Guldspaden Nominerad 2021

Bluffmejlen

Tillbaka
Nominerad till Guldspaden 2021 i kategorin Etermedia riks nyhet Se bidrag: Bidrag (.zip, 21 MB) Kategori Etermedia riks nyhet Nominerade Sven Carlsson Sascha Granberg Publiceringsdatum 2021-12-09 Var publicerades jobbet? Som nyhetsinslag i Ekot.

BESKRIV KORTFATTAT VAD GRÄVET AVSLÖJAT

Ekot har visat att det på grund av en säkerhetsbrist hos Regeringskansliet går att skicka mejl som ser ut att komma ifrån Regeringskansliets riktiga mejladresser. Därför kunde vi skicka ett mejl till Försvarets radioanstalt som såg ut att komma från försvarsministerns riktiga mejladress. Vi har även avslöjat att SEB, som enda storbank, saknar det grundläggande skydd mot bluffmejl som möjliggör den här typen av bedrägerier. Detta trots att SEB vid flera tillfällen varnat allmänheten för bluffmejl som påstås komma från banken. Vi har även visat att flera myndigheter och organisationer varnat allmänheten för faran med bluffmejl, trots att de själva saknar detta grundläggande skydd, ett säkerhetsprotokoll som kallas för DMARC. Vi rapporterade även att Sveriges Radio saknade skyddet.

PÅ VILKET SÄTT ANSER DU ATT GRÄVET UPPFYLLER KRITERIERNA FÖR EN GULDSPADE?

Bluffmejl och bluff-sms är enligt flera sakkunniga en allt vanligare metod som bedragare använder för att genomföra allt från identitetsstölder till att plantera utpressningsvirus. Hur man som privatperson skyddar sig är något som både myndigheter och företag ofta upplyser allmänheten om. Men hur ser deras egen beredskap ut? Det var sedan tidigare känt att en klar majoritet av svenska .se-domäner saknar detta grundläggandet skydd mot bluffmejl – samtidigt uppger experter att ”vd-bedrägerier”, ”leverantörsbedrägerier” och ransomware-attacker ökar. Vi undersökte frågan genom att bland annat bygga egna verktyg för att ta reda på vilka säkerhetsprotokoll olika domäner använder. Därmed kunde vi se vilka domäner som var relevanta för oss att undersöka. Vi skapade också flera mejlservrar och konfigurerade dom på ett sätt som gjorde det möjligt för oss att skicka epost som såg ut att komma från utvalda domäner. På det sättet kunde vi visa att det var möjligt för oss att utge oss för att mejla som Sveriges försvarsminister. Att göra det var ett sätt att visa vad avsaknaden av detta skydd (säkerhetsprotokollet DMARC) kan få för konsekvenser. Vi lyckades skicka mejl som såg ut att komma från försvarsministerns riktiga mejladress och nå fram inte bara till adresser vi själva kontrollerar, utan även ett flertal experter på it-säkerhet och till och med Försvarets radioanstalt (FRA). Vi visade även att ett flertal av de myndigheter, företag och organisationer som har uppmanat allmänheten att skydda sig om de skulle motta misstänkta mejl, själva saknar detta grundläggande skydd. Efter vår rapportering har Bolagsverket, som när vi publicerade våra inslag saknade skyddet, aktiverat det.

HUR UPPSTOD URSPRUNGSIDÉN TILL PROJEKTET?

De flesta har mottagit bluffmejl från någon som utger sig för att vara en legitim avsändare. Vi har också mottagit massvis med tips om hur man som mottagare skyddar sig. Vi ville istället granska hur domänägarna själva skyddar sig. Använder viktiga svenska myndighetsdomäner de kostnadsfria, grundläggande skydd som finns? Genom att skicka bluffmejl som såg ut att komma från Peter Hultqvists riktiga mejladress, bland annat till FRA, kunde vi själva belysa riskerna i praktiken.

VILKA ARBETSMETODER TILLÄMPADES?

Vi byggde vårt eget verktyg i Python för att hämta och verifiera en domäns DNS-poster. Det här verktyget använde vi för att ta reda på vilka säkerhetsprotokoll som används, och vilka som inte används. Vi skapade flera mejlservrar och konfigurerade dom på ett sätt som gjorde det möjligt för oss att spoofa domäner. Vi byggde också flertalet scrapers i Python för att hitta och extrahera relevanta domäner för oss att undersöka. Utöver det så designade vi och utförde ett experiment för att undersöka hur de olika säkerhetsprotokollen påverkade sannolikheten för att ett bluffmejl skulle nå en mottagares inkorg.

VILKA KÄLLOR ANVÄNDES?

Domäners publika DNS, resultatet från våra experiment och expertintervjuer. Även andra typer av källor användes också.

VILKA PROBLEM UPPSTOD?

Projektet rymde ett huvudsakligt problem: att tekniskt förstå hur säkerhetsprotokoll för mejl fungerar. Vi löste detta genom egna tester. Vi skickade hundratals fejkade mejl till adresser vi själva kontrollerade och drog sedan slutsatser kring allt från effekterna av att skicka många mejl på en gång, hur användningen av molntjänster kunde påverka utfallet och hur mottagarnas egna mejlservrar bidrog till att antingen stoppa mejlet, skicka det till spamkorgen eller släppa igenom det till inkorgen. Därefter mejlade vi först oss själva och sedan en rad it-säkerhetsexperter från vad som såg ut att vara försvarsminister Peter Hultqvists riktiga mejladress. Samtliga fick veta att mejlet egentligen kom från oss. Vi försökte även att skicka samma bluffmejl till Myndigheten för samhällsskydd och beredskap under pågående intervju, men det mejlet gick inte fram. Vi mejlade även Försvarets radioanstalt (FRA). Myndigheten bekräftade då att mejlet gick fram och informerades också om att mejlet kom från oss. Vi fångade samtalet på band. I vår rapportering var vi tydliga med att bluffmejlen inte alltid kom fram. Efter inslaget om försvarsministerns mejladress gick vi vidare och rapporterade att vi kunde visa att SEB, som enda storbank, saknar det grundläggande säkerhetsprotokollet DMARC. Vi rapporterade även om att hälften av de myndigheter och organisationer som varnat allmänheten för bluffmejl i en rikstäckande informationskampanj, själva saknade detta grundläggande skydd på sina egna domäner.

VAD ANSER DU VIKTIGAST?

Allra viktigast är följande tre nyhetsinslag: Ekot kunde mejla som försvarsministern https://sverigesradio.se/artikel/ekot-kunde-mejla-som-forsvarsministern Storbank saknar ett av grundskydden mot bluffmejl https://sverigesradio.se/artikel/storbank-saknar-grundskydd-mot-bluffmejl De varnade för bluffmejl – saknar själva grundskydd https://sverigesradio.se/artikel/de-varnade-for-bluffmejl-saknar-sjalva-grundskydd

HUR MYCKET TID SPENDERADE NI?

Uppskattningsvis omkring 200 arbetstimmar. Därutöver tillkom tid nedlagd av våra arbetsledare Lisa Helgesson och Pär Ivarsson.

VILKA REAKTIONER HAR ARBETET FÅTT?

Bolagsverket och Sveriges kommuner och regioner har uppgett att de planerar att införa säkerhetsprotokollet i början av 2022. I januari 2022 hade Bolagsverket, som när vi publicerade våra inslag saknade skyddet, aktiverat det. Det är dock oklart vilken koppling, om någon, detta har till vår granskning. Inom Regeringskansliet ser det ut att ha pågått flera diskussioner om bluffmejl i samband med vår publicering, men innehållet i dessa mejltrådar har sekretessbelagts. I februari 2022 hade Regeringskansliet inte åtgärdat bristen.

HAR PROJEKTET ANMÄLTS TILL MEDIEOMBUDSMANNEN, GRANSKNINGSNÄMNDEN ELLER ANNAN INSTANS?

Nej, inte såvitt vi vet.