Noen ønsker deg en kjip jul
Julen, julen, julen den er her. Det er også en klassiker innenfor nettsvindel: E-post som en pakke som vil bli returnert dersom du ikke raskt registrerer informasjon om deg.
Nettsvindeltypen kalles phishing. Svindlerne lurer deg til en nettside hvor du registrerer brukernavn, passord og kredittkortopplysninger. Sidene er ofte profesjonelt utformede kopier av sider til pakkedistributører.
– Slik blir god jul til sur jul hvert år. Folk senker guarden i julestress og glede over pakken, sier Hans-Petter Fjeld, informasjonssikkerhetsingeniør i IT-selskapet Basefarm.
– De fleste lar seg ikke lure. Svindlerne sender imidlertid ut så mange e-poster at noen med stor grad av sannsynlighet vil la seg lokke i fella.
Basefarm har hovedkontor i Norge, rundt 700 medarbeidere og er eid av det franske, børsnoterte selskapet Orange. Én av oppgavene til selskapet er å drive samfunnskritiske datasystemer for blant annet offentlige virksomheter, flyselskaper, helseforetak og finansbransjen.
IT-sikkerhet er helt sentralt i dette og Fjeld er en del av et team som holder oppsikt med trusselbildet døgnkontinuerlig året rundt, også på julaften. Teamet får kontinuerlig videresendt svindel-e-post til vurdering fra både kunder og egne kolleger.
– Vi skiller raskt reelle henvendelser fra svindelforsøk. Men, noen ganger er utformingen så god at det er lett å la seg lure. Når store datainnbrudd blir kartlagt, viser det seg ofte at elendigheten startet med phishing av brukernavn og passord fra en ansatt, sier Fjeld.
IT-sikkerhetseksperten får regelmessig spørsmål om hva som er siste påfunn på svindelfronten.
– Vi ser absolutt mye kreativitet på området og svindlerne utfolder seg på lekeplassen Internett utgjør. Realiteten er imidlertid at velkjente svindelmåter blir gjenbrukt i varierende grad. Popularitets-pendelen svinger. Nå for tiden er phishing én av fire nettrusler som er spesielt relevante å forholde seg til, sier han.
– Én annen er rettet mot direktører.
Preventive tiltak mot phishing er å sjekke om avsenderens e-postadresse er underlig og bruke «mouseover» på klikkbare lenker for å se etter ugler i mosen. Sikkerhetseksperten fraråder klikking på selv tilsynelatende korrekte lenker i e-poster og anbefaler heller å logge seg inn manuelt på nettstedene.
Skulle man likevel gå i fella, er det avgjørende å ha sikret seg godt på sidene hvor man faktisk er kunde og hvor det kan tenkes at svindlerne vil forsøke å logge seg på.
En viktig regel er å bruke ulike passord på ulike nettsteder. Passordbehandlere kan hjelpe med å lage og huske passord. Får svindlerne tak i ett passord, kan de da i verste fall komme seg inn på bare ett nettsted og ikke en mengde hvor du har samme brukernavn og passord.
Like viktig er å bruke multifaktorautentisering hvor som regel én sikkerhetsfaktor kommer i tillegg til brukernavn og passord.
– Mange profesjonelle nettsteder lar oss ikke få noe valg og tvinger oss til å bruke BankID eller MinID. Men, folk skipper det i større grad når de selv kan velge. Derfor blir for eksempel Dropbox-er og Google Disk-er tilgjengelig med brukernavn og passord. Du risikerer å angre bittert senere på slike valg.
Valgene kan åpne for ransomware – krypteringsangrep – som er den andre store trusselen på Basefarms liste.
– Her blir brukerne lurt til å slippe løs en kode som krypterer filer, altså alle mulige dokumenter som vi har lagret. De får så beskjed om å betale løsepenger for å få tilgang på en kode som kan låse opp dokumentene. Spørsmålet er om du faktisk få noen kode for pengene. Bedre og billigere er å beskytte seg.
Med lagring og synkronisering av filer i nettskyen, kan utpressingsforsøkene spre seg fra en maskin til en annen. Mange slike utpressingsforsøk pågår i det stille. Når konsekvensene kan være driftsstans, persondata på avveie og omdømmeskade, velger mange bedrifter å gå i dialog med utpresserne.
Andre har sikkerhetskopi- og gjenopprettelsesrutiner som faktisk virker. Det er lett å ta sikkerhetskopi, men mer arbeidskrevende å kvalitetssikre disse ved å prøve om kopiene lar seg gjenopprette. Derfor dropper mange dette.
– Pass på at angriperne ikke krypterer backupene også, sier Fjeld, klok av andres skade.
– Enkelte har bare én enkel harddisk tilkoblet som skaper en sårbar situasjon i forhold til overskrivning og kryptering.
Fjeld inngår også i Basefarms såkalte SIRT (Security Incident Respons Team) som rykker ut for å begrense skade som har oppstått.
Ingen bryr seg om backup, men alle vil ha restore
Favorittordtaket til sikkerhetsekspert Hans-Petter Fjell
Regelmessig og gjentagende opplæring er et viktig mottiltak mot sikkerhetstrusler. Også direktørene må på skolebenken. Den tredje trusseltypen Basefarm har på hovedlisten er nemlig direktør-svindel. Trusselen er innenfor «utrolig, men sant»-kategorien. Det kan være årsaken til at den faktisk virker.
– Vi har sett et eksempel hvor en avdelingsleder i et annet land blir oppringt av en leder høyt på strå og lurt til å overføre penger. Det man tror har skjedd, er at en angriper har brukt en datamaskin til å forvrenge sin egen stemme til noen andre sin. Med billige tjenester på nettet klarer man dessuten selv velge hvilket telefonnummer det ser ut som om du ringer fra. Når det er selveste sjefen sitt, er det lett å bli lurt.
Basefarm har mange flere trusler på listen, men den fjerde på trend-hovedlisten er «store, nye sårbarheter». Programvare er hele tiden under utvikling og vi mottar en strøm av oppdateringer.
– Noen ganger kan det være nesten irriterende med varsler om å oppdatere. Men, det er virkelig noe av det lureste du kan gjøre. Mange programmer inneholder sårbarheter som hackere og andre har oppdaget. Oppdateringene sperrer slike kjente sikkerhetshull. Installer dem med en gang de kommer, oppfordrer han.
Han anbefaler også at man går over til nye versjoner av programvare, gjerne den siste. Årsaken er at de som lager oppdateringer lever av å selge det nye og prioriterer derfor sikkerhetshulltetting i disse fremfor gamle versjoner.
– Vi ser at en del større foretak har låst seg inne med spesialløsninger som forutsetter versjoner av operativsystemer som kanskje er så mye som ti år gamle. Det er lenge i IT-verdenen og gjør virksomhetene utsatte.
Multifaktorautentisering. Slå det på. To av tre prinsipper må være på plass. Kjennskapsfaktoren med noe bare brukeren vet som for eksempel et passord, besittelse av sikkerhetskalkulator, SIM-kortleser eller dings (PC, mobil, nettbrett) for mottak av kode og iboende som øyet/iris eller fingeravtrykk.
Aldri samme passord. Passordbehandleren kan både lage og huske passordene. Dersom noen klarer å snappe passordet ditt, så kan de i verste fall bare klare å bryte seg inn ett sted.
Opplæring. Gi opplæring i trusselbildet inkludert gjenkjennelse av phishing:
Hvitlisting av applikasjoner. Avansert mottiltak hvor ingen andre dataprogrammer inkludert ransomware enn de på listen får lov til å kjøre. Listen utvides ved nye behov.
Oppdater programvare når oppdateringer kommer
Her er fire fire relevante trusler som neppe går av moten med det første:
Også i år kan den sureste juleoverraskelsen bli SMS- eller e-postmelding om pakkeforsendelse som fører til at du gir fra deg brukernavn, passord og kredittkortinformasjon som svindlere vil misbruke.
Allerede i oktober rant e-poster innover Norge som kan skape en riktig sur jul for de som går på limpinnen.