I helgen rapporterade många svenska tidningar om en våg av epostbedrägerier.
Exempelvis rapporterade Göteborgsposten om utpressningsmejl som nådde tusentals personer i Västsverige och resulterade i över 1000 polisanmälningar, medan Aftonbladetrapporterade om mejl som spred skadlig mjukvara inom Karlstad Kommun.
Den gemensamma nämnaren för dessa fall var att mejlen i fråga såg ut att komma från en legitim avsändare, som en kollega i Karlstad Kommuns fall, eller tom. från en själv som i de mejl som många i Västsverige tog emot. I det senare fallet syftade metoden att offret fick ett mejl från ”sig själv” till att ”bevisa” att man lyckats hacka personens dator.
”Hur kan detta vara möjligt?” frågar sig nu många.
Så vad är det egentligen som händer?
Egentligen är det inte så avancerat, låt oss bryta ner det i ett antal punkter:
- Det är ett relativt okänt faktum att epostsystemet i grund och botten saknar autentiseringsmekanismer för att säkerställa att den man säger är en avsändare faktiskt ärden avsändaren.
- Detta innebär i praktiken att ett mejl kan skickas med en förfalskad avsändare som ser exakt ut som den person man vill utge sig för att vara, inklusive mejladressen ditt mejlprogram (såsom Outlook, Apple Mail m.fl.) säger att mejlet är skickat från.
- Trots den utbredda missuppfattningen att man inte kan göra något åt detta så finns det säkerhetsmekanismer att implementera.
- Det är viktigt att här förstå att ansvaret ligger på AVSÄNDAREN, alltså ägaren av domänen/mejladressen, att säkra upp mot bedrägligt beteende som antingen riktas mot en själv – som i många av de fallen som rapporterades i helgen – och/eller internt inom en organisation. Epostbedrägerier kan även riktas externt mot ett företags kunder, leverantörer eller personer i en individs nätverk. En mottagare varken kan, eller bör, vara den som är ytterst ansvarig för att säkerställa detta.
- Faktum är att majoriteten av stora svenska bolag idag saknar denna typ av säkerhetsmekanism och riskerar därför att få sin identitet stulen.
- När man ser på konsekvenserna handlade de fall som det rapporterades om i helgen om personlig ekonomisk skada som ett resultat av utpressning. Men de finansiella skador som kan uppkomma för företag kan nå nästan astronomiska summor (se exemplen med industrijätten Leoni och fotbollsklubben Lazio). Men det pratas i regel inte om hur ett varumärke kan ta skada. Bedrägeriförsök går nämligen i väldigt hög utsträckning till så att bedragaren använder sig av ett bolags identitet för att i sin tur kontakta andra bolag och/eller privatpersoner för att komma över pengar, känslig information och/eller sprida skadlig kod.
3 tips på hur man bör skydda sig mot utpressningsmejl
1. Medvetenhet
Inom en organisation bör man börja med att göra organisatoriska insatser, såsom utbildning och framtagning av mer ingående rutiner, för att minimera risken att någon skulle lyckas med epostbedrägerier mot er. Som privatperson bör man även vara uppdaterad på vad som händer i den digitala världen, är man osäker bör man alltid kontakta sin epostleverantör.
2. Grundläggande autentisering av epost
Grunden till autentisering av epost läggs med ett s.k. ”SPF-record” som verifierar vilka servrar som får skicka mejl från en domän. Detta är dock inget som läggs upp som standard då många företag exempelvis använder sig av flera olika leverantörer, exempelvis nyhetsbrevslösningar. Om detta görs utan att ha hundra procent koll kan det resultera i att man de facto stoppar mail som ska få skickas. Är man osäker på vilka legitima ”källor” man har kan man göra en analys av mejlflödet.
3. ”Best practice” för mejlhantering för organisationer
Genom en kombination av säkerhetsmekanismer som begränsar olovligt användande av en domän, verifierar legitima källor och löpande analyserar och rapporterar status på det totala mejlflödet minimeras riskerna för epostbedrägerier.