<B>LURING UTEN GRENSER: </b>I Dinsides test av LureSMS.com fikk vi sendt alle disse meldingene uten problemer. Her utga vi oss for å være både politiet, DNB og NAV, og ba mottakeren følge lenker for å logge seg inn, slik klassisk phishing gjør. Foto: OLE PETTER BAUGERØD STOKKE
LURING UTEN GRENSER: I Dinsides test av LureSMS.com fikk vi sendt alle disse meldingene uten problemer. Her utga vi oss for å være både politiet, DNB og NAV, og ba mottakeren følge lenker for å logge seg inn, slik klassisk phishing gjør. Foto: OLE PETTER BAUGERØD STOKKEVis mer

LureSMS.com kan være ulovlig

Tilbyr tekstmeldinger med falsk avsender uten å kjenne reglene.

I kjølvannet av at utenlandske Microsoft-svindlere ringer fra falske norske nummer, har Dinside selv sjekka hvor enkelt det er å forfalske identiteten vår på telefon, e-post og SMS.

Konklusjonen: Skremmende enkelt. Nettjenester lot oss sende e-poster med falske avsendere, ringe fra vår egen mobil men med andres telefonnumre og skrive tekstmeldinger hvor vi kunne kalle oss nærmest hva vi ville, for eksempel «DNB».

Sistnevnte var attpåtil en norsk tjeneste, LureSMS.com, som altså tilbyr det som ofte kalles spoofing for én krone per melding, pluss månedlig avgift.

Men å både bruke og tilby spoofing-tjenester i Norge kan være ulovlig.

LES OGSÅ: Slik gikk det da vi forfalsket e-poster, tekstmeldinger og telefonnumre

Slik er lovverket

Folk skal ha tillit til det norske mobilnettet. Om det står at telefonnummeret 40550999 ringer, så skal det være han som eier dette nummeret som faktisk ringer. Ikke en Microsoft-svindler, for eksempel.

Nummervisning, både for inkommende samtaler og tekstmeldinger, har derfor vern fra diverse hold.

  • Ekomloven: Kapittel syv forbyr spoofing. Det står blant annet at «nummer, nummerserier, navn og adresser kan ikke tas i bruk uten at det foreligger tillatelse fra myndigheten».
  • Ekomforskriften: Kapittel seks gjør det klart at operatører skal stanse spoofing. Operatøren skal «sperre for anrop hvor anropende sluttbruker ikke har bruksrett til A-nummeret», så langt dette er praktisk mulig og økonomisk forsvarlig.
  • Retningslinjer for nummervisning: Disse retningslinjene skal sørge for at telefonnummeret du ser på telefonen faktisk identifiserer hvem som ringer. Samme gjelder SMS-er som bare viser avsendernavn.
LES OGSÅ: Microsoft-svindlerne misbrukte telefonnummeret til Hans Christian

ENKELT: Å sende de falske tekstmeldingene er enkelt og raskt, med en avsender du velger helt selv. Ifølge LureSMS.com leser de alle meldinger for å unngå svindel, men våre meldinger har ikke fått noen konsekvenser. Etter Dinsides intervju har de riktignok sperret «DNB» som avsender. Foto: OLE PETTER BAUGERØD STOKKE Vis mer


Gjelder ikke deg

- Det er altså ikke bare å ta i bruk eller tilby ekom-adresser som man ikke har bruksrett til, skriver seniorrådgiver Johannes M. Vallesverd i Nasjonal kommunikasjonsmyndighet (Nkom) til Dinside.

SKEPTISK: Seniorrådgiver Johannes M. Vallesverd i Nkom mener det kan være ulovlig å tilby spoofing, av både SMS-er og samtaler. Foto: NKOM Vis mer


Enklere sagt: Å hevde at man er noen man ikke er i det norske mobilnettet er ikke greit. Men lovene vi snakker om her regulerer telebransjen, ikke deg og meg. Vi reguleres av andre lover.

- Bruken og tilbud av spoofing-tjenester vil også kunne ha en side mot straffeloven, markedsføringsloven og personopplysningsloven, men her er ikke Nkom fagmyndighet, forteller Vallesverd.

Dette kan bli aktuelt om du for eksempel utgir deg for å være en konkret person du ikke er, altså et ID-tyveri. Eller bruker tjenestene til trusler eller svindel. Med andre ord; gjør noe du blir anmeldt for.

LES OGSÅ: Nå ringer Microsoft-svindlerne fra 112, hvem kan stanse dem?

Ikke nytt fenomen

Vallesverd i Nkom blir overraska når Dinside forteller han at den ene tjenesten vi brukte i vår spoofing-test, LureSMS.com, er norsk. Det burde han ikke bli. Slike tjenester har blitt omtalt i mange år.

Burde tjenester som LureSMS.com være lovlige?

(Avsluttet)
Nei(84%) 1332
Ja(16%) 259
Avstvemningen er ikke styrt og reflekterer kun lesernes egne meninger.


Blant annet PunkSMS.no, som lot brukerne skrive inn valgfritt nummer som avsender, og ble lagt ned etter bråk med operatørene. Domenet viser nå videre til LureSMS.com, som nekter å ha noe med den gamle tjenesten å gjøre.

- PunkSMS lot jo folk sende meldinger fra telefonnumre og alt mulig, mens vår tjeneste er ganske kontrollert, sier daglig leder Magne Nygaard i LureSMS.com til Dinside.

LureSMS lar brukerne skrive inn et valgfritt navn som dukker opp på mobilen til den meldinga skrives til, ikke telefonnumre. Enkelte navn som «politiet» er sperret, mens Dinside fikk sendt meldinger fra både NAV og DNB uten problemer.

Nygaard hevder videre at alle meldinger blir lest av dem, og at åpenbare svindelforsøk skal tas tak i, ved at mottakeren blir kontakta i etterkant. Igjen: I vår test sendte vi utelukkende meldinger som likna svindel, uten at LureSMS har tatt kontakt for å advare om dem.

LES OGSÅ: Slik ble norske Finn-selgere lurt av falsk SMS

SLIK MERKES MELDINGENE: LureSMS.com mener de merker meldingene godt nok, med lenka du ser helt i slutten av meldinga. Tidligere viste denne til en blank nettside med en lenke videre til LureSMS.com. Etter vårt intervju viser nå lenka rett til tjenesten. Foto: OLE PETTER BAUGERØD STOKKE Vis mer


Nekter for misbruk

- Bransjenormen for nummervisning sier blant annet: «For de tilfeller hvor en SMS-avsender identifiseres uten nummer, bare med navn, så skal det fremgå av navnet informasjon som identifiserer avsender». Er ikke da hele poenget med deres tjeneste et klart brudd på dette?

- Det kan du si, men vi har ikke lest akkurat det du viser til, så det får jeg ta en kikk på, svarer Nygaard, som mener de har vært i kontakt med både operatører og Nkom for å være på den riktige sida av lovverket.

- Meldingene får «(wm.no)» i slutten, som viser til en side med en lenke som igjen viser videre til LureSMS.com. Synes dere dette gjør det tydelig at det er snakk om en falsk melding?


- Det er jo meninga at det skal være en lure-SMS, også. Men har meldinga en karakter som gjør at man veldig gjerne vil vite mer, så trykker man seg fram og ser at det er en lure-SMS. Om man fortsatt ikke tar det som en spøk, kan man kontakte oss, så ordner vi opp.

- Synes du tjenesten din åpner for misbruk?

- Nei, egentlig ikke. Jeg mener vi har en forsvarlig moderering av det som blir sendt, og de nødvendige varslingsprosedyrer, svarer luresjefen, som kaller tilbudet «en humortjeneste».

LES OGSÅ: Skremmende enkelt å overvåke hva du gjør på PC-en, dingsen selges i butikk!

Skal undersøke saken


LureSMS.com, som også har vurdert å la deg ringe med falsk avsender, lover nå å lese seg opp på regelverket. Og Nkom lover å lese seg opp på hva LureSMS driver med, for å finne ut om de faktisk følger dette regelverket.

- Generelt kan vi si at der det foreligger mistanker om brudd på ekomregelverket, vil vi ta kontakt med den virksomhet det gjelder og be om opplysninger. Så vil vi vurdere saken i lys av rettsgrunnlaget, og eventuelt ilegge sanksjoner, forteller Vallesverd i Nkom til Dinside.

De jobber også videre med operatørene for å sjekke om de gjør det de kan for å hindre spoofing. Både fra Microsoft-svindlere og andre. Snart skal Nkom dessuten i et møte med ni andre europeiske land og diskutere problemet – som i aller høyeste grad er globalt.

LES OGSÅ: Hva er det egentlig Microsoft-svindlerne vil? Vi snakka med dem selv