Cyber security Formuesforvaltning

Er du et lett bytte for kriminelle? Seks tips for en sikrere hverdag

Det digitale trusselbildet mot privatpersoner og familier endrer seg raskt, og kompleksiteten for hver enkelt øker tilsynelatende samtidig. Denne artikkelen vil peke på noen fellesnevnere innen cyber security, og noen tiltak man kan treffe for å unngå og trå feil.

1.


Ikke del mer enn nødvendig

Uavhengig av angrepsmetode og type svindel vil det alltid være nyttig for angriperen å fremstå som troverdig og interessant.

Deling av informasjon

Informasjonen man deler kan brukes av andre. Hvis man er interessert i å bli bedre kjent med en person kan man for eksempel bruke informasjonen til å tilfeldigvis møtes på konsert, overdrive egen interesse for tur i skog og mark eller et annet tema hun eller han har vist digital interesse for. Uskyldig? Så lenge man har gode hensikter. Dessverre har kriminelle sjelden gode hensikter. De store aktørene innen sosiale medier og sosial manipulasjon tillater brukeren å styre tilganger, men mulighetene til å innhente informasjon er større i dag enn tidligere, og de digitale flatene er flere. Alle dine digitale treffpunkt er i dag en potensiell kilde til informasjon, og potensielle angrepsflater for en kriminell. Vi ser også at selv store aktører som LinkedIn og Uber blir hacket, og da ligger informasjonen tilgjengelig for kriminelle, selv om du egentlig ikke har delt den med noen.

Cambridge Analytica-saken er en av flere saker som viser hvor vanskelig det er å hindre at opplysninger man deler digitalt, blir brukt til noe man vanskelig kunne forutse. Personer som var villige til å være med på «forskningsprosjektet» til selskapet delte ubevisst også sine venners informasjon. Med mange digitale bekjente kan det være nyttig å tenke igjennom hva man deler.

Ikke vær et enkelt offer

Om det er ID-tyveri, svindel via sosial manipulasjon, utpressing eller fysisk innbrudd hjemme hos deg, vil de kriminelle alltid forsøke å innhente så mye data om deg som mulig. Som et byttedyr på prærien sirkler de seg fort inn på det svakeste dyret. Her er et par tips til hvordan du kan sørge for å ikke være blant de 10 % svakeste i flokken:

  • Tenk gjennom hva du har delt og hva du ikke har delt. Hvis noen vet noe om det du har delt, betyr det ikke at dere nødvendigvis har noe til felles.
  • Bruk mulighetene til å justere og begrense tilgangene, for eksempel i Facebook. Standardinnstillingene er ofte for vide, og deler din informasjon med «alle».
  • Ikke bruk innloggingen din på Instagram, Google eller Facebook på andre tjenester.
  • Skru på innlogging med to faktorer der det er mulig. Det vil si pålogging med SMS, kodebrikke, et program på telefonen eller lignende.

2.


Ha gode passord

Yahoo, LinkedIn, Uber og mange andre store selskap har tidligere blitt hacket. Tilsvarende vil også skje i fremtiden. Derfor bør man ikke benytte samme brukernavn og passord flere steder. Lekkasjene gjør at hackere verden over har en veldig god ordbok over de mest populære passordene hos forbrukere. Hvis disse slås sammen med informasjon om deg kan kriminelle enklere gjette seg til ditt passord. Derfor må du sørge for å ha et sterkt et.

Et par eksempler på dårlige passord:

  • qwerty1234
  • fotball9
  • 1Passord

Litt bedre, men fortsatt for dårlig:

  • Jens2013 (hvis sønnen din heter Jens og er født i 2013)
  • Fugla4Ever (hvis du heier på Lillestrøm)
  • IhateMerlot (hvis du er film og vininteressert)

Det er ikke så vanskelig å lage passord som er enkle for deg å huske, men vanskelige for andre å gjette: Du bør sette sammen ord til et langt passord (14 tegn eller mer), bruke tegn og store bokstaver, og hvis det tillates må du gjerne bruke mellomrom.

Eksempler på gode passord:

  • Marianne Kjopte Blaa Baat$$
  • #Lisa g1kk til sondagsskolen
  • emilion hest type hvit 1961%
  • Bjornen S0ver til juli!

Deretter kan du lage variasjoner over dette for alle tjenestene dine: Bytt ut dyret i siste eksempelet, jentenavnet i de to første eller vinen i det tredje. Legg eventuelt til noe du forbinder med tjenesten, som «#hashtag» for Intragram, «ebrev» for mailen din eller «dollars» for nettbanken, slik at du har en stamme + en unik del som passord.

Bruker du de mulighetene som finnes for å logge inn med flere faktorer, for eksempel en tekstmelding i tillegg til brukernavn og passord, er det en veldig stor forbedring i sikkerheten for tjenesten.

3.


Beskytt tingene dine

Du har kanskje hørt om «Internet of things». Det vil enkelt fortalt si alle dingsene dine med nettverk. Siemens har en reklame hvor de skryter av at man kan kontrollere ovnen via telefonen. Det kan jo være nyttig hvis man er ute i haven, eller kanskje på skitur og lurer på hvordan det går med påskelammet. Likevel: Det er sannsynligvis ikke verdt det (det koster i tillegg litt ekstra).

Brødristere, leker, kjøleskap, støvsugere, kamera og varmeovner er andre ting som kommer med internettforbindelse. De har ofte dårlig sikkerhetsløsninger, ikke alle kommer med sikkerhetsoppdateringer, og enda færre installerer disse. Det er tross alt morsommere ting å drive med på fritiden enn å oppdatere programvaren på kjøleskapet?

Dette henger sammen med det første tipset om deling av informasjon. Det er i seg selv ikke et problem å ha et treningsarmbånd så lenge du får oppdatert software når det oppdages sikkerhetshull. Men det kan bli et problem hvis du deler med hele verden hvor du oppholder deg, hva du gjør og hvem du gjør det sammen med. Garmin og Strava legger til rette for at du kan laste opp all treningen din og dele den med alle, men de har også muligheter for å begrense hvem du deler med. Bruk denne muligheten. Mange Stravabrukere har lagt inn alle syklene sine og publisert alle turene sine. Er det delt med alle er det enkelt for tyver å finne tilbake til der alle turene startet og stoppet, og stjele de dyre syklene.

Noen forholdsregler

Dette hindrer deg ikke i å ta i bruk ny teknologi: Smarthusteknologi, digital sosialisering og diverse underholdningsløsninger kan fortsatt brukes – men du bør ta noen forholdsregler:

  • Begrens ting i hjemmet du kan kommunisere med når du ikke er hjemme til et minimum. Det er ikke mulig å få til dette uten at de da også kan nås av hackere. Det betyr i praksis at du bare skal kunne nå tingene dine på ditt eget trådløse nett eller via blåtann-paring – med unntak av der det ikke gir mening, som «ring hytten varm» og lignende.
  • Sikre wifi-nettet ditt med et ordentlig passord. Oppdater programvaren på wifi/nettverksboksen din med jevne mellomrom. De aller fleste dingser benytter seg av wifi-nettet.
  • Skru av wifi og blåtann på de enhetene der du ikke bruker dette. Det er en unødvendig risiko å ta.
  • Beskytt barna: Ikke kjøp leker, smartklokker eller andre «wearables» som er koblet til nett. Hvis du likevel gjør det må du undersøke sikkerheten nøye. Det er ditt ansvar å sjekke!
  • Smarthusteknologi kan være utfordrende, da noe av nytten ofte kobles til fjernstyring og overvåkning. Tenk konsekvenser her også: Det er fint å få alarm hvis det er vannlekkasje, brannalarm eller strømmen går. Dette er ofte koblet på en sikker måte til et alarmselskap, og ikke så problematisk. Det som er mindre viktig er kanskje å kunne kontrollere termostaten, lyset eller robotstøvsugeren når du ikke er hjemme, da det ofte krever at du tillater ekstern tilgang til hjemmenettet ditt.

4.


Ikke bli lurt av en i nettverket ditt

Selv om du selv er flink og oppmerksom, kan du fortsatt bli lurt. Mange opplever å få mailer eller bli kontaktet av en i sitt nettverk, men som senere viser seg å være sendt fra en svindler. Det er derfor viktig å være oppmerksom på henvendelser også fra bekjente. Spesielt hvis henvendelsen gjelder overføring av penger, eller oversending av vedlegg og linker som kan inneholde skadelig programvare.

Vi har tidligere vært inne på at det er den svakeste i flokken som blir angrepet. Det er sannsynlig at enkelte i denne gruppen har deg i sin kontaktliste. Enten som en bekjent, eller som en forretningsforbindelse.

Hvis du for eksempel får mail om endring av en pengeoverføring er det viktig å finne en måte å verifisere avsenderen på. Hvis du har mobilnummer til avsender er det enkleste å sende ham eller henne en SMS, eller du kan kontakte vedkommende på et sosialt medium som Skype eller Facebook hvis du har personen der. Hvis det er større beløp, eller en utenlandsk forbindelse (gjerne en advokat), kan det være nødvendig å ringe hovednummeret til bedriften og spørre etter den aktuelle personen. Hvis han eller hun ikke finnes, eller viser seg å ikke være den personen du har blitt kontaktet av, har du avslørt en svindler!

De vanligste sakene vi hører om i denne kategorien er kontaktens plutselige behov for penger i utlandet, endring av transaksjoner i forbindelse med eiendomskjøp og -salg eller spredning av løsepengevirus.

5. 


Sjekk e-posten din

En svært stor andel digitale angrep starter med en e-post. Her er noen enkle triks for å identifisere e-post som sannsynligvis er svindel:

  • Feil i avsenderadressen. Dette er riktignok mulig å komme utenom, men hvis denne er feil er dette et sikkert tegn på at det er noe feil med mailen.
  • Avsenderadressen er riktig, men Reply to-adressen er noe annet enn avsender. Det vil si at du vil få svar fra noen andre enn avsender hvis du svarer på mailen.
  • Holder du musen over en link ser du at linken går til et annet sted enn du forventer.
  • Etternavnet på vedlegget stemmer ikke med det du forventer. Eksempel: En Word-fil skal ha .docx eller .doc, en Excel-fil skal ha .xls eller .xlsx.
  • I tillegg kan man sjekke om filen er signert av riktig avsender, da mange større selskaper benytter dette.
  • Hvis man er i tvil er det best å høre med avsender via en annen kanal enn mail om mailen er ok.

I eksempelet er avsenderadressen dkamachaitis@orocktech.com og ikke «E-fax online document». Videre ser man når man tar musen over linken/dokumentet at det har en helt kryptisk adresse. Denne eposten er heller ikke signert. Mange har nok trykket på en slik lenke, i den tro at noen i bedriften kan tenke seg å bruke en slik tjeneste. I ettertid ser man nok at det neppe var særlig sannsynlig. Hvis du ikke har hørt om tjenesten, ikke kjenner igjen noen adresser og det er dårlig sammenheng mellom avsender, hvem eventuelle svar går til og hvor linkene går til, er det all grunn til å sjekke en ekstra gang før man åpner noe.

 

6. 


Kombiner det digitale og det fysiske

De skumleste scenariene i IT-sikkerhet oppstår når det digitale får fysiske konsekvenser. Hvis man kan påvirke digitale styringssystem kan man enkelt skape kaos og store fysiske skader. Samtidig gir fysisk kontroll også en mulighet for å begrense risikoen man tar. Hjemme betyr det for eksempel at en lås på postkassen kan hindre at et digitalt ID-tyveri får store konsekvenser. Selv om noen greier å bestille kredittkort og mobiltelefoner i ditt navn vil de ikke kunne plukke det opp i postkassen din uten at du oppdager det.

For bedrifter og statlige aktører er overvåkning, monitoréring og mange lag med sikkerhet blitt svært viktige tiltak for at ikke kritisk infrastruktur skal bli satt ut av spill eller manipulert. Kombinasjonen mellom fysisk tilstedeværelse og digital tilgang må ofte til for at man skal kunne gjøre endringer, og det benyttes gjerne 4, 6 eller 8 øynes godkjenning før noe går gjennom. Ved å bygge sikkerhetssystem som kombinerer det fysiske og det digitale kan vi gjøre de mer robuste mot fremtidige trusler.

NFC, Smartkort, biometri og USB-nøkler

Det kommer stadig nye måter å sikre seg på. I fremtiden vil vi låse oss inn med noe som er unikt med deg eller noe du har. Det at man er fysisk til stede vil kunne benyttes til å sikre deg og dine verdier på en bedre måte enn i dag. Mange telefoner har allerede støtte for trådløs nærkommunikasjon (NFC) og biometri for identifisering (Touch-ID og Face-ID). Nettsteder har begynt å tilrettelegge for to-faktor sikkerhetsnøkkelen FIDO U2F som kan være en fysisk nøkkel du benytter på nettet (via USB). Dette vil være spesielt aktuelt for velstående individer, politikere, journalister eller kunstnere. som er ekstra utsatt for ID-tyveri og svindel.


Få innsikten rett i innboksen

Chief Information Officer, Formuesforvaltning AS