Telefonen - Svindlerens favoritt

Teknologi | 19/06/2020

av Anders Løvhøiden

 

Hvorfor er det så enkelt å være telefonsvindler?

For de av oss som vokste opp på 80-90 tallet var “bølle-ringing” en svært populær aktivitet som brått tok slutt da teknologier som nummervisning og ISDN ble allment tilgjengelig. Det var ikke like stas når offeret plutselig ringte tilbake for å ta en prat med foreldrene dine. Dessverre var ikke dette nok til å sette en stopper for de virkelig proffe, og telefonsvindel er i dag mer utbredt enn noensinne. Det er estimert at jordens samlede befolkning i 2018 mottok over 26 milliarder svindel-samtaler, altså rundt 4 samtaler årlig per person for de av oss som er så heldige å eie et telefonapparat. 

Flere av oss mottar til stadighet oppringninger fra tilsynelatende norske telefonnumre, der personen i andre enden gjerne snakker engelsk med indisk aksent og utgir seg for å være fra “din lokale IT-support”. Dersom du legger på eller lar være å svare er det ikke unormalt at de forsøker igjen daglig en ukes tid før de gir opp. Mange av disse samtalene har sitt opphav hos utenlandske call-centre som spesialiserer seg på slik svindel, og metodene deres blir stadig mer utspekulerte. Godt utprøvde svindel-metoder som “Microsoft svindel” og “Olga-svindel” er to kjente og populære gjengangere. Førstnevnte går ofte ut på at svindlerne “ringer fra Microsoft” for å fikse kritiske feil på din PC. De godsnakker seg frem til en tillatelse til å fjernstyre offerets PC, løser “feilen” hvorpå de så ber deg logge inn i nettbanken for å kunne betale dem for hjelpen. Hva som skjer etter det er kanskje ikke så vanskelig å se for seg, med nettbanken åpen og svindleren med full kontroll over maskinen tar det ikke lang tid før den kontoen er tom og samtalen er over. “Olga-svindelen” er hakket mer kynisk, der eldre mennesker lures til å tro at de snakker med sin egen bank og hjelper villig til med å tappe sin egen bankkonto. Dette er klassiske eksempler på hvordan den gjennomsnittlige nordmanns høflige opptreden, litt naive syn på verden og sterke ønske om være til hjelp misbrukes for alt det er verdt av skruppelløse svindlere som kan alle triksene i boka. På fagspråket kalles dette ofte “social engineering”, kunsten å manipulere andre menneskers adferd til egen vinning. Leonardo DiCaprios rollefigur i filmen "Catch me if you can" demonstrerer ganske godt hvilken verden som åpner seg for en ekspert på dette feltet.

På fisketur

Tidligere i år opplevde en av våre kunder å bli oppringt av noen som ønsket å få oppgitt personnummeret hans. De refererte til navngitte personer i Azets og opptrådte på en så troverdig måte at kunden til slutt hadde utlevert personnummeret sitt, men satt igjen med en litt dårlig følelse i etterkant av samtalen. Hva årsaken eller motivet var i denne saken er det foreløpig ingen som vet, men det viser oss at det ikke bare er indiske call-centre som er på banen, vi har også lokale aktører å hanskes med. Våre britiske kollegaer varslet nylig om lignende angrep mot dem, da de mottok phishing-e-post som kun fisket etter informasjon. Dette er noe en typisk gjør for å bygge grunnlaget for et mer målrettet angrep som potensielt kan føre til større utbetalinger. 

Vær derfor varsom med hva slags informasjon du utleverer til fremmede. Proffene spør gjerne på en måte som gjør at du kanskje ikke innser at du utleverer intern informasjon som kan misbrukes. Bruk de informasjonskanalene du har til rådighet dersom du blir kontaktet av en ny og ukjent kollega, og ikke vær redd for å bli litt bedre kjent før dere utveksler informasjon. Svindlerne velger som folk flest oftest den letteste ruten, og møter de for mye motstand rakner gjerne den fasaden de har forsøkt å bygge opp.

Wangiri

Denne metoden er foretrukket av late svindlere som liker raske penger og automatiserte angrep. Som navnet tilsier har den sitt opphav i Japan, og ordet kan oversettes direkte til “et ring og kutt”. Svindelen går ut på at telefonen din ringer én gang før svindleren legger på, i håp om at du blir nysgjerrig nok til å ringe tilbake. Dersom du gjør det kommer du frem til et internasjonalt høytakstnummer med svært høy minuttpris, en dyr affære som en først oppdager når telefonregningen dukker opp.

Så hvorfor er telefonsvindel så enkelt?

Telefonsvindlerne nyter gode dager, og har nok ingen planer om å legge opp med det første. Telefonnettet har jo en ganske ryddig struktur beskyttet av et strengt lovverk her i Norge, men slik er det ikke nødvendigvis i resten av verden. Digitalisering og ny teknologi åpner for muligheten til å skjule både hvilket nummer en ringer fra og i tillegg utgi seg for å ringe fra et falskt nummer. Dette har skapt en del bryderi også her i Norge, da svindlerne har begynt å plukke tilfeldige norske numre å skjule seg bak. Ringer du opp igjen på nummeret de tilsynelatende ringer fra kommer du frem til en helt uskyldig og intetanende Ola Nordmann som ikke skjønner hva som har skjedd. 

Dette gjelder ikke bare for telefonsamtaler. Tekstmeldinger er faktisk enda enklere å forkle bak et falskt nummer. Som et lite tankeeksperiment kan du da se for deg at noen sender deg en falsk melding og setter partneren din sitt nummer som avsender. Kan du tenke deg hvor denne meldingen havner? Helt riktig, den havner sammen med de andre meldingene fra den avsenderen. Det kan jo være greit å ha dette i bakhodet dersom du en dag skulle få beskjed av partneren om å vippse en større sum til et ukjent nummer, eller la døra stå ulåst når du forlater huset. Avsendernummeret på SMS kan også erstattes med en tekst, slik mange bedrifter gjør når de sender ut infomeldinger til de ansatte. Du har kanskje lagt merke til at avsender da ikke har noe nummer, men kun navnet på organisasjonen eller lignende. Kommuner, strømleverandører og mange andre gjør det samme. 

Nå var ikke tanken å be deg om å aldri igjen stole på en tekstmelding, men det er vel egentlig akkurat det jeg gjør. Poenget jeg vil frem til er det at ingen av de kommunikasjonskanalene vi benytter i dag er 100 % sikre mot misbruk, og de teknologiene vi benytter mest er kanskje de minst sikre. Litt sunn skepsis og vilje til å dobbeltsjekke fakta er egentlig alt som skal til for at vi unngår å havne i svindlernes feller. Jeg tror vi allerede er veldig dyktige på å avsløre slik svindel i vår bransje, og det må vi også fortsette å være skal vi klare å hanskes med stadig nye og kreative metoder fra svindlernes side.

Det enkle er ofte det beste

Er det noe svindlerne har lært seg så er det dette, jo enklere jo bedre. De beste angrepene er sjelden super-kompliserte, det handler ofte bare om å være frekk nok. Du trenger antakelig ikke å hacke overvåkningskameraene og dørlåsene på den lokale Rema-butikken for å gjøre et kupp, er du frekk nok kommer du nok lettere unna ved å bare trille din fulle handlevogn ut døra midt på lyse dagen.

En personlig favoritt er historien om den gangen Kevin Mitnick, historiens mest ettersøkte hacker, stjal kildekoden til Motorolas "MicroTAC Ultra Lite". La oss gå noen år tilbake igjen, til 1992 for å være helt spesifikk. MicroTAC Ultra Lite var datidens iPhone11, med sitt smekre design, “Dot Matrix” skjerm og mulighet til å lagre telefonnummer i sin interne telefonbok! Kevin startet med å ringe tilfeldig rundt til Motorola ansatte og utga seg for å være en kollega fra en annen avdeling. Til slutt kom han frem til sjefen for Motorola Mobility. Kevin utga seg så for å være selveste prosjektlederen for telefonens operativsystem (som han nå visste var på ferie) og sa han trengte hjelp til å få lastet ned en kopi av kildekoden til sin egen server, som befant seg utenfor Motorolas lukkede nettverk. Sjefen satte ham videre til IT-ansvarlig, som pliktoppfyllende foretok endringer i nettverket og hjalp Kevin med å få lastet ned den dyrebare og svært sensitive kildekoden til sin private server. På den tiden det tok Kevin å gå fra butikken og hjem til leiligheten sin hadde han fått et av verdens største teknologiselskaper til å gi fra seg sin mest verdifulle digitale eiendel, rett og slett fordi han hadde evnen til å fremstå som en hyggelig og tillitsvekkende person på telefonen. "Food for thought", som man sier.

Kontakt oss

Ja, jeg vil at Azets sender meg innsikt, informasjon om tjenester og invitasjoner til arrangementer. 

Jeg er klar over at jeg kan lese mer om hvordan Azets behandler mine personlige data her. Jeg kan når som helst redigere mine preferanser eller trekke tilbake mitt samtykke.

Om Anders Løvhøiden

Anders er Regional Security Officer i Azets og har ansvaret for den daglige oppfølgingen av IT-sikkerheten i organisasjonen. Han har bakgrunn som digital etterforsker og brenner for alt som har med sikkerhet og teknologi å gjøre.