Blogg
22.02.2019 14:08

Stafrænar ógnir: Hverjir eru skotmörkin í dag?

Bjarki Traustason, vörustjóri öryggislausna Advania skrifar:

Eitt af stærri vandamálum upplýsingatæknigeirans í dag er sú staðreynd að fólk áttar sig ekki á því að það getur verið skotmark glæpasamtaka. Fólk fær heldur enga fræðslu um þessa hættu og er því eðlilega grunlaust.

Það hefur reynst þrjótum auðveldara að eltast við almenna starfsmenn fyrirtækja í stað þess að reyna að brjótast í gegnum þaulreyndar öryggisvarnir. Að auki er einfaldara og krefst lítillar tækniþekkingar að leika á fólk.
Vefsíður fyrirtækja lista oft og tíðum upp alla starfsmenn og gefa upp bæði netföng og starfslýsingu þeirra. Auk þess má kynna sér bakgrunn starfsmannanna á samfélagsmiðlum á borð við LinkedIn og Facebook. En hvernig fara svikahrappar að því að veiða okkur í gildru ?

Vefveiðar
Vefveiðar eða phising er gömul aðferð þar sem notendur eru blekktir með tölvupósti til að trúa því að þeir þurfi að bregðast við einhverju, svo sem að smella á hlekk, opna viðhengi, gefa upp upplýsingar eða millifæra.

Sá sem stendur að baki vefveiðunum villir á sig heimildir og þykist vera traustur aðili sem ætti að vera viðtakanum kunnur. Til dæmis samstarfsfélagi, einhver frá fyrirtæki sem viðtakandinn er líklegur til að eiga í viðskiptum við eða opinber aðili svo dæmi séu tekin.

Fæstir átta sig á því hversu einfalt er að senda póst sem lítur út fyrir að koma frá einhverjum sem við treystum. Enn verra er að innbrot svikahrappa í tölvupóstkerfi fólks hafa færst mjög í aukana og þá reynist erfitt að greina þegar eitthvað óeðlilegt er á ferð.

Hvað ef forstjórinn sendir þér hlekk til að taka þátt í sérstakri starfsánægjukönnun lykilstarfsmanna? Eða uppkast að bónuskerfi? Ef þú værir sá eini sem forstjórinn treystir til að sinna mjög áríðandi millifærslu eða einhverju öðru sem flestum þætti áhugavert að vera hluti af? Værir þú líkleg/ur til þess að fylgja fyrirmælunum í tölvupósti og smella á þann hlekk?

Fyrir nokkrum árum þegar vefverslun var umsvifaminni, var einfaldara að uppgötva að tölvupóstur frá DHL eða UPS væri ruslpóstur. Í ljósi þess hve mikið landsmenn versla á netinu í dag eru þeir í síauknu mæli farnir að falla fyrir platpóstum líta út fyrir að vera frá flutningsfyrirtækjum eins og DHL eða UPS. 

Endurnýting lykilorða
Flestir vita að það er áhættusamt að nota sama lykilorðið í mörgum kerfum. Sé brotist inn í eitt kerfi og lykilorðum stolið þaðan, eru líkur á því að innbrotsþjófurinn komist inn í fleiri kerfi.
Kannanir hafa sýnt að 9 af 10 notendum viti af þessari hættu. Samt sem áður notar meirihluti fólks sama lykilorð á mörgum vefsíðum því það telur sig ekki geta lagt mörg lykilorð á minnið.

Ókosturinn við þetta er sá að það er sífelt verið að brjótast inn á vefsvæði og stela þaðan lykilorðum. Þessi lykilorð ganga svo kaupum og sölum á svörtum markaði.
Í ljósi þess að um helmingur notenda segist hafa sama lykilorð inn í vinnutengd kerfi og þeir nota á persónulegum síðum þá eru góðar líkur á að þeir komist inn í Office365, Salesforce, Gmail, PayPal, Amazon, DropBox, Facebook og önnur vefsvæði með einu og sama lykilorðinu.

Fjárkúganir
Önnur hætta í sítengdri veröld eru fjárkúganir. Til að hafa fé af fólki beita svikahrappar aðallega tvennskonar aðferðum. Tölvupóstar eru algeng leið þar sem fólki er hótað að myndefni sem náðst hefur af því að horfa á klámefni á netinu, verði gert opinbert.
Um er að ræða árásir á notendur með það að markmiði að þeir opni viðhengi í tölvupósti, smelli á vefslóð sem síðar sér til þess að gögn þeirra dulkóðast. Með gagnagíslingu eru gögn á tölvum fólks dulkóðuð og það svo krafið um greiðslu.

Hvað er hægt að gera ?
Í flestum tilvikum er ráðist á notendur með sögu sem kann að hljóma trúverðug. Líkurnar á því að móttakandinn fylgi fyrirmælunum sem honum eru gefin eru því miður alltof miklar. Til að verjast þessu verða fyrirtæki að auka öryggisvitund starfsmanna með réttri þjálfun og fræðslu.

Starfsmaður sem telur sig vera varkáran en hefur ekki þjálfun í að sjá hætturnar, á erfitt með að verjast árásum. Að sama skapi skilar það litlu að þjálfa starfsfólk í því að sjá hætturnar ef það er ekki vakandi fyrir þeim.
Þjálfun og árverkni þarf að haldast í hendur með stöðugri fræðslu. Gera þarf reglubundnar kannanir til dæmis með lausnum sem senda „svikapósta“ til að kanna viðbrögð starfsmanna og hvort þjálfun hafi leitt til aukinnar árvekni.

Marglaga auðkenning
Einföld leið til þess að takmarka hættu á því að óprúttnir aðilar komist í tölvupóst eða innri kerfi fyrirtækja, er að taka upp marglaga auðkenningar. Aðferðin byggir á því að notandi hafi sitt lykilorð en til viðbótar við það bætist svo annað auðkenningarskref sem getur verið að smella á auðkenningarapp í símanum eða slá inn kóða sem fenginn er með SMS-i eða appi. Með þessari aðferð er hægt að minnka hættu á því að óprúttnir aðilar komist inn í póstkerfi, þó þeir hafi komist yfir lykilorð starfsmannsins. Með því að bæta símtækinu við, eykst öryggið.

Herða tölvupóstvarnir
Póstvarnir verða sífellt öflugri en samt sem áður komast svikapóstar á leiðarenda. Mikilvægt er að halda vörnunum ávalt uppfærðum með nýjustu viðbótum frá framleiðendum og yfirfara stillingar. Hafa ber í huga að uppfærslur og uppfærslur eru ekki það sama. Flestar póstvarnir fá sjálfvirkar uppfærslur en það á við um mynstur (pattern) fyrir vírusum og öðrum óværum. Varnirnar fá ekki sjálfvirkar uppfærslur á skönnunarvélina (nema þegar verið er að nýta sér skýjaþjónustu) en það er hún sem sér til þess að stöðva nýjar og snjallar leiðir sem sífelt er verið að finna upp til að komast framhjá vörnum.

Nota lykilorðasarp
Í gegnum tíðina hefur fólki verið kennt að búa til flókin lykilorð. Lykilorð sem er flókið fyrir manneskju er sjaldnast oft flókið fyrir tölvur. Lykilorðin „12345678“ og „qwerty“ tekur tölvu nokkrar nanósekúntur að brjóta, „lykilord“ tekur undir 10 sekúntum en „Vetur2018“ tekur hinsvegar um klukkustund.
Séríslensku stafirnir flækja málið hinsvegar nokkuð ef unnið er á enskt lyklaborð. En við það að bæta íslenskum staf inn í lykilorðið lengist tíminn til muna sem tekur að komast í gegnum það.

Tækni til að brjótast í gegnum lykilorð fer einnig sífelt fram en þann 14.febrúar síðastliðin var tilkynnt um tól sem getur brotist í gegnum öll 8 stafa lykilorð á undir 2,5 tímum með öflugum vélbúnaði eða einfaldlega með því að leigja sér vélar hjá Amazon fyrir um 25 dollara.
Við mælum því með því að fólk nýti sér lykilorðasarpa líkt og 1Password eða LastPass þar sem geyma má flókin lykilorð en þessi tól geta einnig búið til sterk lykilorð sem fólk getur sjálft ómögulega munað.
Þá er mikilvægt að nýta marglaga auðkenningar þar sem þær eru í boði eins og hjá Google, Facebook, PayPal og fleirum.

Eru notendur hræddir við UT deildina?
Að endingu má einnig kasta fram smá vangaveltu. Getur verið að í einhverjum tilfellum séu notendur hræddir við UT-deildina ? Oft og tíðum fréttir UT-deildin ekki af því ef símtæki eða fartölva týnist fyrr en eftir nokkra daga þar sem notandinn telur að tækið muni pottþétt koma í leitirnar. Því sé alger óþarfi að gera vesen úr því strax. Þegar sýkinga verður vart á búnaði fer fólk stundum að leita að úrlausnum sjálft, jafnvel að sækja misgóð og mislögleg tól á netinu til að reyna að hreinsa sýkingnuna, og gerir stundum illt verra.

Hvað ef notandi lendir í því að fá tölvupóst sem hann opnar, fylgir fyrirmælum og setur inn netfang og lykilorð en áttar sig svo á því að eitthvaða athugavert sé í gangi. Notandinn skammast sín fyrir að hafa fallið í gildruna, lætur engan vita og vonar að þetta allt verði í lagi.Notendanafn og lykilorð eru þá komin í hendur óviðkomandi sem getur bæði komist inn í póstkerfið og sent pósta beint úr pósthólfi viðkomandi.

Getur verið að starfsmenn séu einfaldlega hræddir um að lenda í enn frekari vandræðum með því að láta vita af atvikum sem þessum? Hræddir um að hafa gert sig að fíflum og verða skammaðir fyrir?

Þegar um er að ræða svikapósta og stjórnendasvindl er yfirleitt alltaf við að etja fagmenn á sínu sviði. Aðila sem hafa platað fjölda fólks áður og sá eftir að plata enn fleiri, kunna öll trixin í bókinni og eru sífelt að finna nýjar leiðir til að plata notendur.






Til baka
Mynd með frétt