Det är lätt att sätta sitt kvällste i vrångstrupen när man plötsligt börjar ta emot skumma mejl – från sig själv. Många svenskar har nyligen sett det ske i den våg av utpressningsmejl som författats av "porrbedragarna" under hösten. Såväl avsändarnamn som adress förefaller vid en första anblick vara äkta, och då är det lätt att kasta sig över sina säkerhetsinställningar i mejlklienten för att byta lösenord.

I de flesta fall har mejlen dock skickats någon helt annanstans ifrån, via tredjepartsmjukvara som finns helt gratis på nätet, fri för alla att ladda ned. Att anta en falsk identitet och börja skicka skadliga mejl (eller ringa bedrägerisamtal) är varken svårt eller kostsamt – fenomenet kallas spoofing och når ständigt nya tekniska milstolpar.

– I takt med att vi blir bättre på att identifiera spam, nätfiske och annat i våra mejlkorgar behöver bedragarna vässa sina metoder för att vi ska fortsätta nappa på deras beten.

Det säger säkerhetsexperten Karl Emil Nikka, som vi ringde upp för att få veta mer om fenomenet av ett speciellt skäl: Det skumma tisdagsmejlet, som skickats från ett av våra konton, hade även hamnat i vår egen utkorg – samt hos ett australiensiskt vårdföretag inriktat på hematologi. En van e-postanvändare kan ofta avfärda "självskickad" e-post som spoofing genom att ta en titt i utkorgen. Finns inte mejlet där så kommer det inte från ditt konto.

Nu fanns det. Panik. Var byter man lösenord?

Tillbaka-kakan som landade snett

En snabb säkerhetskoll visar dock att inga skumma enheter varit anslutna till vårt Gmail-konto, tvåstegsverifieringen fungerar och lösenordet är intakt. Då drar vi oss till minne det debacle som inträffade i april i år, när mängder av Gmail-användare ofrivilligt började spamma sig själva. De upptäckte också spam-mejlen i sina utkorgar. Google var snabbt ute med en luddig förklaring till problemet och meddelade att det snart skulle vara åtgärdat. 

Karl Emil Nikka
Foto: Ulf EdvinssonSäkerhetsexperten Karl Emil Nikka är högst bekymrad över säkerhetsläget för e-posten 2018.

– Per definition rörde det sig inte om en säkerhetsbrist i Gmail, utan om en bugg som felaktigt placerade studsade mejl i användares skickat-mapp trots att de inte skrivit något själva. Att du drabbats kan tyda på att det fortfarande kan finnas svagheter i Gmails klassificeringssystem för studsade mejl, säger Karl Emil Nikka.

Ett mejl kan studsa av en mängd olika anledningar. En av dem är att mottagarens e-postserver identifierat utskicket som spam, varpå det oftast slängs eller placeras i skräpkorgen. Här hamnade det i stället i vår egen utkorg.

– Inget du behöver vara orolig för, men det är tråkigt att fenomenet fortfarande verkar förekomma.

Spoofing är ett av e-postsäkerhetens mest grundläggande problem, och något som leverantörerna kämpat med i åratal, får vi förklarat för oss. Tekniken Dmarc har seglat upp som det främsta alternativet för att autentisera avsändare av e-post. I en perfekt värld görs en Dmarc-kontroll hos såväl avsändarens som mottagarens e-postserver, och på så sätt kan denna typ av spam-utskick förhindras.

– Men många e-postservrar är gamla, vissa har hunnit fylla 30 år. Det finns därmed ett stort problem med bakåtkompatibilitet. Stora tjänster som Outlook.com och Gmail stödjer dock Dmarc.

"E-posten som den ser ut i dag har ingen framtid"

Om det nu är så enkelt att fejka en avsändaradress och dessutom förse både sändare och mottagare med skadliga spam-mejl – vad säger det egentligen om e-postens säkerhetsstatus 2018?

– Det är riktigt illa. E-posten som den ser ut i dag har ingen framtid enligt mig. Spoofing är bara ett av problemen – ett annat är att delar av e-postkedjan är öppen för spionerande ögon om du inte kör krypterat. Det är svårt för avsändaren att veta vilka som egentligen läser ett mejl på vägen från sändare till mottagare.

– Ytterligare ett problem är de bredbandsoperatörer som erbjuder kunderna sin egen e-postlösning. Där har jag sett att det slarvats ordentligt med säkerheten på sina håll, bland annat med okrypterade inloggningar.

Karl Emil Nikka menar att inte alla svenska internetleverantörer är syndabockar på den här fronten. 

Whatsapp
Krypterade meddelandetjänster som Whatsapp och Signal har tagit över mycket av den traditionella korrespondensen.

Han ser positivt på det faktum att krypterade meddelandeappar och samarbetstjänster tar över allt mer av den korrespondens som traditionellt sett sker per e-post. I framtiden tror han att mejlkorgen glider in i en ny roll som notifikationstjänst kopplad till e-handelssajter och myndighetstjänster som Kivra och Skatteverket. Användaren ska inte uppmanas att klicka på några länkar, utan får själv öppna en ny flik i webbläsaren och gå in på den sajt som säger sig ha ny information att förmedla.

– Mejlkonton är för svåra att hålla säkra, och är i dag våra kanske mest säkerhetskritiska konton med alla kopplade inloggningar, återställningsmejl och så vidare. Om någon faktiskt lyckas ta över din e-post i dag är det schack matt. Du har förlorat.