Klarer ikke å stanse falske SMSer

En rekke nettjenester sender SMS med falsk avsender-nummer, noe Telenor foreløpig ikke kan stoppe.

SMS har en innebygget sikkerhetssvakhet, det har digi.no nå fått bekreftet av Telenor. Dette skaper et voksende problem ikke bare for ungdom, men også næringslivet, voksne privatpersoner og ikke minst politiet.

For SMS er blitt en universell kommunikasjonsform vi stoler på. Meldingene kan brukes som sikre kvitteringer og bekreftelser - tror mange. For avsender-nummer gir i utgangspunktet en unik identifikator, men at nummeret stemmer er ikke lengre sikkert.

Mobilen.no påpekte i forrige uke muligheten for å sende SMS-meldinger med falsk avsender, men forklarte ikke hvorfor og hvordan dette var mulig.

Årsaken er at mange mobilselskaper i utlandet som Telenor og trolig Netcom har avtale med har delt ut direkte, internett-basert tilgang til sine SMS-sendesystemer. Enkeltbrukere og bedrifter kan gjennom slike systemer skrive inn SMS-meldinger fra sine PCer i stedet for sine mobiler og få dem sendt. Men enkelte selskaper lar brukere skrive inn hvilket mobilnummer de sender fra.

På nettet florerer det av tjenester man for småsummer kan ta i bruk til sende falske meldinger - til kollegaer, politiet, sjefen sin eller andre. Fordi det er så enkelt å finne på nettet, har digi.no valgt å omtale dette konkret. Et søk på for eksempel "fake SMS" gir en lang liste over tilbydere, blant annet engelske Sharpmail som tilbyr anonym SMS og epost.

Slike tjenester lar deg registere deg med et falsk navn og en anonym epost-konto og betale med nettsystemer. Det er derfor mulig å skjule sine spor ganske godt. digi.no registerte oss på Sharpmail og kunne betale med kredittkort eller Paypal. Bildet under viser grensesnittet for å skrive en SMS der du kan taste inn et fritt valgt nummer.

Årsaken til sikkerhethullet er at en SMS sendes bare som en tekstmelding med et tekst-felt for nummeret. Slik er det ikke med en mobilsamtale. Der sendes først

SIM-kortnummeret til mobilselskapet. Denne slås opp, kobles til riktig mobilnummer og dette mobilnummeret vises så på skjermen til den som ringes. Dette gir sikkerhet, men SMS-meldinger inneholder ingen SIM-kortnummer.

Telenor kan derfor ikke se om meldingen er sendt fra en internett-tjeneste eller en mobil i utlandet. Selv med en politianmeldelse medgir Telenor at det vil være krevende å kunne spore opp den ekte avsenderen.

Foreløpig har ikke Telenor gjort noe med saken, men de har opplevd tilfeller av falske SMSer og har presset "en utenlandsk mobiloperatør" til å stenge en slik tjeneste, forteller Anders Krokan, informasjonssjef i Telenor til digi.no.

- Vi ser nærmere på det nå og om det er praktisk mulig å sile ut SMSer hvor vi ikke kan stole på avsender-nummer, forteller Krokan. Vi vurdere omfanget og ressursene vi skal bruke. Dette er et bransjeproblem og det er tatt opp i mobilbransje-foreningen GSM Association.

Umulig er det dog ikke. En enkel løsning hadde vært å kreve at utenlanske mobilselskaper som skal sende SMSer til Norge hadde merket alle SMSer som var tastet inn fra PC med en beskjed, for eksempel "usikkert nummer".

Heller ikke lovverket har fanget opp sikkerhetshullet. Det er ikke ulovlig å sende falske SMSer.

- Å sende tullemeldinger med falsk identitet er ikke i ulovlig i seg selv. Det er hva meldingen brukes til som avgjør om det er begått en straffbar handling, sier politiadvokat Eirik Trønnes Hansen ved Kripos' datakrimavdeling til mobilen.no.

Samfunnet har blitt helt avhengig av denne enkle tjenesten som opprinnelig ble levert som et gratistilbud. Problemet er at den dermed ikke ble bygd med tanke på den sikkerheten som er nødvendig for en så samfunnskritisk kommunikasjonstjeneste.

Fordi SMS-meldinger ikke inneholder noe særlig informasjon utover innholdet, hvilket nummer den skal til, den kom fra og hvilket nummer den vistnok skal være sendt fra, så klarer ikke Telenor og Netcom å spore avsenderen utover hvilken innholdsleverandør meldingen ble sendt fra.

Til toppen