I disse dager får svært mange osloborgere en tekstmelding fra kommunen om at det er deres tur til å få sin tredje dose med koronavaksine. De fleste av oss blir svært glade for denne meldingen, og klikker så raskt vi bare greier å stokke tomlene våre på lenken der vi kan bestille time.
Men vent — er det ikke noe som skurrer? Tekstmeldingen kommer ikke fra Oslo kommune, men fra noen som kaller seg Helseboka. Hvem er det? Og se på lenken, den går ikke til et offentlig nettsted, men ser mystisk ut, med noen rare tall og bokstaver, for eksempel: helseboka.app/b/s/2150310.
Her begynner mange å lure, og det med god grunn: For det første er avsenderen ukjent for mange av oss. For det andre ser lenken tvilsom ut, og sender oss til et domene som de færreste har hørt om.
Ikke klikk!
Det er jo nettopp dette IT-avdelingene våre har gnålet om i årevis, i de månedlige epostene de sender ut om hvordan vi skal passe oss på nett, som vi av og til pliktskyldig skummer gjennom. Moralen er stort sett den samme: Får du tilsendt noe fra ukjente avsendere med merkelige lenker? Ikke. Klikk.
Blant dem som fikk SMS-en og stusset over den, var stortingsrepresentant og tidligere statsråd Sveinung Rotevatn (V). Han gikk ut på Twitter og spurte sine følgere om dette var ekte, eller om det var svindel.
SMS-en var ekte. Helseboka er leverandøren av den tekniske tjenesten kommunen bruker for å organisere vaksineavtaler. Rotevatn kunne trygt klikke på lenken og bestille time til sin tredje vaksinedose. Men selv om det var falsk alarm denne gangen, gjør slike kryptiske meldinger skade, fordi de senker terskelen for neste angrep. Dersom vi blir vant til at det offentlige kommuniserer med oss på denne måten, gir det oss mindre grunn til å la være å klikke neste gang noen sender en lignende melding.
Svindlere har utgitt seg for å være Oslo kommune
Og det er ikke bare en hypotetisk problemstilling: Allerede i oktober utga svindlere seg for å være kommunen som sendte ut SMS med tekstmelding om vaksine. Svindlerne ba mottakerne oppgi navn og personnummer. Oslo kommune advarte mot den falske SMS-en på Twitter, men gjør det ikke akkurat enklere for innbyggerne å forstå forskjellen på ekte og falskt.
Nettopp denne usikkerheten kan svindlerne utnytte.
Fenomenet kalles «phishing». Det går ut på at personer med uærlige hensikter sender meldinger, eposter eller ringer til mulige ofre. Svindlerne forsøker å lure mottakeren til å gi fra seg personlig informasjon eller innloggingsdetaljer, som for eksempel kan brukes til identitetstyveri eller utpressing under trusler om å avsløre sensitive opplysninger. Alternativt prøver svindlerne å få mottakeren til å laste ned skadelig programvare. Det kan for eksempel være programvare som krypterer harddisken. Så kan svindleren kreve løsepenger for å gi offeret nøkkelen til krypteringen, ellers risikerer vedkommende å miste alt på disken.
Phishing kan også være inngangsporten for annen type kriminell virksomhet, som industrispionasje, sabotasje eller påvirkningsoperasjoner (som for eksempel å forstyrre valg).
En klassisk fremgangsmåte for svindlerne er å utgi seg for å være fra banken eller en annen offentlig instans. Kommer en slik forespørsel via e-post, sjekker mange av oss gjerne en ekstra gang før vi klikker. Vi har tross alt levd med svindel-e-post i noen tiår. Men ikke alle er like oppmerksomme dersom svindelen kommer via SMS.
Lett å utgi seg for å være noen andre på SMS
SMS som teknologi har også en avgjørende svakhet som hjelper svindlerne: Man kan enkelt utgi seg for å være hvem som helst når man sender SMS. Det kalles «spoofing». Det finnes en rekke tjenester på nett som enkelt lar deg velge hvilket nummer som skal stå som avsender når du sender en melding.
Kort sagt: Du burde aldri stole på SMS.
Det er forståelig at kommunen vil gjøre det enklest mulig å bestille vaksinetime. Men dette kunne vært løst langt bedre. For eksempel kunne de brukt den sikre, digitale postkassen som det offentlige selv har fått utviklet, der både avsender og mottaker kan verifiseres.
Eller — hvis de først skulle sende en SMS med lenke — kunne den pekt til et offisielt domene som er enkelt å sjekke, for eksempel til oslo.kommune.no/koronavaksine.
Cyberangrep er en vekstbransje
For svindlerne er cyberangrep (herunder phishing) billig, effektivt og lønnsomt. Risikoen for å bli tatt er liten eller ingen. Cyberkriminalitet er en bransje i sterk vekst: Antallet alvorlige hendelser registret hos Nasjonalt Cybersikkerhetssenter var tre ganger høyere i 2020 enn i 2019. The Economist skriver at det ble utbetalt 350 millioner dollar i løsepenger i bitcoin i 2020 i forbindelse med cyberangrep. Også det er en tredobling fra 2019.
Som Nasjonal Sikkerhetsmyndighet skriver i sin rapport «Nasjonalt digitalt risikobilde 2021» krever utviklingen mer digital årvåkenhet hos hver enkelt av oss. Men det krever også mer av aktørene som skal levere helt nødvendige tjenester for oss. De kan dessverre ikke alltid velge den enkleste løsningen.
Slik kommunen og Helseboka kommuniserer nå, bidrar de til å senke terskelen for fremtidige digitale angrep mot innbyggerne.
