Slik unngår du å bli nett-svindlet
–Ville dere bestilt noe fra «dunjakke-no.com»? spør foredragsholder Lise Ringvold Kristoffersen de tjuetalls sikkerhetsekspertene som deltar på Security Divas nettverksmøte om Nettsvindel.
Hele salen ler. Nei, det ville ekspertene neppe gjort.
Men ville dine ansatte?
Kanskje. Kanskje fra jobbtelefonen til og med. Eller fulgt lenken til «Facebouk.com» og gitt fra seg passord.
Falske nettsider og Phishing er et sterkt økende problem, og svindlerne blir stadig mer avanserte.
I tillegg viskes grensene mellom privatliv og jobb ut, vi bruker jobb-enheter på hjemmenettverket og bestiller dunjakker fra jobb.
– Som leder er sikkerheten ditt ansvar, både teknisk sikkerhet og den interne sikkerhetskulturen, sier Trude Talberg-Furulund fra NorSIS, som er prosjektleder for både Security Divas og Nasjonal Sikkerhetsmåned.
– Det tekniske handler om sikre systemer, organisert enten internt eller gjennom leverandør. Sikkerhetskultur handler om at de ansatte har kompetanse til å ivareta virksomhetens verdier og sin digitale trygghet. For eksempel ved at dere er åpne om feil og trusler slik at dere kan lære av disse, sier hun.
Phishing – nettfiske
Phishing, på norsk også kalt nettfiske eller phiske, er en betegnelse på digital snoking eller «fisking» etter sensitiv informasjon, som passord eller kredittkortnummer. Uttrykket kommer fra engelsk fishing, der f-en er erstattet med «ph», som er vanlig hackersjargong.
«Direktør-svindel»
«Sunn fornuft» er fint, men kanskje ikke nok når svindlerne blir mer avanserte.
– En ansatt fikk en epost fra sjefen, sendt fra sjefens egen e-post, med instrukser om å overføre penger, forteller Talberg-Furulund.
Men siden e-posten ble avsluttet med et «Tusen takk», skjønte den ansatte det var svindel. Hennes sjef ville aldri sendt en så hyggelig e-post ...
– Det er en morsom historie. Men her hadde altså svindlerne kommet seg inn på lederens e-post og sendte derfra. Det er vanskelig å ikke gå på svindelforsøket.
Slike såkalte «direktør-svindler» ser vi stadig flere av. De er ofte rettet direkte mot ansatte i organisasjonen som kan foreta utbetalinger.
Vi vil anbefale alle bedrifter å regne med at de vil bli utsatt for angrep
Forsøker stresse deg
Eksempelet med den ansatte som ikke lot seg lure av «tusen takk-et» peker på et viktig aspekt: Gode rutiner og prosedyrer gjør det lettere å avsløre svindelforsøk.
– Det er gjerne små detaljer som avslører svindelen. Samtidig blir ofte slike svindler presentert som kriser, det haster, må gjøres nå. Og det er for å stresse den som rammes til å ikke følge prosedyrene, bare handle umiddelbart. Når du vet det, er det lettere å håndtere. Ta en pause, les gjennom på nytt og hør med en kollega før du handler, råder Talberg-Furulund.
NorSIS koordinerer Nasjonal sikkerhetsmåned, som arrangeres hvert år i oktober. De utarbeider opplæringspakker som er gratis for bedrifter med færre enn 20 ansatte.
Du blir sjelden «for liten» for svindlerne
Små og mellomstore bedrifter tror gjerne at «Vi har ingenting av verdi, hvorfor skulle noen gidde å hacke oss?».
Men alle som har penger, informasjon eller forretningshemmeligheter er attraktive mål.
I tillegg gjør vår digitale hverdag, der det meste er koblet på nett, at man er en del av større verdi-nettverk, og kan bli et mål gjennom det. Kriminelle kan bruke din lille bedrift for å få tilgang til større virksomheter, for eksempel gjennom fag-, lønns- eller regnskapssystemet.
– Vi hører mest om de store, dramatiske angrepene, men dette skjer hver dag, med alle typer bedrifter. Vi vil anbefale alle bedrifter å regne med at de vil bli utsatt for angrep, og ha tiltak på plass for hvordan de skal håndtere det, i tilfelle det skjer, formaner Talberg-Furulund.
Slik hindrer du nettsvindlerne
-
Bruk sunn fornuft. Er noe for godt til å være sant bør det ringe en bjelle. Og den bjellen bør stoppe deg fra å levere fra deg informasjon.
-
Forstå sertifiseringsordningene. SSL/TSL sertifisering er ulike sertifiseringsordninger. Domenevaliderte (DV) sertifiseringsordninger er knyttet til domenet, og sikrer at det er kryptering. men er det laveste valideringsnivået. Langt sikrere er Extended Valuation (EV) – der det kreves organisasjonsnummer og en grundig prosess for å verifisere nettstedet.
-
Sjekk ut krypteringskvaliteten. Det begynner bli svært få sider som ikke har https://- adresse. S-en står for «Secure» men det er en kraftig overdrivelse. Det betyr som oftest at siden er kryptert, men sier lite om kvaliteten. Den kan du sjekke på: https://www.ssllabs.com
-
Dobbeltsjekk adressefeltet dersom du følger en link. Mange falske nettsider kan se akkurat ut som originalen. Men URL-en er umulig å kopiere. Så dersom du får en epost som sender deg til «Facebouk» eller «Facebook.knowledge.com» vet du hva du IKKE har å gjøre – gi ut passordet ditt.
-
Anmeld Phishingsider. Gjør det til rutine å anmelde Phishing sider man kommer over, for eksempel til siden https://www.phishtank.com. Der kan du også sjekke om siden er rapportert tidligere. I januar i år ble det rapportert 49.000 slike sider, i mars 81.000. Det antas å være store mørketall, men ved å rapportere kan man hjelpe til å få oversikt – og potensielt stanse svindlerne.
-
Ta en telefon. Dersom du får noen form for elektronisk kommunikasjon du stusser på, enten fra bekjente eller kolleger – dobbeltsjekk via en annen kanal. Har du fått en e-post der noe skurrer ta en telefon.
-
Ha sterke passord. Vær så snill, ha sterke passord på tjenestene du bruker.
Ikke bli paranoid, bli kompetent
Så ingen er trygge? Farer overalt? Hvor paranoid skal man bli?
Ikke bli paranoid, bli kompetent, er Trude Talberg-Furulunds klare råd. Forebygging er langt smartere enn å gå i skyttergraven.
– Sørg for at de ansatte har både kompetanse, verktøy og tid til å være gode digitale brukere. Det er mange metoder som kan brukes. Gode rutiner og prosedyrer og oppdaterte systemer er selvsagt viktig.
Men her er det også viktig å ha en god kultur, der det er lov å gjøre feil og være åpen.
Talberg-Furulund har et kanskje uvanlig eksempel:
– Vi hørte om en ansatt som fikk en sånn «porno-skam-epost» der det hevdes at man har filmet deg mens du ser på porno, og vil spre filmen til nettverket ditt dersom du ikke betaler en sum. Siden vedkommende faktisk hadde sett på porno på en enhet tilknyttet jobben oppfattet vedkommende e-posten som reell og ble svært redd for konsekvensene. Da må man ha en kultur der det går an å komme og si: «Jeg har gjort noe som kan få konsekvenser». En kultur der man er åpen om feil og trusler, så man kan lære av det.
– Alle bedrifter har en sikkerhetskultur. Spørsmålet er bare om den er god eller dårlig.