Nasjonal sikkerhetsmåned arrangeres ifølge NorSIS i Norge for 12. gang i oktober – og er også i år en nødvendig øvelse:
Fortsatt er det nemlig mange som ikke vet nok om hvordan de beskytter seg på nettet og ved bruk av digitale enheter, noe som gjør årets tema ekstra aktuelt: «Sammen for en trygg digital hverdag».
Som med så mye annet i livet, kan litt ekstra kunnskap komme godt med – spesielt om du vil unngå å bli de kriminelles neste offer. Her gir vi deg derfor ti tips vi håper kan gi deg en tryggere digital hverdag:
1. Jobb eller privat? De kriminelle skiller ikke
Enten du sitter på kontoret eller slapper av med mobilen i sofaen hjemme, er du et potensielt mål for nettkriminelle – som ikke skiller mellom jobb og privat, landegrenser eller tidssoner.
Du er tross alt er samme person hele døgnet – og bruker mest sannsynlig samme mobiltelefon … og kanskje laptop? Slik kan du til enhver tid nås via telefonanrop, SMS, e-poster, direktemeldinger, sosiale medier, annonser eller andre digitale kanaler.
I mange av angrepene mot store virksomheter de siste årene, ser man at det nettopp er de ansatte som har vært veien inn: Her har de nettkriminelle lurt folk når de «senker skuldrene» på privaten, og brukt dette for å komme seg forbi ellers solide sikkerhetssystemer.
I mange andre tilfeller er det rett og slett du som privatperson (og godt mulig din private bankkonto) som er målet. Uansett er det greit å ha bak øret at de kriminelle aldri hviler, og at de gjerne slår til når du minst venter det – kanskje mens du hviler?
2. Du blir manipulert!
Uansett hvor moderne teknologi de kriminelle har tilgang på, er det fortsatt mye vanskeligere å trenge seg gjennom sikkerhetssystemer enn å rett og slett lure deg. Enn så lenge er dette noe mennesker klarer bedre enn roboter. Og da tyr de til det urgamle svindelhåndverket sosial manipulasjon.
I praksis innebærer dette at de kriminelle spiller på og utnytter følelsene dine, og da spesielt frykt, grådighet, nysgjerrighet eller ensomhet.
For eksempel er det ikke rart om du blir stresset om noen ringer og sier de er fra banken – med beskjed om at noen holder på å tømme kontoen din. Grepet av stress, rekker du kanskje ikke å kjenne på magefølelsen om at det kanskje ikke egentlig er banken som ringer – og oppgir BankID-informasjonen de ber om. Først da vil kontoen tømmes for alvor.
På samme måte er det med e-poster som lover en kjapp gevinst, en het romanse eller et helt fantastisk tilbud på en nettside du har snublet innom. Varer tilbudet kanskje bare i noen minutter til? Slikt kunstig tidspress er et klassisk grep for at du skal foreta deg noe før du har rukket å tenke deg om.
Husk at du alltid har tid til å puste med magen, selv om noen sier at det haster: Er dette noen som prøver å bruke følelsene dine mot deg?
3. … men teknologi gjør det lettere å bli lurt
Med stadig flere skriverier om svindel og nettkriminalitet i mediene, er flere også blitt bevisst på dette. Kanskje plukker vi ikke lenger opp anrop fra ukjente, utenlandske numre – eller unngår å trykke på lenker i e-poster med håpløst design og dårlig norsk språk.
Dette har de kriminelle forlengst skjønt, og derfor tar de i bruk stadig nye teknologiske virkemidler for å tilnærme seg deg på en mer tillitsvekkende måte.
Stikkordet her er nemlig tillit: Får du et anrop fra et norsk mobilnummer, stoler du kanskje mer på det – og plukker opp. Og enda verre: Får du en SMS eller telefon fra et telefonnummer du vet tilhører for eksempel banken eller politiet, tar du i hvert fall telefonen.
Problemet er bare at for kriminelle med teknisk innsikt, er det ikke vanskelig å gjemme seg bak falske telefonnumre, e-postadresser eller nettadresser. Såkalt «spoofing» er teknologien som gjør det mulig for utenlandske svindlere å kamuflere sitt egentlige nummer bak et norsk mobilnummer – eller sende deg en SMS som tilsynelatende kommer fra banken din. Og de kan enkelt lage falske nettsider som ser helt ekte ut, der du raskt kan komme til å taste inn kortnummer og BankID-koder – som de straks snapper opp.
Stoler du på avsenderen, øker altså sjansen for at du trykker på farlige lenker eller oppgir privat informasjon til uvedkommende – noe som er målet med såkalt «phishing», altså nettfisking. Det er som med fluefiske: Tror fisken at flua er ekte, biter den lettere på.
4. Er du usikker? Ikke oppgi informasjon!
Dette er et av de viktigste tipsene, så vi skal holde det kort og tydelig: Aldri oppgi privat informasjon til noen som kontakter deg og ber om dette. Og spesielt ikke om det er kortdetaljer, BankID, eller andre sensitive opplysninger.
Med BankID skal du faktisk ALDRI oppgi koden til noen som ber om det – ikke engang om noen sier de ringer fra banken eller politiet.
Her kommer vi tilbake til de to punktene over: Selv om noen sier at mye står på spill, og de tilsynelatende kontakter deg fra banken, Amazon, Kripos, Skatteetaten, Microsoft eller hva som helst annet, har du alltid tid til å puste med magen – og tenke deg om.
Og er du virkelig usikker, kan du trygt avslutte korrespondansen og heller oppsøke den som etter sigende skal ha kontaktet deg via kundeservice eller andre offisielle kanaler.
5. De kriminelle kjenner godt til norske forhold – og språket
Nordmenn har stort sett god økonomi, og vi er et folk med høy tillit til andre. Kanskje er det da ikke så rart at vi også ligger på svindeltoppen i Norden – vi blir godt lagt merke til i verden.
Derfor har de utenlandske kriminelle de siste årene gjort en langt bedre jobb med å tilnærme seg det norske samfunnet – sannsynligvis med god hjelp fra lokale (vi har også mange nettkriminelle her til lands, bare så det er sagt). Dette gir seg utslag i langt bedre og mer troverdig språk i e-poster, SMS-er og på falske nettsider. Du kan altså ikke nødvendigvis kjenne igjen et svindelforsøk på dårlig språk.
I tillegg kjenner de kriminelle godt til norske forhold, samfunnsendringer og vaner. Det betyr for eksempel at straks det er tid for restskatt, vil de sende ut falske krav (eller «utbetaling av skatt til gode») fra «Skatteetaten». Og i disse dager, når BankID på mobil fases ut, kommer det som ventet ekstra mange falske meldinger om «sperret BankID».
6. Angrepene kan være målrettet mot deg
Målrettede angrep krever innsikt om offeret, for å kunne finne «svake punkter» som kan brukes som en vei inn. Dette har tradisjonelt krevd mye research, men med såpass mye informasjon de fleste av oss har liggende åpent ute på nett, er det ikke lenger alltid mye jobb som må til.
Se for deg familiefaren Marius (42). Han er økonomiansvarlig i bedriften, men også en ivrig fotballtrener for datteren Marens J12-lag – noe han gjerne poster om på Facebook, for alle å se.
Også de som ikke bør se det. Basert på denne informasjonen, kan en kriminell enkelt sende en forfalsket e-post fra en adresse som tilsynelatende tilhører en annen fotballpappa som er tagget i et kampinnlegg på Facebook. Med emnefeltet «OBS! Endret kampplan» er sjansen stor for at Marius ikke bare åpner e-posten – men også laster ned vedlegget«kampoversikt.xls».
Som dessverre ikke er en kampoversikt, men et løsepengevirus som raskt sprer seg videre til bedriftsnettverket – ettersom Marius også bruker jobb-laptopen hjemme.
Du skal selvfølgelig kunne fortsette med å legge ut bilder og innlegg på sosiale medier. Men husk at du også kan styre hvem som skal få se hva du legger ut i innstillingene. Kanskje er det ikke så dumt å begrense kretsen en smule – og være litt bevisst på hva som går ut til omverden?
7. Smarte angrep – i flere kanaler
Apropos sosiale medier: Har du oversikt over hvor mange innbokser du har? Det at svindlere jobber målrettet, betyr også at de er utrolig gode til å være der du der – og tilpasser seg dette.
En phishing-lenke kan like gjerne komme i Facebook Messenger eller via Discord som på e-post. Og om du selger noe på Finn eller Tise, er det ikke utenkelig at noen kontakter deg med spørsmål om alternative betalingsløsninger – dette er godt mulig også svindel.
Svindlerne holder seg heller ikke bare til én kanal, spesielt ikke når de jobber målrettet: Først kan det for eksempel komme en SMS fra «banken» om at noe uregelmessig er oppdaget på kontoen din, før det like etter ringer fra samme nummer – med en som på perfekt norsk har hastverk med å hjelpe deg med å «stoppe pengeoverføringen».
Her misbrukes igjen teknologien for å legge tidspress på deg, slik at du kanskje glemmer hovedregelen om å aldri oppgi BankID og annen sensitiv informasjon over telefon, SMS eller på tvilsomme nettsider.
8. Har du egentlig gode passord?
Altfor mange bruker passord som er lette å gjette. Men det hjelper heller ikke å ha et passord som er vanskelig å gjette om du bruker det samme passordet overalt.
Godt mulig er dette passordet da allerede i feil hender, takket være de siste års mange datalekkasjer. Søk bare selv med e-postadressen din (eller mobilnummeret) på nettsiden
haveibeenpwnd.com, så vil du sannsynligvis se at dine private data er lekket. Og at noen derfor har passordet knyttet til e-posten din, fordi de har stjålet data fra en eller annen obskur tjeneste der du en gang opprettet en brukerkonto.
Har du brukt det samme passordet overalt de siste årene, betyr dette at noen enkelt kan bruke dette for å logge inn på kontoene dine.
For å unngå dette, må du for det første bruke unike, sterke passord for hver enkelt tjeneste. Disse kan være vanskelige å huske på, så bruk svært gjerne et eget passordprogram som 1password, LastPass, Bitwarden, Keeper – eller det som for eksempel er bygget inn i mobilen din (disse kan også lage sterke passord for deg).
Faktisk har passord lenge gitt så mye falsk trygghet at Apple og flere andre nå beveger seg vekk fra dem, og i stedet introduserer såkalte passnøkler – som i stedet for passord lar deg logge inn med et biometrisk kjennetegn som et fingeravtrykk eller en ansiktsscan.
Men gode passord er ikke bare nok: Du må også bruke tofaktorautentisering – også kjent som 2-trinnsverifisering, multifaktor eller tilsvarende.
Her må du i tillegg til passord oppgi en engangskode, for eksempel via en app, eller godkjenne innloggingen via mobilen din. De aller fleste tjenester støtter dette i dag – og vi anbefaler sterkt at du bruker de ekstra minuttene det tar å sette det opp. Det kan være forskjellen på om noen får tatt over kontoene dine eller ikke, selv om de så får tak i passordet.
9. … og likevel brer kontokapring om seg
Som vi allerede har vært inne på: Der det dukker opp ny teknologi, ser de kriminelle nye muligheter. Dette gjelder også når det dukker opp teknologi som er ment å stoppe de kriminelle.
Det siste året har det nemlig vært mange tilfeller av såkalt kontokapring, der uvedkommende overtar kontoer i sosiale medier – og for eksempel bruker disse til å kontakte andre på vennelisten (med all den tilliten som følger med).
Her har et gjennomgående spørsmål dreid seg om hjelp med «en kode du straks får på SMS». Dette snakkes bort som en vennetjeneste, kanskje forklart som et lotteri eller tilsvarende – men er i realiteten engangskoden til din egentofaktorsikkerhet, som du altså får på SMS til din mobil.
Oppgir du denne til «vennen din», som i realiteten er en svindler som har stjålet hans eller hennes konto, kan du straks miste tilgang til din egen konto.
Ekstra ille er det om dette er e-post-kontoen din. Dette er nemlig en såkalt nøkkelkonto – du kan nullstille passord på andre tjenester ved å få en e-post tilsendt til deg selv. Mister du tilgangen til e-posten din, kan med andre ord noen andre overta store deler av din digitale identitet, på tvers av mange tjenester. Her kan skadeomfanget være omfattende.
Rådet her? Forstå hva disse engangkodene er for noe – og aldri oppgi dem til noen andre. Og skulle få et varsel på mobilen om å gi tilgang til en tjeneste der du ikke har logget deg inn, trykk nei. Selv om henvendelsen kommer flere ganger.
10. Pass på hverandre!
Takk for at du har lest helt ned til dette siste punktet – forhåpentlig har du lært noe, eller kanskje du bare er litt ekstra interessert i digital sikkerhet?
Dessverre vet vi at ikke alle har lest like mye som deg, langt mindre klikket seg inn på denne saken. Fortsatt er det nemlig slik at mange først begynner å bry seg om digital sikkerhet etter at skaden har skjedd – og at de som har mest behov for litt mer kunnskap om dette også er de som ikke ennå har sett behovet for det.
Uten å skulle drive med skremselspropaganda, er det derfor viktig at vi alle snakker litt mer om digital sikkerhet med våre nærmeste i det daglige. Enten det er ungdom, eldre foreldre eller kollegaer: Snakk om interessante ting du har fått med deg ved kaffemaskinen eller middagsbordet, og gjør deg tilgjengelig for «dumme» spørsmål – så slipper de kanskje å måtte lære om digital sikkerhet the hard way.
Digital sikkerhet er nemlig litt som med massevaksinering: Jo flere som er sikret, dess bedre blir vi alle beskyttet. God sikkerhetsmåned!