Be careful out there

Jag blev just utsatt för ett ovanligt intelligent bedrägeriförsök över Internet. Så jag tänkte att det kunde vara på sin plats att varna alla läsare och dessutom dra en eller annan slutsats om det ena eller andra. Men samtidigt är jag lite imponerad över hur smarta bedragare alltid kan hitta enkla vägar förbi säkerhetssystem.

Massor av spam
Som alla andra utsätts jag i stort sett dagligen för bedrägeriförsök. Det kan handla om simpla Nigeriabrev, med usel stavning eller fejkade fakturor med bilagor som installerar ransomware eller andra virus. En del fastnar i spamfilter och resten raderar jag utan att titta.
Så när det kommer ett brev som begär att jag skall föra över ett par hundra tusen kronor till ett okänt bankkonto reagerar både jag och förhoppningsvis alla andra med att automatiskt trycka på DEL-knappen.

Men den här gången var det en helt annan nivå på bedrägeriet. Bedragarna hade sett till att skaffa in bra information, de använde enkel och effektiv teknik och de visste framför allt ”hur en slipsten skall dras”. Allt handlar ju om psykologi.

Spoofade email
Det är ingen hemlighet att jag är vd för mitt företag och det är heller ingen hemlighet att Anette sköter ekonomin. Det har hon gjort i massor av år med den äran. Den informationen och våra mailadresser är lätt att komma över. Samma sak gäller för massor av andra företag.

För en bedragare är därför ett lämpligt första steg att skicka ett mail från vd (mig) till ekonomiansvarige (Anette) som ser korrekt ut. Det här brukar kallas för ”spoofing” och är ganska enkelt att fixa. Mailet kommer att ha rätt avsändare och se korrekt ut så länge man inte börjar grotta ner sig i den dolda koden. Det gör ingen.

Sedan måste man förstås ha någon som kan skriva begriplig svenska och uttrycka sig på ett sätt som verkar rimligt. Redan här faller de flesta bedrägerier, men med en riktig ”con man” går det att komma vidare.

Problemet är förstås att Anette omedelbart kastar sig på telefonen om hon får ett mail som beordrar henne att skicka en stor summa pengar till ett okänt konto. Samma sak gäller förmodligen de flesta andra företag. Alla är uppmärksamma på konstiga email.

Då är det betydligt listigare att ställa frågan om det är ok att fixa en snabb utlandsöverföring. ”Kan du göra en utländsk överföring i dag?” Lite ovanligt, men inte otänkbart. Och ”jag” har ju bara startat en diskussion, inte krävt något.

I det här läget gäller det att fixa så att mailsvar kommer till bedragarna i stället för till mig. Inte heller det är särskilt svårt tekniskt. Genom att lägga in en dold returadress (i det här fallet Reply-To: Göte Fagerfjäll <gote@vd.c0.pl>), kommer svaret att hamna i bedragarnas polska mailserver. Eftersom namnet i klartext (Göte Fagerfjäll) på den dolda returadressen är korrekt kommer allt att se OK ut, trots att alla svar går till gote@vd.c0.pl i stället för till gote@elinor.se.

Innanför skyddsvallarna
Och nu är plötsligt bedragarna innanför både de elektroniska och psykologiska skyddsvallarna. Genom att initiera en mailkonversation med ”mig” minskar risken att Anette skall lyfta telefonen och ringa mig. Vi kommunicerar ju redan.

Så, när Anette svarar att ”det nog kan fungera om hon får alla detaljer” kommer snabbt ett svarsmail från ”mig” där hon ombeds att med expressöverföring betala en stor summa pengar till ett konto i Storbritannien. Namn, adress och kontonummer är snyggt och prydligt medskickade.

När Anette frågar efter faktura och närmare specifikation kommer en betalningskod, en referenstext (Tech-Center UK utbetalning) och lite förklaringar om varför det är bråttom.

Inget av det här är orimligt, men efter fem omgångar med mailkonversation börjar Anette surna till ordentligt. Hon tycker att jag är hopplösare än vanligt och ringer och frågar vad i hela friden jag håller på med.

Och då spricker hela bedrägeriförsöket.

Handlar inte om teknik
Så här i efterskott är det enkelt att se hur bedrägeriförsöket är upplagt. Det intressanta är att det egentligen inte handlar om teknik och avancerade försök att bryta krypton. I stället används ganska simpel teknik, men desto smartare psykologi.

För det är ju faktiskt ganska trivialt att fuska med email. I grunden är det en osäker teknik och de flesta försök att säkra upp systemet innebär att det blir mer eller mindre oanvändbart. Däremot har de flesta användare numera säkerhetssystem som stoppar bilagor med virusinnehåll.

Men som sagt, det handlar inte om teknik. Det här bedrägeriförsöket kunde lika gärna varit hämtat från arton- eller nittonhundratalet. I en av mina favoritböcker, ”A perfect spy” av John LeCarré, är huvudpersonens far en fantastisk bedragare. Han lurar pensionen från krigsveteraner och pengar från både fattiga och rika och allt sker med psykologi och välsmort munläder. Fantastisk bok.

Den stora skillnaden mot den tiden är att dagens bedragare kan arbeta i en större skala. Det försök som jag blev utsatt för i morse kräver visserligen att en bedragare sitter online, men det går fortfarande att sköta många ”scams” parallellt. Inkomsterna kan bli ganska fantastiska.

Enkla Nigeriabrev
Dagens försökt var smart, men kanske det är elakt att ”racka ner” för mycket på de enkla Nigeriabreven. En kompis till mig har en intressant hypotes om att den dåliga stavningen och de usla formuleringarna bara är ett sätt att redan från början ”tröska bort” alla de som ändå inte faller för så enkla bedrägerier. Är man dum nog att inte reagera på språket är man kanske dum nog att skicka lösenord och pengar också.

Rätt T-shirt
Alla som håller på med Internetsäkerhet brukar kunna berätta härliga historier om hur man på bästa sätt tar sig förbi avancerade säkerhetssystem. En klassiker är att ta på sig en T-shirt med Cisco-logga och gå till datacentralen för att ”lösa problemet”. Då brukar man få full tillgång till admin-datorn.

Ett annat bra sätt är att kolla vart företagets rökare går för att ta sig ett bloss. Ju mer avancerade säkerhetssystem som installeras, desto större är chansen att rökarna har en olåst bakväg, en nyckel i en påse eller vad det nu kan vara.

Det berättas också om en man som sägs kunna ”snacka sig in” på vilket företag som helst. Lite som Rick T Pym i ”A perfect spy”.

Bilstöld
En av mina absoluta bluffavoriter är den moderna genvägen för bilstöld. De senaste åren har ju biltillverkarna fått för sig att startnycklar är omoderna och att NFC-teknik är ”the shit”. Det innebär att bilen låser upp sig automatiskt när föraren närmar sig bilen. Det räcker sedan att trycka på en knapp för att starta bilen.

Tanken var att det här skulle vara säkert och koden omöjlig att knäcka. Så skulle det förmodligen också vara om alla tänkte på samma sätt som de konstruktörer som tagit fram systemet.

Men bedragare tänker ofta lite annorlunda. Varför lägga ner jobb på att knäcka koder om det räcker att förstärka en signal. En enkel tranceiver i närheten av bilnyckeln och samma sak i närheten av bilen gör att Near Field Communication blir Far Field Communication. Tekniken är jätteenkel och prylarna finns att köpa på Internet.

Att stjäla en bil på köpcentrets parkering blir plötsligt mycket lätt. En förare lämnar sin bil och bilen låser sig själv. En bedragare ställer sig bredvid bilen med en tranceiver i fickan och en kompanjon, utrustad på samma sätt, följer efter föraren på sin väg in i affären. När avståndet är lagom långt för att föraren inte skall märka vad som händer startar kompanjonen sin tranceiver, länken mellan nyckel och bil etableras och bilen öppnas. Sedan är det bara att köra iväg. Så länge inte motorn stängs av går det att fortsätta köra (av säkerhetsskäl).

Att stjäla en bil i ett villaområde är ungefär lika lätt. Ofta hamnar bilnyckeln i en skål nära utgången och en tranceiver vid dörren och en vid bilen fixar kommunikationen mellan nyckeln och bilen som står parkerad en bit bort. Enkelt och elegant.

Idag finns det speciella radiotäta lådor och påsar att lägga bilnycklar i. Det är en intressant metod att på ett jobbigt sätt lösa ett stort problem som i sin tur skapades för att lösa ett mycket litet problem.

Krångla inte till det
För det mesta finns det smarta vägar runt säkerhetssystem och allt blir intressantare om systemen är anslutna till Internet. Att vittja vanliga brevlådor är till exempel ganska lätt, men det är jobbigt och tidsödande och risken för upptäckt är stor. Att göra samma sak via Internet tar mycket mindre tid och risken att åka fast är marginell.

Därför är jag ganska förtjust i den gamla beprövade tekniken att skicka fakturor via brev. De kommer garanterat inte att innehålla datavirus, de är lätta att läsa och de är enkla att arkivera. En bedragare kan naturligtvis skicka falska fakturor, men det är betydligt lättare att uppmärksamma en falsk pappersfaktura än en elektronisk dito. Det är också ofarligt att öppna kuvertet.

Och att stoppa in en bilnyckel i ett tändningslås – det är inte särskilt jobbigt. Visst går det att kopiera en nyckel, men bedragaren får i alla fall lägga ner en hel del tid på varje bedrägeri.

Tänk efter
Vi kommer alldeles säkert att få se massor av nya betalningssystem med avancerade säkerhetssystem. Lika säkert är att bedragare kommer att hitta smarta och oväntade sätt att smyga sig runt säkerhetssystemen. Det kan jag nog lova.

Jag är också övertygad om att övergången till autogiro och snabba elektroniska betalsystem kommer att fortsätta att skapa fantastiska möjligheter för både gamla och nya bedragare. Bedrägerier som kan hanteras via Internet är mycket lönsamma och närmast ofarliga för förövaren.

Vad kan vi då göra? Tja, till att börja med gäller det att hela tiden fundera på vad som är rimligt och hela tiden hålla koll på sina transaktioner. Autogiro är i det läget klart tveksamt.

Och så fort som möjligt bör regeringen införa ett förbud mot oskäliga aviavgifter. Att ta en femtiolapp eller mer för att skicka ut en pappersfaktura kan bara betecknas som ocker. Pappersfakturor är det säkraste vi har, både idag och i framtiden. Dessutom kanske vi då kan slippa att lägga ner åtminstone den svenska delen av PostNord.

Eller vad tycker ni?

4 Responses to “Be careful out there”

  1. Vi tycker exakt som du Göte.
    Kloka ord som vanligt.

  2. Fortsätter med tråden PostNord där Göte slutade. Vi vet att lönsamheten är skral, mycket beroende på problem i Danmark. Bl a har danska regeringen i stort stoppat utskick av fakturor, kontobesked och statlig medborgarkommunikation via gammaldags pappersbrev. Allt bör göras elektroniskt.
    I Sverige ser, som Göte påpekat, de höga faktureringsavgifterna till att vi rör oss åt samma håll. Ökade säkerhetsrisker och minskade intäkter för posten blir resultatet.
    Men det verkar finnas ett annat hot mot PostNord. Häromdan var jag inne på den kinesiska sajten Wish. Där samlas ett myckert stort antal kinesiska producenter som säljer diverse prylar till ofattbart låga priser. Dessutom sköts betalningen numera av svenska Klarna, något som tagit bort mycket av riskmomentet med att tvingas lämna ut kontokortsuppgifter till nån okänd i Kina.
    Frakten tillkommer men är också den förvånansvärt billig. Varför så billig? Följande står att läsa på PostNords hemsida:
    //Många undrar hur frakten från Kina kan vara så billig i förhållande till vad det kostar att skicka saker inom Sverige. När någon i ett annat land, till exempel Kina, vill skicka en försändelse till Sverige betalar han eller hon gällande porto till postoperatören i avsändarlandet, China Post i det här fallet. China Post betalar i sin tur terminalavgifter till postoperatören i desti­nationslandet, i det här fallet PostNord.
    Avgiften är således en kompensation till PostNord för att PostNord delar ut den aktuella försändelsen i Sverige.
    Terminalavgifterna regleras också genom Världspostföreningens regelverk. Eftersom Kina i postala sammanhang, såvitt avser nivån på terminalavgifter, klassas som ett utvecklingsland är avgifterna lägre än de PostNord/Sverige får från industrialiserade länder t ex Tyskland.
    Därför kan det i vissa fall bli billigare för avsändare i Kina att skicka något till Sverige än det är att skicka något inom landet, något som bland andra Svensk Handel har reagerat på//

    Låt oss hoppas att detta rättas till snarast, för om PostNord skall sortera och dela ut dessa försändelser nästan utan ersättning, så lär konkursen inte vara långt borta. Till och med utan dansk inblandning.

  3. Därför går jag aldrig med på Autogiro.
    Då har jag bättre koll på utgifterna.

  4. Göte,

    Jag tror du menade PKE (Passive keyless entry) och inte NFC?

    /Mats