Ny Posten-svindel:

Enda vanskeligere å avsløre

Denne gangen stemmer nemlig avsenderadressa.

STEMMER: Denne Posten-svindelen er ikke helt som de andre, for her stemmer avsenderadressen med den Posten pleier å bruke når de sender ut informasjon om pakkesporing. Skjermbilde: Pål Joakim Pollen
STEMMER: Denne Posten-svindelen er ikke helt som de andre, for her stemmer avsenderadressen med den Posten pleier å bruke når de sender ut informasjon om pakkesporing. Skjermbilde: Pål Joakim Pollen Vis mer
Publisert
Sist oppdatert

Mange opplever nærmest daglig å få e-poster fra svindlere som utgir seg for å være noen andre enn de er.

Og, det er slett ikke første gang det dumper inn en e-post fra «Posten» i innboksen vår, med melding om at vi har en uavhentet pakke.

Denne gangen er det imidlertid én ekstra grunn til å heve øyenbrynet.

Innholdet i e-posten ser du i boksen over. I tråd med trenden vi har sett de siste årene er språket ganske godt, bortsett fra stor bokstav på hvert ord på den røde knappen og en feil bøying av verbet å bli i siste setning.

Norske oversettere:

Gyldig e-postadresse

Vanligvis kan du nemlig avsløre svindlerne basert på e-postadressen det er sendt fra.

Riktignok kaller de seg ofte (i dette tilfellet) Posten eller Posten.no, men om du klikker på avsendernavnet, finner du som regel ut at e-postadressen ikke inneholder @posten.no, men noe helt annet - og da bør varsellampene for alvor lyse.

UTPRESSINGSMAIL: Dette må du gjøre om du får svindelmailen. Reporter: Elias Kr. Zahl-Pettersen Vis mer

Denne gangen er imidlertid avsenderadressen no_reply@posten.no, som harmonerer med adressen som brukes når Posten sender ut legitime e-poster.

Og dette er faktisk noe Posten har mulighet til å forhindre.

Mangler «DMARC policy»

Når vi slår opp posten.no på Valimail, ser vi nemlig at selskapet ikke har angitt en såkalt DMARC Policy på e-postserverne sine.

Postens DMARC-oppsett angir p=none, som betyr at domenet er åpent for svindlere som vil forfalske en @posten.no-epostadresse. Skjermbilde: Pål Joakim Pollen
Postens DMARC-oppsett angir p=none, som betyr at domenet er åpent for svindlere som vil forfalske en @posten.no-epostadresse. Skjermbilde: Pål Joakim Pollen Vis mer

Kort fortalt gjør en slik policy at ikke-legitime e-poster fra det aktuelle domenet slettes eller sendes direkte til søppelpost-mappa, noe de fleste e-posttjenester støtter. Ved å ha en slik satt opp kan kan Posten med andre ord forhindre at uvedkommende bruker avsenderadresse som slutter på @posten.no i e-poster som ikke kommer fra Posten selv.

En sjekk på andre ofte utsatte aktører, som Netflix og Skatteetaten, viser at begge disse har en slik policy satt opp. Da får ikke uvedkommende lurt e-postservere med en falsk adresse, og det blir derfor lettere for mottakeren å avsløre at e-posten ikke er legitim.

Oppdatert:
Til Dinside forteller pressesjef i Posten Norge, Kenneth Pettersen, at Posten tar sikkerhet og nettsvindel på stort alvor.

– Vi har et eget fagmiljø som løpende jobber med IT-sikkerhet, vi har etablert tekniske sikringstiltak, egne nettsider med fakta om nettsvindel og tips og råd til kundene og vi informerer i flere ulike kanaler om dette, skriver Pettersen i en e-post, og fortsetter:

– Posten har i flere år implementert såkalt SPF og DMARC, som gjør at mottakers e-postsystemer kan sjekke om e-post kommer fra en godkjent avsender. I SPF har vi en liste over godkjente avsendere for posten.no-adresser, og det er en policy med anbefaling om at mottakers e-postsystem bør forkaste e-post som ikke kommer fra disse avsenderne.

– DMARC er et tillegg, og benytter seg av godkjentlisten til SPF. DMARC-policyen som artikkelen henviser til, er en tilsvarende anbefaling som vi har i SPF om hvordan mottakers e-postsystem skal håndtere e-post fra en ikke-godkjent avsender. Den kan konfigureres på ulikt vis. Posten vurderer om denne skal settes opp annerledes for å gi ytterligere veiledning til mottakere for å redusere svindel. Det vil etableres i løpet av kort tid.

– Posten eller andre virksomheter har dessverre ikke mulighet for å stanse forfalskning av e-post, men vi kan sette opp systemer som gjør det lettere å sjekke om e-posten er falsk eller ikke. Det har vi hatt etablert siden 2016. Det er opp til mottaker å sette opp e-postsystemene på en slik måte at de nødvendige sjekker gjøres og håndtere e-posten deretter. Hvis mottaker gjør det, er det et sterkt verktøy for å redusere forfalskede e-post i brukernes innbokser.

Peker ikke til Posten

Heldigvis kan du fortsatt ta svindlerne på det mest åpenbare - lenka du blir bedt om å trykke på peker nemlig ikke til en nettside hos posten.no, men til en helt annen side.

Enda vanskeligere å avsløre

Det kan du avsløre ved å holde muspekeren over den om du bruker PC, eller som regel holde fingeren inne på lenka om du bruker mobil.

Velger du å trykke deg videre, kommer du til en nettside som tilsynelatende er lik Postens nettsider:

Enda vanskeligere å avsløre

Vi lot være å fylle ut feltene og trykke fortsett (bare det å gi fra seg telefonnummer og e-postadresse kan jo fort være grobunn for mer svindel), men brått må du inn med kredittkortnummeret ditt på neste side for å betale «frakten» på 49 kroner.

Og biter du på der, har du nettopp gitt fra deg alt de kriminelle trenger for å misbruke kortet ditt videre, eller hele veien til identitetstyveri om du er riktig uheldig.

På populærspråket kalles dette phishing, eller nettfiske på norsk.

Oppdatert 21. april: Posten har nå endret sitt DMARC-oppsett til p=reject, som vil være et hinder for fremtidige svindel-eposter som utgir seg for å være fra en @posten.no-epostadresse.

Vi bryr oss om ditt personvern

dinside er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Les mer