, som fører modtageren videre til ondsindede hjemmesider.

Problemet er, at systemet er designet på en måde, der tillader spoofingen, siger en fagmand.

I sidste uge var blandt andet snyde-sms'er fra 'SAS' i omløb, og mens lignende angreb ikke er daglige begivenheder, så er spoofing nemt at udnytte for enhver lukrerende kriminel med en stor håndfuld telefonnumre i baghånden og en smule teknisk snilde.

Muligheden for at oplyse hvad som helst i afsenderfeltet på sms’er er nemlig indbygget i sms-systemet, der samtidig ikke er bygget til at dæmme op for misbruget, fortæller Torben Rune, der er stifter af virksomheden Netplan.

»Man har tilladt, at du kan skrive hvad som helst ind i afsenderfeltet på sms'er. Det bliver slet ikke tjekket,« siger han.

Læs også: Bølge af phishing-angreb binder danske forbrugere til abonnementer

Funktionen har et helt legitimt formål, der benyttes i stort omfang. For eksempel vil virksomheder ofte gerne have samme navn på beskeder til kunder sendt fra forskellige numre. Det besværliggør bekæmpelsen, mener Torben Rune.

»Hvis man vil dæmme op for den her form for spoofing, så står man over for det problem, at man dermed ikke kan lave de her funktioner, hvor der er et legitimt formål,« siger han.

Illustration: MKM / Screendump

Designproblem i sms-systemet

Modsat i mail-systemet - hvor det ligeledes er muligt at oplyse et andet domænenavn - er sms-systemet ikke bygget til at bekæmpe problemet, mener han.

»På mail har man globale registre over, hvad man skal se efter, og hvis det domænenavn, der er skrevet ind som afsender, ikke stemmer overens med ip-adressen, der er knyttet til mailen, så slår man alarm. Det er klodset, men det virker, og det findes altså ikke på sms-systemet,« siger Torben Rune.

Læs også: Pærelet at sende snyde-sms'er og lave falske opkald: »Dybt problematisk«

Det kan skyldes, at hverken sms'ers enorme popularitet, eller de sikkerhedsomstændigheder, der gælder i dag, var tydelige, da systemet oprindeligt blev bygget.

»Graver vi helt ned til den allerinderste kerne, så er det her et designproblem, som blev skabt, da man for lang tid siden udviklede sms-systemet. Da var verden en helt anden, og man tænkte slet ikke i de samme baner som i dag,« fortsætter han.

Omfanget for småt til whitelisting

Selvom 'SAS'-beskederne i sidste uge syntes at nå ud både nært og fjernt, så er denne form for spoofing-angreb ikke noget, teleselskaberne støder på i hverdagen. De kommer i bølger, og ofrene er få, fortæller pressechef i Telia Ramus Avnskjold.

Derfor giver det ikke mening at gå ind og begrænse adgangen til funktionen med whitelisting.

»Problemet rammer for få mennesker, i forhold til hvor mange der benytter den her mulighed helt legitimt, til at det ville give mening at gå ind og whiteliste specifikke virksomheder eller lignende,« siger Rasmus Avnskjold.

Læs også: Spoofing af telefonnumre: Når 'Iben' ikke er fra kundeservice

Teleselskabet gør dog brug af deres mulighed for at blokere for specifikke numre. Det sker enten efter kundehenvendelser, eller når Telias automatiske filter opfanger et uforholdsmæssigt stort antal beskeder sendt over kort tid fra samme nummer.

Igen er der dog tale om en afvejning, der betyder, at langtfra alle tilfælde bliver fanget.

»Hvis vi laver det her filter for fintmasket, så rammer vi fuldstændig legale kunder, og det har vi ingen interesse i. Så vi har et filter, men det er konstant en balancegang, hvor fintmasket det skal være,« siger Rasmus Avnskjold.

»Derfor vil man nok aldrig komme det helt til livs. Så skulle man gå ind og tjekke hver eneste sms, og det er ikke noget, vi har mulighed for,« fortsætter han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Storgaard Dieu

Det samme er gældende for opkald. Da jeg legede med et dialer system, så kunne man blot indtaste det nummer man ville ringe fra. Så man kunne fx ringe til Kristoffer Jørgensen (forfatteren af denne artikel) fra 33 26 53 00 (Mediehuset Ingeniørens hovednummer) og forsøge at bilde ham alt muligt ind. Hvis Kristoffer har kodet hovednummeret ind på hans telefon, så vil der fx stå "Arbejde" på hans skærm.

  • 7
  • 0
Per Jørgensen

Tja - en simpelt SMS-gateway kan mange ting. Jeg lavede på et tidspunkt en joke med min chef hvor jeg via smsgateway sendte ham SMS fra hans eget nummer - hvorefter han begyndte at skrive til sig selv.
Hvad værre var - der var jo konstant optaget nårnu han ringede til dette nummer ( jaja han kunne ikke sit eget tlf nummer - derfor var det sjovt)

Men det problem har jo netop som et design spørgsmål været der fra starten.
Jeg har flere gange diskuteret i AMT om SMS er gyldig dokumentation. - da jeg så viste dem hvor nemt jeg kunne sende en sms fra deres eget nummer -. blev de ret overrasket - Men accepterer stadig SMS som dokumentation

  • 4
  • 0
René Nielsen

Jeg diskuterede det med en mangeårig ven som er forsvarsadvokat for et par måneder siden.

Han forstod det ikke, før før jeg gik ud af lokalet og sendte ham en falsk sms fra en gateway til ham fra hans kone og takkede for god mad dagen før.

Han var seriøst rystet over at det var så let - for jeg kunne jo have skrevet noget virkeligt lort som han så ville tro at konen havde skrevet, for sms’en lagde sig jo i “beskerne” med konen i den rigtige tråd.

  • 5
  • 0
Gert G. Larsen

Hvordan bruger man det legitimt??

Til at virksomheder kan købe smarte platforme, så beskederne sendes fra SAS med SAS som afsender, i stedet for deres telefonnummer?

Det ville måske være en fin stramning af sikkerheden, at droppe de "legitime" formål. Men det koster måske lidt på de smarte ydelser hos teleselskaberne.

  • 3
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize