En av disse sidene kan ruinere deg

DEN ENE ER FALSK: Her gikk den erfarne it-sjefen rett på og ble lurt til oppgi sitt ekte Apple-passord til en svindel-nettside. Foto: Henrik Meidell

DEN ENE ER FALSK: Her gikk den erfarne it-sjefen rett på og ble lurt til oppgi sitt ekte Apple-passord til en svindel-nettside. Foto: Henrik Meidell

Har du noen gang blitt hacket? Sannsynligheten for det er ganske stor.

DEL

Rundt 150.000 nordmenn oppgir at de er blitt utsatt for ID-tyveri, opplyser NorSIS (Norsk senter for informasjonssikring).

Du kan sjekke selv. Nettsida «have I been pwned» gir svar i løpet av sekunder – der får du opp alle eventuelle angrep som har rammet e-postadressen du sjekker, og hva angrepene kan bety.

Sannsynligheten for at e-postadressen, og kanskje ett eller annet passord, har havnet uønskede steder er ganske stor.

Vidar Sandland, seniorrådgiver i NorSIS går god for tjenesten og anbefaler både private og bedrifter å bruke den.

– Alle våre ansattes e-postadresser kjøres gjennom denne nettsida. Når noens e-post da blir kompromittert, går det ut et varsel, sier han til Nettavisen.

Gikk i Apple-felle

Men du må uansett regne med at passord og brukernavn ikke holder i evighet. Og det kan fort gå ganske galt.

– Brukernavn og passord kommer på avveie før eller senere. Enten blir du hacket eller du gir fra deg opplysningene på feil side. For eksempel kan dette brukes til på logge inn på din Facebook, og dermed Messenger, LinkedIn, Istagram og så videre. Til sammen kan det bli til at noen tar helt over identiteten din, sier Vidar Sandland.

Uvedkommende som får tak i e-postadressen, kan fort misbruke den til for eksempel phishing-forsøk. Christian Sømme har mange års erfaring som it-sjef. Likevel ble han tatt på senga av en e-post.

«Vi bekrefter abonnementet på TuneIn Radio for USD 35 i uken» lokket Sømme rett i fella. Strømme pleier å vurdere alle e-poster nøye før han åpner dem, men denne e-posten fra Apple om en app som han faktisk hadde, virket troverdig.

– Lettere oppbrakt over å skulle betale rundt 300 kroner i uken for noe jeg ikke hadde bestilt, klikket jeg på lenken og kom til påloggingssiden for Apple ID.

FALSK OG EKTE: Christian Sømme, tidligere it-sjef, klikket på siden til venstre, som er falsk. Han tror det skyldtes at han var oppbrakt i øyeblikket - og beskriver dette som et eksempel på hvor lett det er å la seg lure, selv når man i utgangspunktet er både bevisst og kunnskapsrik.

FALSK OG EKTE: Christian Sømme, tidligere it-sjef, klikket på siden til venstre, som er falsk. Han tror det skyldtes at han var oppbrakt i øyeblikket - og beskriver dette som et eksempel på hvor lett det er å la seg lure, selv når man i utgangspunktet er både bevisst og kunnskapsrik.

Det var ikke lenge siden han hadde besøkt denne siden sist, og den så helt ekte ut. Men Sømme hadde ikke ro nok til å sjekke den pussige nettadressen, og skrev inn brukernavnet og passordet som gir tilgang til all privat e-post, skylagring, musikk og apper.

– Det som reddet meg var neste side. Der ble jeg bedt om å fylle ut masse informasjon som Apple definitivt hadde fra tidligere. Jeg logget meg umiddelbart på Apples virkelige tjeneste og byttet passord. Heldigvis var også det gamle passordet godt og et jeg ikke brukte noen andre steder, forteller Christian Sømme.

Et stort innbrudd hos nettjenesten Apollo kan ha gitt informasjon om at Sømme hadde TuneIn Radio.

Fem gode sikkerhetstips

It-selskapet Basefarm jobber blant med å bedre sikkerhet i bedriftene.

– Det er viktig at vi som databrukere bekymrer oss på riktig nivå og doser. Ingenting godt kommer utav at vi bekymrer oss for mye. Å følge en håndfull regler konsekvent vil sikre mot det aller meste, sier Fredrik Svantes, sikkerhetssjef i Basefarm.

Han har disse tipsene til hvordan du som privatperson best kan sikre deg:

1. Dobbel beskyttelse

Såkalt dobbeltautentisering bruker du mange steder allerede, for eksempel når du logger deg på nettbanken din. Da oppgir du ofte personnummer og passord.

I prinsippet kan noen stjele denne informasjonen og forsøke å logge på, men de kommer ingen vei uten det doble påloggingselementet: koden fra sikkerhetskortet eller mobilen.

Mange har lignende systemer for dobbeltautentisering, som Google Drive, Dropbox, Apple, kredittkortselskaper og myndighetenes MinID, som sender SMS-kode.

– Det skal veldig mye til for at svindlere kan bryte seg gjennom dette. Men da er det en liten fare for at leverandøren ikke kan hjelpe deg hvis du ikke husker brukernavnet eller passordet, sier Svantes.

2. Flere brukernavn, lange passord

Ha flere brukernavn og lange passord. Men, med mindre det er grunn til å tro at noen har fått tilgang på passordet ditt, så behøver du ikke lenger bytte det ofte. Før var anbefalingen det motsatte, ifølge Svantes. Dette er nå det offisielle rådet fra amerikanske sikkerhetsmyndigheter.

Datamaskiner og nettsteder krever ofte pålogging med brukernavn og passord, og det blir mye å holde styr på. er det definitivt kjedelig å huske på.

– Risikoen er at du bruker samme brukernavn og passord overalt både på nettsteder som ikke er viktige og nettsteder som er veldig viktige. Dersom noen får tak i dette, så er det fritt fram for misbrukere, sier Svantes.

Risikoen er dessuten helt reell. Mange nettsteder som veldig mange nordmenn bruker er blitt utsatt for hacking inkludert, LinkedIn, Adobe, Dropbox og Disqus.

Men lange passord er vanskeligere å knekke enn korte. Et passord på 25 tegn eller mer blir det vrient selv for kraftige datamaskiner. Du kan lage en vanlig setning slik som «MinlurestePassord34setning» som er lett å huske, anbefaler Basefarms sikkerhetsekspert.

Det finnes også programvare som hjelper deg med å huske ulike brukernavn og passord for ulike steder, som 1Password og LastPass.

3. Vær oppdatert!

Sikkerhetsoppdateringer av maskiner og programvare skjer fortløpende for å beskytte mot sikkerhetstrusler. Ikke ignorer oppdateringene! Er programvaren/utstyret alltid oppdatert, gir det best mulig beskyttelse mot kjente trusler.

Varsel om oppdatering skjer på selve enheten. Du vil etter hvert kjenne igjen trygge, gode meldinger om oppdateringer.

Men du kan også bli lurt til å klikke på sikkerhetsadvarsler på nettsteder som inneholder skadeprogramvare som kan bli lastet ned.

– Ikke trykk dersom du er i det minste tvil. Ta bilde av skjermen med mobiltelefonen din og spør noen du kjenner, sier Svantes.

4. Ikke vær nysgjerrig på e-post

E-post en hovedkilde til datainnbrudd og skade. Du har sikkert fått e-post fra noen som gir seg ut for å være banken din eller skatteetaten. Selv erfarne datafolk lar seg lure, så hvordan kan vanlige PC-brukere sikre seg?

– Ikke vær nysgjerrig og la deg rive med til et uoverveid klikk. Har vedlegget et rart navn? Venter du egentlig på det e-posten beskriver eller kan du la den ligge? Er språket dårlig oversatt norsk? Ber noen deg trykke på en lenke for noe som har med sikkerhet eller brukerkontoen din å gjøre? I så fall bør alarmbjellene ringe, sier Svantes.

Et antivirusprogram er viktig og hjelper en del. Viktigst av alt er likevel å vise sunn fornuft i håndteringen av e-post.

Er du i tvil, må du i hvert fall klikke på avsenderadressen og se om @avsendernavn.no stemmer. Hvis ikke, slett mailen og tøm søppelkassen. Er du tvil selv om @avsendernavn.no kan være riktig, spør noen du kjenner eller ring avsenderen heller en gang for mye enn for lite.

5. Sjekk pinner, disker og ting

Tenk deg nøye om før du setter ukjente minnepinner, CD-er og DVD-er inn i maskinen. Velg kjent framfor ukjent. Avbryt dersom du blir bedt om å godkjenne kopiering eller installasjon.

I tillegg kommer «tingenes internett». Badevekter, TV, armbåndsur og bilen din. Stadig flere dingser er påkoblet, og slett ikke alle trenger å være det hele tiden.

– Mange enheter har ikke autentisering, dårlig sikkerhet i utgangspunktet og blir ikke oppdatert. Lag en liste over det du har, føy til nye innkjøp og stryk ting som forsvinner ut. Koble fra det som ikke trenger å være koblet på, sier Svantes.

Artikkeltags