Anti-phishing by design: Hvorfor vi aldri sender lenker
Anti-phishing by design: Hvorfor vi aldri sender lenker
Hver phishing-kampanje bygger på samme premiss: mottakeren klikker på en lenke. Fjern lenken, og du fjerner angrepsvektoren.
Det høres enkelt ut — fordi det er enkelt. Men nesten alle digitale tjenester sender lenker: «Klikk her for å lese dokumentet», «Åpne vedtaket ditt her», «Bekreft identiteten din via denne lenken».
Spørsmålet er om det finnes et alternativ som gir samme funksjonalitet uten å introdusere phishing-risiko.
Problemet med lenker
En lenke i en e-post eller SMS er en instruksjon: «Gå til denne adressen.» Brukeren må stole på at adressen er ekte — men har begrenset mulighet til å verifisere det.
URL-er kan maskeres. Domener kan ligne originalen (nav.no vs. nav-login.no). SSL-sertifikater gir grønn lås også for svindelnettsider. Og avsenderadresser kan forfalskes.
Selv teknisk kompetente brukere kan lures. For eldre, personer med nedsatt kognitiv funksjon, eller mennesker som ikke er vant med digital kommunikasjon, er sjansen for å avsløre et falskt nettsted minimal.
Policy vs. design
Tradisjonell phishing-bekjempelse er policy-basert: opplæring av ansatte, informasjonskampanjer til innbyggere, advarsler i e-postklienter. Alt dette er nyttig — men det legger ansvaret på brukeren.
Design-basert phishing-bekjempelse snur logikken: i stedet for å be brukeren om å gjenkjenne falske lenker, fjernes lenker fra kommunikasjonsmodellen helt. Ansvaret flyttes fra bruker til system.
Det er forskjellen mellom å si «ikke åpne mistenkelige dører» og å bygge en bygning uten dører som kan åpnes utenfra.
Kode-basert tilgang: Modellen uten lenker
I en kode-basert modell fungerer flyten slik:
Avsender laster opp et dokument. Tjenesten genererer en unik kode. Avsender gir koden til mottaker verbalt — i samtale, ved oppmøte, eller via telefon. Mottaker navigerer selv til tjenestens nettside og taster inn koden. Dokumentet dekrypteres i nettleseren.
Det sendes ingen e-post med lenke. Ingen SMS med klikkbar URL. Ingen push-varsling med «åpne her». Mottaker navigerer selv — aktivt, bevisst, til en adresse de kjenner.
Hvorfor dette eliminerer phishing
Phishing krever at angriperen kan etterligne avsenderen. Med lenker er det enkelt: kopier formatet, endre URL-en, og send.
Med en kode-basert modell mangler angriperen angrepsvektoren. De kan ikke sende en falsk lenke — fordi det aldri sendes lenker. De kan ikke lage en falsk e-post — fordi det aldri sendes e-post. De kan ikke imitere en SMS — fordi det aldri sendes SMS med innhold.
Det eneste angriperen kan gjøre er å forfalske selve nettsiden og håpe at mottaker navigerer dit i stedet for til den ekte. Men uten en lenke som dirigerer mottaker dit, er sannsynligheten for at det skjer, minimal.
Risikovurderingsplikten støtter dette
Digitalsikkerhetsloven §§ 7 og 10 krever at virksomheter gjennomfører risikovurderinger og iverksetter proporsjonale sikkerhetstiltak. Ekomloven § 3-1 krever forsvarlig sikkerhet i elektronisk kommunikasjon.
En risikovurdering som adresserer phishing-risiko og konkluderer med at lenkeløs kommunikasjon er et proporsjonalt tiltak, er juridisk solid. Det er et «egnet tiltak» etter GDPR artikkel 32.
Begrensninger
Modellen krever at avsender har kontakt med mottaker — for å overlevere koden. For masseutsendelser (nyhetsbrev, generell informasjon) er den upraktisk.
Men for sensitive dokumenter — vedtak, helseopplysninger, barnevernsdokumenter, vergemålsdokumenter — er kontakt mellom avsender og mottaker normalen. Saksbehandleren kjenner brukeren. Vergen kjenner vergehaveren. Legen kjenner pasienten.
For disse bruksområdene er kode-basert tilgang ikke en begrensning — det er en styrke. Det forutsetter menneskelig kontakt, som er nettopp det forvaltningsloven § 11 d (rett til muntlig kontakt) og vergemålsloven § 33 (høringsplikt) krever.
Rettskilder brukt i denne artikkelen
- Digitalsikkerhetsloven §§ 7, 10
- Ekomloven §§ 2-4, 3-1
- GDPR art. 32
- Forvaltningsloven § 11 d
- Vergemålsloven § 33
Relaterte artikler
- Phishing og offentlig kommunikasjon — hvorfor lenker i e-post er et sikkerhetsproblem
- Zero-knowledge-arkitektur
- Sikker dokumentoverføring uten BankID
- Hvorfor du ikke bør sende sensitive dokumenter per e-post
Håkon Haugen er praktiserende verge og grunnlegger av envei.no — en tjeneste som aldri sender lenker.
Håkon Haugen
Praktiserende verge og grunnlegger av envei.no
Trenger du å sende dokumenter sikkert?
Prøv envei gratis →