IT-sikkerhed: Gode råd og advarsler

Udgivet d. 4. juni 2019 af Simon Selchau ・ 10 min read

Flere og flere virksomheder og individuelle personer bliver ramt af cyber-kriminelle, som er ude på at komme i besiddelse af informationer, som der kan tjenes penge på. Det kan være følsomme oplysninger såsom betalingskortsoplysninger, men det kan også være login til en e-mail, som efterfølgende kan bruges til afpresning.

I dette indlæg, vil der blive redegjort ganske kort for nogle af de mest typiske og relevante metoder, som hackerne benytter sig af. Ydermere vil vi komme med nogle tips og tricks, som kan nedbringe sandsynligheden for, at man selv bliver et offer for denne kriminalitet.

PHISHING

Dette fænomen baserer sig på, at svindlere forsøger at narre godtroende IT-brugere til at oplyse deres adgangskoder, betalingsoplysninger mm.

Oftest sker det ved, at “svindleren” udsender links i gennem en mail eller en direkte besked. Dette link kan ligne et link, man kender i forvejen, og afsenderen kan også se bekendt ud. Det kan eksempelvis være en “falsk” mail fra brugerens bank, hvor der står, at man skal huske at skifte adgangskode til sin netbank inden månedens udløb.

Hvis brugeren klikker på linket, vil man blive ført videre til en side, som ser ud til at være bankens ”skift-adgangskode-side”, men dette er langt fra tilfældet. I virkeligheden befinder brugeren sig nu på en side, som ”svindleren” administrerer, og alt hvad brugeren taster ind, vil ”svindleren” kunne læse – selvom det ser krypteret ud for brugeren.

Fænomenet findes også for SMS’er og har fået det fine navn smishing. Her kan man eksempelvis få en besked fra postvæsenet om, at en pakke er blevet afsendt, og at man kan tracke den, ved at logge ind med sin e-mail på et vedhæftet link.

I virkeligheden er der slet ingen pakke på vej – men dine loginoplysninger er til gengæld på vej til svindleren, hvis du ikke passer på.

EAVESDROPPING

Eavesdropping baserer sig på, at en hacker får en kopi af alt, der bliver sendt via en forbindelse.
På samme måde, som hvis du har en telefonsamtale, hvor en tredjepart er med i opkaldet og skriver alt, der bliver sagt ned, uden at de to “talende” ved, at der bliver lyttet med.

På nettet kan dette eksempelvis ske ved, at hackeren udnytter den usikre forbindelse, som nogle hjemmesider har til deres hosting. Hvis hjemmesiden ikke har et registreret SSL-certifikat, så kan en hacker placere sig i mellem hostingen og hjemmesiden, som bliver besøgt af brugere.

På denne måde kan hackeren opsnappe forskellige informationer, som bliver indtastet på siden – eksempelvis en brugers login.

Hvis man som bruger har den samme sammensætning af brugernavn og adgangskode til andre sider, så vil hackeren kunne forsøge sig med dette login på eksempelvis e-mail, Facebook, Twitter etc.

Men der er måder, hvorpå man kan gøre sit for, at gøre livet surt for en ”svindler”, der godt kunne tænke sig at opsnappe ens informationer.

CEO-FRAUD

Flere og flere virksomheder bliver ramt af CEO-fraud, som er en utrolig populær og effektiv metode, som hackerne bruger. Denne baserer sig på, at ”svindleren” udgiver sig for at være CEO’en (eller anden højtstående person) i en virksomhed. Dette kan blive en dyr fornøjelse for virksomheden, hvorfor det er en fare, man skal tage alvorligt.

Det sker ved, at en hacker har skaffet sig adgang til CEO’ens kalender, mail mm. og herfra kontakter ansatte i virksomheden, som om det var CEO’en der skrev.

Typisk vil mailen ende hos en ansat, som sidder med regnskab eller bogføring og dermed har rig mulighed for at overføre penge på vegne af virksomheden. I mailen kan der eksempelvis stå:

”Hej Simon,
Vi skal have overført 957.495kr til en leverandør i Tyskland. De har kontonummer 4321 12345678. Det haster en smule, hvorfor du meget gerne må gøre det hurtigst muligt.
Vh. chefen

Mailen kommer fra CEO’ens mailadresse og ser helt reel ud. Hvis man svarer tilbage på mailen, vil svindleren stadigvæk svare insisterende tilbage. Så hvordan skal denne Simon fra regnskab gennemskue, at det er en ”svindler” som har sendt disse e-mails? Det har han ingen chance for.  

Vi vil nedenfor komme ind på nogle simple, men effektive måder at sikre sig mod ovenstående hacking-metoder.

Undgå at få opsnappet din adgangskode:

Ovenfor nævnte vi Eavesdropping metoden, som hackere bruger til at opsnappe din adgangskode. Der er flere foranstaltninger, som kan gøre denne proces en del sværere og næsten umulig for hackere. For mange er dette ikke nogle nye tips og tricks, men de er utrolig vigtige, når man snakker om IT-sikkerhed.

Besøg kun sider, som har et SSL-certifikat!

Hjemmesider, som kommunikerer via en ”http” protokol vil være markant lettere for hackere at udnytte til at opsnappe personfølsomme data. Derfor skal du ikke bruge for meget tid inde på sider, som ikke har styr på deres SSL-cetifikat. Du skal i hvert fald IKKE indtaste nogle følsomme oplysninger, da det bestemt ikke er usandsynligt, at der bliver “lyttet med på linjen”.

Du kan hurtigt se, om en hjemmeside har SSL-certifikat på følgende måde:

Sider, som har et SSL-certifikat, vil have https:// som deres URL-protokol. Se nedenfor, hvor der er taget udgangspunkt i www.dr.dk .

Sider som IKKE har et SSL-certifikat vil blot have http:// eller også vil denne blive erstattet af ”Ikke sikker”, som browseren selv skriver ind.
Se nedenfor, hvor der er taget udgangspunkt i erdetsnartfredag.dk

Browseren påminder brugeren om, at siden IKKE er sikker, som effekt af dens mangel på SSL-certifikat.

Dette er i øvrigt ikke et særlig attraktivt prædikat, at have på sin side – så hvis du administrerer en hjemmeside og ikke har helt styr på SSL-certifikatet, kan du med fordel læse denne artikel, vi tidligere har udgivet.

Alternativt kan du kontakte os, og så skal vi nok uforpligtende hjælpe dig med det.

Skift adgangskoder og anskaf dig en Password Manager

Mange bruger den samme adgangskode til størstedelen af de sider, man logger ind på. Dette er nemt, fordi man på den måde ikke skal huske en masse forskellige adgangskoder.
Det virker måske meget oplagt at have én enkelt adgangskode, som man så bruger til mest muligt – men det er ikke særlig smart.

Denne side kan fortælle dig, hvor lang tid det vil tage for en computer at ”gætte” dit password. Hvis det ser ud til, at din adgangskode kan gættes indenfor en overskuelig fremtid, så kan du med fordel skifte adgangskode til noget, der er sværere at gætte.

Man bør uanset hvad skifte sine adgangskoder regelmæssigt – og som tommelfingerregel kan man skifte adgangskode når årstiderne skifter.
Man bør nemlig skifte adgangskode hver 3. måned.

Hvis du sidder og tænker: Hvordan dælen laver jeg gode adgangskoder hver 3 måned, som jeg kan huske? Så frygt ej.

Der findes nemlig Password Managers, som er utroligt undervurderede redskaber.
Password managers fungerer ligesom ”Husk login” knappen, når du logger ind på eksempelvis Facebook. Men i stedet for, at det er din browser (fx Chrome), der husker og nu indeholder dit password – så er det et eksternt program, hvis eneste opgave er at holde din adgangskoder let tilgængelige for dig men meget svært tilgængelige for andre.

I praksis fungerer det ved, at man har ét login til sin Password Manager, som man indtaster, når man vil have sit login til en side frem.

Så når du eksempelvis står på Facebooks forside og skal logge ind – så vil din Password Manager helt af sig selv spørge, om du vil logge ind med det brugernavn og adgangskode, som du har gemt.

For at få indtastet adgangskoden til Facebook, skal du blot skrive adgangskoden til din Password Manager og så logger den ind for dig uden at du skal huske din Facebook adgangskode.

Ydermere kan din Password Manager selv generer adgangskoder, som er utroligt lange og tæt på umulige at gætte/hacke. Herefter kan den selv gemme adgangskoden. Du skal fortsat blot huske på dit login til password manageren – så udfylder den selv den nye lange adgangskode.
På denne måde kan du let skifte adgangskoder hver tredje måned, uden at få problemer med at huske dem.

Vi anbefaler:

Vi bruger i Bonzer password manageren, ”1Password”. Denne findes både til ”Mac, iOS, Windows, Android, Linux, and Chrome OS”, så uanset hvor man skal logge ind, kan den udfylde, administrere og endda lave passwords for dig. 1Password er et af de mest geniale værktøjer, vi er stødt på, og brugervenligheden er helt i top.

1Password kan desuden kobles til Face ID og Finger Touch på din telefon, så du blot skal trykke på skærmen eller kigge på den, for at 1Password så udfylder din adgangskode, når du får brug for det. Det er smart!

Så samtidig med at man nu ikke mere skal tænke på at huske, hvilket password det nu er, man har koblet til sin Instagram, Facebook, Twitter, Apple-id mm. Så gør man også sine oplysninger langt mere sikre.

1Password er desværre ikke gratis, men applikationen fås helt ned til omkring 20 kr. om måneden. Når man har fået sat applikationen op på computer og telefon, finder man dog hurtigt ud af, at det er få ting, man køber for 20 kr. om måneden, som skaber så meget værdi.

IT-sikkerhed i virksomheder

Ovenfor nævnte vi CEO-fraud, og i den forbindelse nævnte vi fiktive ”Simon fra regnskab”, som ikke havde en jordisk chance for at opdage, at han medvirkede til en pengeoverførsel til en hacker. Måden at komme CEO-fraud til livs er ved at aftale faste procedure i virksomheden.

Det kunne eksempelvis være, at uanset hvem man måtte få en mail fra i virksomheden, så skal der mundtligt bekræftes, hvis der bliver efterspurgt pengeoverførsler, login-oplysninger eller andre følsomme data.

Hvis en ansat i virksomheden bliver hacket som privatperson, kan det stadig have ret omfattende konsekvenser for virksomheden, vedkommende arbejder i. Det kan eksempelvis være, at vedkommende har samme password til Facebook, som til sin arbejdsmail etc.

Derfor anbefaler vi også, at man undersøger mulighederne for at opbevare alle følsomme logins så sikkert som muligt – eksempelvis vha. en Password Manager.

En Password Manager er: En fin gestus som virksomhed at kunne tilbyde sine ansatte, det sikrer virksomheden mod eventuelle cyber-angreb, og så koster det ikke en bondegård.

Det sidste råd herfra bliver det allermest simple men allervigtigste på samme tid.

Det bedste råd til IT-sikkerhed

Brug nu for pokker din sunde fornuft!

Lad vær at klikke på noget, du ikke ved, hvad er – også selvom det kommer fra en af dine bekendte. Hør hellere lige folk en ekstra gang, hvis der ikke følger en besked med.

Der er ikke nogen, der har 42,5 mio. dollars stående på en konto, som de gerne vil overføre til dig – og selv hvis der var tilfældet, så ville de nok ikke henvende sig på SMS eller i en kortfattet e-mail.

Som IT-bruger skal man nemlig huske på, at hvis noget lyder for godt til at være sandt, så er det nok også for godt til at være sandt.