Netöryggi og samskipti: Lyktar þú eins og phiskur? Ásta Guðrún Helgadóttir skrifar 9. september 2022 17:02 Stafræna umbreytingin er á fullri ferð sem þýðir að við þurfum að læra á nýjar hættur. Ein stærsta ógnin sem bæði einstaklingar og fyrirtæki standa frammi fyrir í dag eru svikapóstar (phishing). Þessir póstar eru ýmist til þess fallnir að reyna að svíkja peninga af viðkomandi, komast inn í kerfi til að taka þau yfir, eða nálgast viðkvæmar eða leynilegar upplýsingar. Við ættum öll að kannast við svikapóstana sem berast í kringum jólin. Póstana sem virðast koma frá DHL eða Póstinum og segja að við eigum von á pakka, það vanti bara smá uppá til að hægt sé að afhenda hann. Þessir póstar eru orðnir mjög sannfærandi og á það góðri íslensku að það er auðvelt að falla fyrir þeim. Svikapóstar eiga það flestir sameiginlegt að þykjast koma frá yfirvöldum, t.d. Lögreglunni eða Skattinum, eða öðrum traustum aðilum, t.d. póstþjónustum eða bönkum. Sumar af stærstu gagnalekum og lausnargjaldsárásunum (ransomware attack) sem orðið hafa bæði hérlendis og erlendis hafa einmitt átt uppruna sinn í því að fólk lét blekkjast af svikapósti, sem gerði tölvuþrjótum kleift að komast inn í kerfin og taka þau yfir.Nýlega fékk ég skilaboð frá Skattinum í gegnum tölvupóst þar sem var óskað var eftir því að ég staðfesti netfangið mitt og gæfi upp kennitöluna mína þar sem Ríkisskattstjóri væri með fyrirspurn til mín, án þess að útskýra efnistökin eitthvað frekar. Þessi tölvupóstur stuðaði mig verulega. Hann fylgdi í einu og öllu uppskriftinni að svikapósti: Ríkisstofnun sem sér um fjármál og geymir viðkvæm gögn um mig var að hafa samband við mig beint til að senda mér gögn og fá frá mér persónuupplýsingar.Hinsvegar, þá benti margt til þess að tölvupósturinn væri ekta: Starfsmaðurinn sem skrifaði undir póstinn er að vinna hjá Skattinum, allir hlekkir vísuðu rétt á Skattinn, símanúmerið var rétt, jafnvel póstþjónninn sem tölvupósturinn var sendur úr er skráður á Skattinn. Eftir að hafa hringt í Skattinn og rætt við starfsmanninn sem sendi mér póstinn fékk ég staðfestingu á því að þetta væri raunverulega póstur frá Skattinum. Svona póstar eru víst sendir út til þess að auka skilvirkni.Hér er, að mínum dómi, á ferðinni alvarlegur öryggisbrestur. Þegar fyrirtæki og stofnanir senda út pósta, þar með talið markpósta, sem fara í einu og öllu eftir uppskrift svikapósta eru þau um leið að gera viðtakendum ókleift að greina sundur raunverulega pósta og svikapósta. Ef fólk, jafnvel sérfræðingar í netöryggi, geta ekki með góðu móti greint hvort um er að ræða svikapóst eða ekki, þá eru samskiptin öryggisbrestur í sjálfu sér. Það eru nokkur atriði sem við verðum að geta treyst á þegar kemur að tölvupóstsamskiptum. Eitt af þeim er að stofnanir og fyrirtæki á borð við banka hefja aldrei samtal við þig að fyrra bragði til þess að falast eftir persónuupplýsingum.Hér er ekki um einangrað tilvik að ræða. Fjölmörg fyrirtæki og stofnanir hafa óafvitandi sent frá sér pósta eða smáskilaboð sem líta frekar út fyrir að vera svikapóstar en raunverulegir póstar. Stofnanir og fyrirtæki um allt land þurfa að taka sig á og fræða sitt starfsfólk um hvernig eigi að forðast það að líta út fyrir að vera svikari. Slíkt myndi hjálpa til við að tryggja netöryggi almennings sem og auka skilvirkni skilaboðanna. Mörg þessara fyrirtækja og stofnana geyma viðkvæmar persónuupplýsingar eða höndla með greiðsluupplýsingar og fjármagn og þurfa því að setja sér skýrar verklagsreglur hvað þetta varðar. Þar þarf öryggi notenda að vera haft að leiðarljósi auk þess sem reglurnar þurfa að byggja á heildstæðu öryggismati.Í grunninn er þetta sáraeinfalt: Ekki líta út fyrir að vera phiskur. Í því felst meðal annars að hefja ekki samskipti við skjólstæðinga eða viðskiptavini í gegnum tölvupóst og biðja um persónuupplýsingar á borð við kennitölur. Gerið allt sem í ykkar valdi stendur til koma í veg fyrir að póstar frá ykkur líti út fyrir að vera svikapóstar, því hvernig á fólk annars að geta gert greinarmun á því sem er ekta og því sem er fals?Æskilegast væri að fyrirtæki og stofnanir nýttu sér fordæmi stórra alþjóðlegra fyrirtækja, hvers viðskiptavinir hafa marg oft lent í svikapóstum, s.s. Amazon, LinkedIn o.fl. Þessi fyrirtæki beina fólki ávallt inn á “Mitt svæði” eða innra kerfi, jafnvel án þess að gefa upp hlekk á innskráningarsíðuna, þar sem hægt er að tengja við rafræn skilríki. Þetta þekkjum við öll frá t.d. Heilsuveru. Flestir íslenskir bankar gera líka vel hvað þetta varðar og hafa sett netöryggi á oddinn í samskiptum við viðskiptavini. Þrátt fyrir það fellur fólk samt fyrir svikaskilaboðum í nafni banka eins og gerðist nú í sumar. Fórnarlömbin væru eflaust mun fleiri ef samskiptaform bankanna væri með þeim hætti sem lýst er í dæminu að ofan.Þegar stofnanir sem við treystum óska eftir persónuupplýsingum að fyrra bragði í gegnum tölvupóst, og er fúlasta alvara með það, veikir það öryggiskeðjuna sem við sem samfélag verðum að leggja okkur fram við að styrkja. Við verðum öll að gera betur og vanda okkur meira þegar kemur að öruggum samskiptum á netinu. Höfundur er sérfræðingur hjá AwareGO í upplýsingaöryggisfræðslu og með meistaragráðu í félagsfræði internetsins frá Oxford háskóla. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Netöryggi Stafræn þróun Netglæpir Upplýsingatækni Ásta Guðrún Helgadóttir Mest lesið „Finnst ykkur skrýtið að ég mæti á Austurvöll – Pabba mínum var fórnað á altari niðurskurðar“ Davíð Bergmann Skoðun Ef Veðurstofan spáði vitlausu veðri í 40 ár, væri það bara í lagi? Björn Ólafsson Skoðun Hvers vegna skipta hagsmunir verslanakeðja meira máli en öryggi barna í Ásahverfi Reykjanesbæ? Ólafur Ívar Jónsson Skoðun Hægri sósíalismi Jón Ingi Hákonarson Skoðun Sjókvíaeldi á Íslandi fjarstýrt með gervigreind frá Noregi Ingólfur Ásgeirsson Skoðun Krónan, Nettó, Hagkaup, Bónus - það er kominn tími á formlega sniðgöngu Helen Ólafsdóttir Skoðun Málfrelsi og mörk þess á vettvangi lýðræðisins Helga Vala Helgadóttir Skoðun Það sem ekki má segja um það sem enginn vill sjá Viðar Hreinsson Skoðun Stjórnarandstaðan er vannýtt auðlind Jón Daníelsson Skoðun Um þjóð og ríki Gauti Kristmannsson Skoðun Skoðun Skoðun Til varnar jafnlaunavottun Magnea Marinósdóttir skrifar Skoðun Heimaþjónusta og velferðartækni: Lykillinn að sjálfbæru heilbrigðiskerfi Auður Guðmundsdóttir skrifar Skoðun Barnaræninginn Pútín Gunnar Hólmsteinn Ársælsson skrifar Skoðun Um þjóð og ríki Gauti Kristmannsson skrifar Skoðun Málfrelsi og mörk þess á vettvangi lýðræðisins Helga Vala Helgadóttir skrifar Skoðun Sjókvíaeldi á Íslandi fjarstýrt með gervigreind frá Noregi Ingólfur Ásgeirsson skrifar Skoðun „Finnst ykkur skrýtið að ég mæti á Austurvöll – Pabba mínum var fórnað á altari niðurskurðar“ Davíð Bergmann skrifar Skoðun Hvers vegna skipta hagsmunir verslanakeðja meira máli en öryggi barna í Ásahverfi Reykjanesbæ? Ólafur Ívar Jónsson skrifar Skoðun Kjarnorkuákvæðið: Neyðarhemill en ekki léttvægt leikfang popúlista Kristinn Karl Brynjarsson skrifar Skoðun Stjórnarandstaðan er vannýtt auðlind Jón Daníelsson skrifar Skoðun Ef Veðurstofan spáði vitlausu veðri í 40 ár, væri það bara í lagi? Björn Ólafsson skrifar Skoðun Hægri sósíalismi Jón Ingi Hákonarson skrifar Skoðun 5 ára vegferð að skóla framtíðarinnar – eða ekki! Björgmundur Örn Guðmundsson skrifar Skoðun Ójafnvægi í jöfnunarkerfinu Anna Sigríður Guðnadóttir,Halla Karen Kristjánsdóttir,Lovísa Jónsdóttir skrifar Skoðun Það sem ekki má segja um það sem enginn vill sjá Viðar Hreinsson skrifar Skoðun Krónan, Nettó, Hagkaup, Bónus - það er kominn tími á formlega sniðgöngu Helen Ólafsdóttir skrifar Skoðun Löggæslumál og aðstöðuleysi í Búðardal – ákall um viðbragð og aðgerðir Björn Bjarki Þorsteinsson skrifar Skoðun Listin að verða fullkomlega ósammála sjálfri sér á mettíma Þórður Snær Júlíusson skrifar Skoðun Þingmenn auðvaldsins Karl Héðinn Kristjánsson skrifar Skoðun Arðgreiðslur í sjávarútvegi: Staðreyndir gegn fullyrðingum Elliði Vignisson skrifar Skoðun Verðugur bandamaður? Steinar Harðarson skrifar Skoðun Við þurfum nýja sýn á stjórnmál okkar - Mamdani-sýn Hlynur Már Vilhjálmsson skrifar Skoðun Sósíalistaflokkurinn heimilislaus - hvað næst? Trausti Breiðfjörð Magnússon skrifar Skoðun Rán um hábjartan dag Guðbergur Egill Eyjólfsson skrifar Skoðun Af hverju er verðbólga ennþá svona há? Ólafur Margeirsson skrifar Skoðun Sól, sumar og símafriður: 10 ráð varðandi skjánotkun í sumarfríinu Anna Laufey Stefánsdóttir,Kristín Ólöf Grétarsdóttir,Skúli Bragi Geirdal skrifar Skoðun Uppbygging hjúkrunarheimila Jónína Björk Óskarsdóttir skrifar Skoðun Jafnrétti grundvallarforsenda friðar og öryggis í heiminum Þorgerður Katrín Gunnarsdóttir skrifar Skoðun Með skynsemina að vopni Anton Guðmundsson skrifar Skoðun Af hverju er ekki 100 klst. málþóf á Alþingi um alvarlega stöðu barna? Grímur Atlason skrifar Sjá meira
Stafræna umbreytingin er á fullri ferð sem þýðir að við þurfum að læra á nýjar hættur. Ein stærsta ógnin sem bæði einstaklingar og fyrirtæki standa frammi fyrir í dag eru svikapóstar (phishing). Þessir póstar eru ýmist til þess fallnir að reyna að svíkja peninga af viðkomandi, komast inn í kerfi til að taka þau yfir, eða nálgast viðkvæmar eða leynilegar upplýsingar. Við ættum öll að kannast við svikapóstana sem berast í kringum jólin. Póstana sem virðast koma frá DHL eða Póstinum og segja að við eigum von á pakka, það vanti bara smá uppá til að hægt sé að afhenda hann. Þessir póstar eru orðnir mjög sannfærandi og á það góðri íslensku að það er auðvelt að falla fyrir þeim. Svikapóstar eiga það flestir sameiginlegt að þykjast koma frá yfirvöldum, t.d. Lögreglunni eða Skattinum, eða öðrum traustum aðilum, t.d. póstþjónustum eða bönkum. Sumar af stærstu gagnalekum og lausnargjaldsárásunum (ransomware attack) sem orðið hafa bæði hérlendis og erlendis hafa einmitt átt uppruna sinn í því að fólk lét blekkjast af svikapósti, sem gerði tölvuþrjótum kleift að komast inn í kerfin og taka þau yfir.Nýlega fékk ég skilaboð frá Skattinum í gegnum tölvupóst þar sem var óskað var eftir því að ég staðfesti netfangið mitt og gæfi upp kennitöluna mína þar sem Ríkisskattstjóri væri með fyrirspurn til mín, án þess að útskýra efnistökin eitthvað frekar. Þessi tölvupóstur stuðaði mig verulega. Hann fylgdi í einu og öllu uppskriftinni að svikapósti: Ríkisstofnun sem sér um fjármál og geymir viðkvæm gögn um mig var að hafa samband við mig beint til að senda mér gögn og fá frá mér persónuupplýsingar.Hinsvegar, þá benti margt til þess að tölvupósturinn væri ekta: Starfsmaðurinn sem skrifaði undir póstinn er að vinna hjá Skattinum, allir hlekkir vísuðu rétt á Skattinn, símanúmerið var rétt, jafnvel póstþjónninn sem tölvupósturinn var sendur úr er skráður á Skattinn. Eftir að hafa hringt í Skattinn og rætt við starfsmanninn sem sendi mér póstinn fékk ég staðfestingu á því að þetta væri raunverulega póstur frá Skattinum. Svona póstar eru víst sendir út til þess að auka skilvirkni.Hér er, að mínum dómi, á ferðinni alvarlegur öryggisbrestur. Þegar fyrirtæki og stofnanir senda út pósta, þar með talið markpósta, sem fara í einu og öllu eftir uppskrift svikapósta eru þau um leið að gera viðtakendum ókleift að greina sundur raunverulega pósta og svikapósta. Ef fólk, jafnvel sérfræðingar í netöryggi, geta ekki með góðu móti greint hvort um er að ræða svikapóst eða ekki, þá eru samskiptin öryggisbrestur í sjálfu sér. Það eru nokkur atriði sem við verðum að geta treyst á þegar kemur að tölvupóstsamskiptum. Eitt af þeim er að stofnanir og fyrirtæki á borð við banka hefja aldrei samtal við þig að fyrra bragði til þess að falast eftir persónuupplýsingum.Hér er ekki um einangrað tilvik að ræða. Fjölmörg fyrirtæki og stofnanir hafa óafvitandi sent frá sér pósta eða smáskilaboð sem líta frekar út fyrir að vera svikapóstar en raunverulegir póstar. Stofnanir og fyrirtæki um allt land þurfa að taka sig á og fræða sitt starfsfólk um hvernig eigi að forðast það að líta út fyrir að vera svikari. Slíkt myndi hjálpa til við að tryggja netöryggi almennings sem og auka skilvirkni skilaboðanna. Mörg þessara fyrirtækja og stofnana geyma viðkvæmar persónuupplýsingar eða höndla með greiðsluupplýsingar og fjármagn og þurfa því að setja sér skýrar verklagsreglur hvað þetta varðar. Þar þarf öryggi notenda að vera haft að leiðarljósi auk þess sem reglurnar þurfa að byggja á heildstæðu öryggismati.Í grunninn er þetta sáraeinfalt: Ekki líta út fyrir að vera phiskur. Í því felst meðal annars að hefja ekki samskipti við skjólstæðinga eða viðskiptavini í gegnum tölvupóst og biðja um persónuupplýsingar á borð við kennitölur. Gerið allt sem í ykkar valdi stendur til koma í veg fyrir að póstar frá ykkur líti út fyrir að vera svikapóstar, því hvernig á fólk annars að geta gert greinarmun á því sem er ekta og því sem er fals?Æskilegast væri að fyrirtæki og stofnanir nýttu sér fordæmi stórra alþjóðlegra fyrirtækja, hvers viðskiptavinir hafa marg oft lent í svikapóstum, s.s. Amazon, LinkedIn o.fl. Þessi fyrirtæki beina fólki ávallt inn á “Mitt svæði” eða innra kerfi, jafnvel án þess að gefa upp hlekk á innskráningarsíðuna, þar sem hægt er að tengja við rafræn skilríki. Þetta þekkjum við öll frá t.d. Heilsuveru. Flestir íslenskir bankar gera líka vel hvað þetta varðar og hafa sett netöryggi á oddinn í samskiptum við viðskiptavini. Þrátt fyrir það fellur fólk samt fyrir svikaskilaboðum í nafni banka eins og gerðist nú í sumar. Fórnarlömbin væru eflaust mun fleiri ef samskiptaform bankanna væri með þeim hætti sem lýst er í dæminu að ofan.Þegar stofnanir sem við treystum óska eftir persónuupplýsingum að fyrra bragði í gegnum tölvupóst, og er fúlasta alvara með það, veikir það öryggiskeðjuna sem við sem samfélag verðum að leggja okkur fram við að styrkja. Við verðum öll að gera betur og vanda okkur meira þegar kemur að öruggum samskiptum á netinu. Höfundur er sérfræðingur hjá AwareGO í upplýsingaöryggisfræðslu og með meistaragráðu í félagsfræði internetsins frá Oxford háskóla.
„Finnst ykkur skrýtið að ég mæti á Austurvöll – Pabba mínum var fórnað á altari niðurskurðar“ Davíð Bergmann Skoðun
Hvers vegna skipta hagsmunir verslanakeðja meira máli en öryggi barna í Ásahverfi Reykjanesbæ? Ólafur Ívar Jónsson Skoðun
Skoðun Heimaþjónusta og velferðartækni: Lykillinn að sjálfbæru heilbrigðiskerfi Auður Guðmundsdóttir skrifar
Skoðun „Finnst ykkur skrýtið að ég mæti á Austurvöll – Pabba mínum var fórnað á altari niðurskurðar“ Davíð Bergmann skrifar
Skoðun Hvers vegna skipta hagsmunir verslanakeðja meira máli en öryggi barna í Ásahverfi Reykjanesbæ? Ólafur Ívar Jónsson skrifar
Skoðun Kjarnorkuákvæðið: Neyðarhemill en ekki léttvægt leikfang popúlista Kristinn Karl Brynjarsson skrifar
Skoðun Ójafnvægi í jöfnunarkerfinu Anna Sigríður Guðnadóttir,Halla Karen Kristjánsdóttir,Lovísa Jónsdóttir skrifar
Skoðun Krónan, Nettó, Hagkaup, Bónus - það er kominn tími á formlega sniðgöngu Helen Ólafsdóttir skrifar
Skoðun Löggæslumál og aðstöðuleysi í Búðardal – ákall um viðbragð og aðgerðir Björn Bjarki Þorsteinsson skrifar
Skoðun Sól, sumar og símafriður: 10 ráð varðandi skjánotkun í sumarfríinu Anna Laufey Stefánsdóttir,Kristín Ólöf Grétarsdóttir,Skúli Bragi Geirdal skrifar
Skoðun Jafnrétti grundvallarforsenda friðar og öryggis í heiminum Þorgerður Katrín Gunnarsdóttir skrifar
Skoðun Af hverju er ekki 100 klst. málþóf á Alþingi um alvarlega stöðu barna? Grímur Atlason skrifar
„Finnst ykkur skrýtið að ég mæti á Austurvöll – Pabba mínum var fórnað á altari niðurskurðar“ Davíð Bergmann Skoðun
Hvers vegna skipta hagsmunir verslanakeðja meira máli en öryggi barna í Ásahverfi Reykjanesbæ? Ólafur Ívar Jónsson Skoðun