Spoofing

– Latterlig enkelt å sette opp et spoofing-angrep

Det er for enkelt å opprette helt lovlige spoofing-tjenester, sier IT-sikkerhetsselskapet Dubex.

Spoofing gjør det latterlig enkelt å drive direktørsvindel, mener det danske sikkerhetsselskapet.
Spoofing gjør det latterlig enkelt å drive direktørsvindel, mener det danske sikkerhetsselskapet. (Foto: Colourbox)

Det er for enkelt å opprette helt lovlige spoofing-tjenester, sier IT-sikkerhetsselskapet Dubex.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 235,- i måneden.
Bli Ekstra-abonnent »

Etter noen e-poster og en telefonsamtale har den danske sikkerhetskonsulenten Keld Norman klart å kjøpe tilgang til et ferdig oppsett som lar ham endre avsendernummer på samtaler og tekstmeldinger. Han har rett og slett laget sin egen spoofing-tjeneste.

– Ingen kan stole på avsendernummeret vi ser på mobilene våre. Verken når det er moren, legen, bankrådgiveren eller sjefen som ringer eller skriver, sa Torben Rune, som er telekonsulent for de danske teleselskapene til Version2, da vi beskrev hvordan flere online-tjenester lot alle lure telefonsystemet.

– Vi har bare begynt å bruke vår egen spoofing-tjeneste, og alle vi prøver det, går fem på. Folk stoler på tekstmeldinger og samtaler. De forventer ikke denne typen angrep, sier Jacob Herbst, teknisk sjef i Dubex, der falske tjenester er inkludert i selskapets penetrasjonstester.

Foreløpig har Norman laget sitt helt eget oppsett, der han har full  kontroll.

Spoofing

Telefonsystemet er strukturert slik at alle teletilbydere kan endre avsendernummer når kundene tekster og ringer.

Dette betyr at teleselskaper som er villige til det, kan overlate til kundene hvem de vil operere som, i praksis hvem som helst.

I tillegg til å være et kjent tulleverktøy, åpner spoofing for manipulasjon og svindel.
Kilde: Torben Rune, telekonsulent

– Hvis du bruker en av de eksisterende tjenestene på nettet, lar du alt passere gjennom serverne deres. Dette betyr at når jeg prøver å hacke en kunde som pen-tester, vil disse selskapene få den kunnskapen, og det fungerer ikke, sier Keld Norman.

Derfor kontaktet han det danske selskapet Cpsms, som har kontor i København. Selskapet skriver på nettstedet sitt at API-en er rettet mot selskaper som ønsker å sende ut markedsførings-SMS-er. Etter en kort e-postkorrespondanse og en telefonsamtale oppretter Cpsms ham som kunde.

– CPSMS har et Python-basert API designet for å bare laste ned og integrere, og det er ikke vanskelig, sier Keld Norman.

Les også

Altfor lett å lage og bruke

Det er nettopp en av grunnene til at Dubex opprinnelig startet prosjektet.

– Vi har delvis laget denne løsningen for å kunne tilby våre kunder å teste motstanden mot denne typen angrep når vi pen-tester, men også for å kunne vise hvor lett det er og forhåpentligvis øke folks oppmerksomhet på dette, sier Jacob Herbst.
Keld Norman sier at nå som han vet hvordan man gjør det, tar det én time å sette opp en ny tjeneste.

– Jeg bruker til og med lang tid på å sikre løsningen. En angriper kan være relativt likegyldig til det, sier Keld Norman, som beskriver spoofing-tjenesten som «et åpenbart verktøy». Som sjefen til Keld uttrykker Jacob Herbst det slik:

– Hvis vi kan få til vår egen spoofing-tjeneste med relativt liten innsats, kan kriminelle sannsynligvis gjøre det samme. De virkelig dyktige som statshackere og så videre kan definitivt få det til, fortsetter han.

– Hei, dette er sjefen, jeg vil bare si at …

En av de mest åpenbare måtene å bruke spoofing i et generelt hackeroppsett er å ringe selskapet fra et ansattnummer.

Begrenset innsats mot spoofing

Spoofing er et mer enn 14 år gammelt fenomen. Likevel er innsatsen mot det relativt begrenset.

Det er laget løsninger mot spoofing som fungere, for eksempel denne og denne.

Løsningene har imidlertid aldri blitt implementert fullt ut, og det krever en kombinasjon av flere løsninger for å stoppe fenomenet.

– Jeg gjorde dette for å kunne ringe, si at jeg er sjefen, og at det er noen teknikere som kommer for å bli låst inn. Og deretter sende en SMS. Det er ganske troverdig, sier Keld Norman, som bekrefter at det fungerer altfor bra.

I tillegg til de alvorlige datainnbruddene, kan man gjøre mye uskyldig moro med kontroll over avsendernummeret.

– Jeg brukte også tjenesten til å sende ut en melding til kollegaer fra direktøren vår om at det nå var over med timeregistrering for alltid. De fleste visste at det dessverre ikke var sant, ler Keld Norman.

Denne saken ble først publisert på Version2

Les også

Kommentarer (1)

Kommentarer (1)
Til toppen