Annons

”Blufförsök mot SvD del i oroande trend”

Det är nästan löjligt enkelt att utföra så kallad domän-spoofing, en av de snabbast växande varianterna av cyberattacker. Samhället behöver bättre kunskap om dessa angrepp och vilka som ligger bakom dem, skriver Fredrik Möller, it-säkerhetsexpert.

Under strecket
Publicerad

Fredrik Möller.

Foto: Privat Bild 1 av 1

Fredrik Möller.

Foto: Privat Bild 1 av 1
Fredrik Möller.
Fredrik Möller. Foto: Privat

DEBATT | IT-SÄKERHET

Nästan fyra månader efter valet 2018 har Sverige äntligen fått en regering på plats. Den långa processen har kantats av rykten och läckor kring hur den slutliga regeringen skulle se ut – och i många fall har dessa rykten varit falska, med syftet att störa processen och förändra spelplanen.

För mig personligen är det en händelse under den intensiva mediebevakningen som sticker ut och skrämmer lite extra, även om den nästan gick obemärkt förbi när den ägde rum.

Fredagen den 11 januari, bara timmar innan nyheten att Socialdemokraterna, Miljöpartiet, Centerpartiet och Liberalerna enats om en överenskommelse över blockgränsen blev offentlig, fick den politiske reportern Per Kudo på Svenska Dagbladet ett mejl. Mejlet hade ”info@socialdemokraterna.se” som avsändaradress och rubriken ”Pressmeddelande”. I mejlet påstods att Socialdemokraterna på ideologiska grunder beslutat sig för att dra sig ur förhandlingarna – vilket förstås var raka motsatsen till vad som faktiskt hände.

Annons
Annons

Reportern föll inte för bluffen men uppmärksammade den genom ett inlägg på Twitter där han tydliggjorde att mejlet var falskt. I den diskussion som följde nämnde han också att ”det inte är första gången man försöker lura redaktioner med till synes autentiska avsändaradresser.”

Tyvärr kommer det knappast att vara sista gången heller, utan ett angreppssätt som jag befarar kommer att bli betydligt vanligare framöver och som behöver uppmärksammas mer. De falska adresserna, så kallad domän-spoofing, är en av de snabbast växande varianterna av cyberattacker. Inte minst för att det nästan är löjligt enkelt att utföra dem.

I dag förknippar vi framför allt den här typen av cyberbedrägerier med ekonomiska brott och ”marknaden” är gigantisk – enligt FBI:s statistik har närmare 80 000 företag lurats av den här metoden mellan hösten 2013 och våren 2018, till en total kostnad av över 12 miljarder dollar.

Men i en tid när mediers och samhällsinstitutioners trovärdighet ständigt ifrågasätts och utmanas och falska nyheter sprids i raketfart i sociala medier är den här metoden alldeles för enkel att tillämpa för att vi ska kunna ignorera riskerna. Även om en falsk nyhet som fått spridning i traditionella medier kan motbevisas leder spridningen i sig till skada för trovärdigheten och pålitligheten – som talesättet säger, ”jag bryr mig inte om att det inte är sant, det är för jävligt ändå.” Och även om du som ”avsändare” vet att ett falskt mejl var resultatet av spoofing så kommer det att vara en utmaning att bevisa det för dem som redan reagerat på uppgifterna.

Annons
Annons

Det finns metoder som företag och myndigheter kan tillämpa för att skydda sina mejldomäner från att användas i bedrägligt syfte, exempelvis DMARC – ett autentiseringsprotokoll som kan övervaka och blockera oauktoriserade sändare från att låtsas skicka sina mejl från en domän. Men i dag har bara ett av de åtta riksdagspartierna, Liberalerna, implementerat DMARC, och då bara på den lägsta skyddsnivån vilket innebär att domänen fortfarande kan utnyttjas. Riksdagens domän har dock det starkaste skyddet.

Nu utgör förstås DMARC i sig inte ett heltäckande skydd mot den här typen av angrepp – de kan till exempel genomföras genom att, exempelvis, byta ut ett L mot ett stort I i ”avsändaradressen” (en taktik som kallas ”typosquatting”) eller använda en annan toppdomän än den riktiga (exempelvis .nu). Men det skulle ändå höja ribban väsentligt för att skydda samhällets institutioner och medborgarna från att utsättas från den här typen av bedrägerier.

Vi måste också tala mer öppet om den här typen av attacker och förstå dem, vad de som genomför dem vill uppnå, hur ofta de genomförs och framför allt vilka som ligger bakom, om det handlar om att spela spratt eller om det är organiserade aktiviteter för att störa kritiska samhällsinstitutioner.

Fredrik Möller
it-säkerhetsexpert, regionchef för Proofpoint i Norden och Baltikum

Annons
Annons
Annons
Annons
Annons