{"id":1931,"date":"2017-06-08T14:00:01","date_gmt":"2017-06-08T13:00:01","guid":{"rendered":"http:\/\/www.datasikkerhetsboka.no\/blogg\/?p=1931"},"modified":"2017-06-08T14:00:35","modified_gmt":"2017-06-08T13:00:35","slug":"hvorfor-skulle-jeg-vaere-et-mulig-offer-for-datakriminalitet","status":"publish","type":"post","link":"http:\/\/www.datasikkerhetsboka.no\/blogg\/2017\/06\/08\/hvorfor-skulle-jeg-vaere-et-mulig-offer-for-datakriminalitet\/","title":{"rendered":"Hvorfor skulle jeg v\u00e6re et mulig offer for datakriminalitet?"},"content":{"rendered":"<div class=\"709ff53d6c15c9c917a4f0a93ff21be9\" data-index=\"1\" style=\"float: none; margin:10px 0 10px 0; text-align:center;\">\n<script async src=\"\/\/pagead2.googlesyndication.com\/pagead\/js\/adsbygoogle.js\"><\/script>\r\n<!-- annonser - blogg -->\r\n<ins class=\"adsbygoogle\"\r\n     style=\"display:block\"\r\n     data-ad-client=\"ca-pub-3643033126981971\"\r\n     data-ad-slot=\"5209152447\"\r\n     data-ad-format=\"auto\"><\/ins>\r\n<script>\r\n(adsbygoogle = window.adsbygoogle || []).push({});\r\n<\/script>\n<\/div>\n<p>Jeg er mye rundt og holder foredrag og snakker med mennesker om datasikkerhet, og en av de tingene som aldri slutter \u00e5 forundre meg er folks holdninger til sikkerhet. Det er stort sett fire holdninger som gj\u00f8r at de aller fleste er langt mer utsatt for svindler og angrep enn det de egentlig hadde beh\u00f8vd v\u00e6re. Jeg skal g\u00e5 gjennom disse her. Riktignok settes det p\u00e5 spissen for \u00e5 f\u00e5 frem poenget, men det kan v\u00e6re nyttig \u00e5 tenke over om du kanskje er p\u00e5virket av noen av de samme holdningene.<\/p>\n<p>Beklager at innlegget er noe negativt vinklet, men det er en m\u00e5te \u00e5 f\u00e5 luftet ut litt frustrasjon&#8230;. \ud83d\ude42<\/p>\n<h3>1. Jeg vet ikke hvordan man gj\u00f8r det&#8230; Hvorfor skulle noen andre vite det?<\/h3>\n<p>N\u00e5r man begynner \u00e5 dykke ned i temaet datasikkerhet s\u00e5 blir man straks veldig ydmyk for hvor mye man ikke vet, og hvor mye som det er mulig \u00e5 gj\u00f8re. Jeg har arbeidet med datasikkerhet i snart 10 \u00e5r, og for hver dag som g\u00e5r blir jeg stadig mer engstelig for b\u00e5de det jeg vet er mulig \u00e5 gj\u00f8re, men ogs\u00e5 alt det jeg tydeligvis ikke vet om enn\u00e5. Jo mer kunnskap jeg\u00a0f\u00e5r, jo mer forst\u00e5r jeg\u00a0ogs\u00e5 at jeg ogs\u00e5 ikke kan.<\/p>\n<p>Brukere man m\u00f8ter som ikke har v\u00e6rt spesielt opptatt av datasikkerhet har imidlertid ofte en helt annen innstilling. Denne kan stort sett oppsummeres som &#8220;Ettersom jeg ikke vet hvordan man gj\u00f8r, hvordan skulle noen andre vite det?&#8221;<\/p>\n<p>Dette er selvsagt ikke en veloverveid tanke, men allikevel den holdningen mange f\u00e5r. Dette er brukere som ellers er ganske inneforst\u00e5tt med at de ikke er noen eksperter p\u00e5 databruk. De sp\u00f8r om hjelp til ting de skal gj\u00f8re, og er engstelige for \u00e5 trykke p\u00e5 nye menyvalg eller oppgradere til nye programmer og maskinvare de ikke kjenner. \u00a0I disse tilfellene f\u00e5r de daglig en feedback p\u00e5 hva de kan og hva de ikke kan. Derimot klarer de ikke \u00e5 se at det finnes sv\u00e6rt mange der ute som kan utrolig mye mer enn de om svindel og hacking.<\/p>\n<p>Selv enkle ting som \u00e5 <a href=\"http:\/\/www.datasikkerhetsboka.no\/blogg\/2016\/01\/26\/hvem-sa-du-at-du-var-spoofing\/\">forfalske avsender p\u00e5 e-post og SMS<\/a> er det mange som mener ikke er mulig, ettersom de selv ikke vet hvordan det gj\u00f8res. Dessverre vet omtrent alle svindlere det&#8230;<\/p>\n<h3>2. Hvorfor skulle noen svindlere vite om eller v\u00e6re interessert i meg?<\/h3>\n<p>En annen holdning som er sv\u00e6rt farlig er at sv\u00e6rt mange brukere tenker at de ikke er et m\u00e5l for svindler og hacking. De tenker at hvordan i all verden skal svindlere og hackere vite om dem&#8230; Og hvorfor skal de v\u00e6re et aktuelt m\u00e5l?<\/p>\n<p>Dessverre er ikke datakriminalitet som annen kriminalitet. Innbrudd i bolig er noe de fleste er bekymret for. Her har imidlertid den kriminelle mange begrensninger:<\/p>\n<ol>\n<li>M\u00e5 finne m\u00e5let ved \u00e5 rekognosere<\/li>\n<li>M\u00e5 v\u00e6re fysisk til stede ved boligen for \u00e5 beg\u00e5 lovbruddet<\/li>\n<li>Har begrenset med tid og m\u00e5 velge de &#8220;beste&#8221; m\u00e5lene<\/li>\n<\/ol>\n<p>En svindler vil derimot ikke v\u00e6re begrenset p\u00e5 samme m\u00e5te. La oss se p\u00e5 de samme punktene for en svindler.<\/p>\n<ol>\n<li>Her har du ofte selv gitt svindlere tips om deg selv. F\u00e5 tenker over det, men ved \u00e5 registrere seg i tjenester, melde seg p\u00e5 konkurranser og ha profiler i sosiale medier s\u00e5 sier vi faktisk til svindlere at &#8220;her er jeg!&#8221;. Enten ved at tjenestene\/konkurransene er satt opp av svindlere, slik vi har sett mange eksempler p\u00e5, eller at svindlere\/hackere klarer \u00e5 hente ut data. Det er ogs\u00e5 viktig \u00e5 forst\u00e5 at dette hentes ut automatisk. Svindlere finner aktuelle m\u00e5l ved hjelp av programvare, ikke manuelt arbeid. <a href=\"http:\/\/www.datasikkerhetsboka.no\/blogg\/2016\/07\/26\/facebook-graph-search-en-gullgruve-for-svindlere\/\">Facebook Graph Search <\/a>som vi har omtalt tidligere, et et slikt eksempel. Husk at alt som trengs for at du skal bli et m\u00e5l for en svindel er at svindleren har en liste av e-postadresser, telefonnummer eller brukernavn p\u00e5 sosiale medier. Vi har omtalt <a href=\"http:\/\/www.datasikkerhetsboka.no\/blogg\/2016\/02\/29\/hvorfor-far-jeg-svindel-e-post\/\">hvordan man havner p\u00e5 svindlernes e-postlister<\/a> tidligere.<\/li>\n<li>Digital svindel og kriminalitet kan gj\u00f8res over store avstander. At du bor p\u00e5 en liten ukjent plass har ikke noe \u00e5 si. Svindlerne kan operere i trygget fra andre land med sv\u00e6rt svakt lovverk rundt datakriminalitet. Ofte ogs\u00e5 bak mange lag med anonymisering slik at det i praksis er umulig \u00e5 finne ut hvem som st\u00e5r bak. Ofte benytter de ogs\u00e5 maskinene til ofre som alt er hacket for \u00e5 beg\u00e5 selve lovbruddet, slik at spor peker mot en uskyldig persons maskin og Internettabonnement. Dette kan vel s\u00e5 gjerne v\u00e6re din maskin&#8230;. (Det kommer en bloggpost om dette senere)<\/li>\n<li>Og s\u00e5 det viktigste poenget. Svindler er automatisert&#8230; Det betyr at de kan sende ut svindlene til hundre tusenvis av brukere i h\u00e5p om at noen g\u00e5r p\u00e5. Man trenger ikke her velge ut de mest interessante og beste m\u00e5lene p\u00e5 grunn av knapphet i tid og ressurser&#8230; Man angriper alle.<\/li>\n<\/ol>\n<p>En siste ting f\u00e5 tenker over er at mye datakriminalitet skjer faktisk fra folk vi kjenner, som synes vi er veldig interessante m\u00e5l. Det kan v\u00e6re ekskj\u00e6rester eller <a href=\"http:\/\/www.datasikkerhetsboka.no\/blogg\/2017\/03\/03\/barn-og-datasikkerhet-hva-bor-foreldre-vite\/\">barnas mobbere<\/a> p\u00e5 skolen. \u00a0Det \u00e5 f.eks. kunne overv\u00e5ke posisjonen eller surfehistorikken til noen man kjenner er et m\u00e5l for mange. \u00a0V\u00e6r ogs\u00e5 klar over at det stadig dukker opp mer og mer brukervennlige verkt\u00f8y for hacking og svindel. Man trenger alts\u00e5 ikke lenger ha kunnskap om IT for \u00e5 v\u00e6re en hacker eller svindler. \u00a0Enhver som &#8220;Googler&#8221; litt vil v\u00e6re i stand til \u00e5 gj\u00f8re sv\u00e6rt s\u00e5 avanserte angrep, uten \u00e5 egentlig vite hva de gj\u00f8r. De regner kun v\u00e6re interessert i resultatet av handlingen&#8230;.<\/p>\n<p>&nbsp;<\/p>\n<h3>3. Jeg er god p\u00e5 \u00e5 avsl\u00f8re svindler<\/h3>\n<p>Mange har ogs\u00e5 en tro p\u00e5 at de er flinke til \u00e5 avsl\u00f8re svindler. Og ja, vi har alle f\u00e5tt tilbud om \u00e5 arve en rik onkel i Amerika, eller beskjed om at vi har vunnet 1.000.000 kr i et lotteri. Dette er sv\u00e6rt enkle svindler \u00e5 avsl\u00f8re. Disse sendes ut til hundre-tusenvis av mottakere i h\u00e5p om at noen svarer, og n\u00e5r noen faktisk svarer er man helt sikker p\u00e5 at disse er &#8220;lettlurte nok&#8221; til \u00e5 g\u00e5 p\u00e5 hva som helst. Dermed har man filtrert frem de man \u00f8nsker \u00e5 bruke tid til manuelt arbeid p\u00e5.<\/p>\n<p>Men \u00e5 benytte det faktum at du var blant de 999.995 andre som klarte \u00e5 avsl\u00f8re disse gj\u00f8r deg dessverre ikke automatisk i stand til \u00e5 avsl\u00f8re alle svindler. Faktisk s\u00e5 er det slik at om man ikke har kunnskap om metodene som benyttes, s\u00e5 er det sv\u00e6rt f\u00e5 &#8220;vanlige brukere&#8221; som vil klare \u00e5 avsl\u00f8re svindler og hacking som er godt laget.<\/p>\n<p>Svindler i dag er p\u00e5 godt norsk og ser stort sett like proffe ut som bedriftene\/organisasjonene de utgir seg for \u00e5 v\u00e6re. De baserer seg ogs\u00e5 p\u00e5 psykologi, der man vet at offeret vil handle f\u00f8r de tenker seg om (typisk frykt, nysgjerrighet, seksualitet, autoriteter osv). I tillegg inneholder de personlig informasjon (navn, adresse osv) og er ofte knyttet opp mot en st\u00f8rre historie du er en del av. F.eks. har svindlerne funnet ferieinformasjon p\u00e5 Facebook eller utgir seg for \u00e5 v\u00e6re en person eller butikk p\u00e5 ditt bosted.<\/p>\n<p>For \u00e5 avsl\u00f8re denne typen svindel m\u00e5 man vite hvilke teknikker som benyttes, og gjerne ogs\u00e5 ha et minimum av teknisk kompetanse for \u00e5 avsl\u00f8re slike ting som falske linker osv.<\/p>\n<h3>4. Jeg har antivirus og sikkerhet er IT-avdelingen sin jobb<\/h3>\n<p>Den siste holdningen som er farlig er \u00e5 flytte ansvaret for sin egen sikkerhet over p\u00e5 andre. Alt for mange sier at &#8220;jeg har antivirus&#8221; s\u00e5 derfor kan jeg ikke bli et offer. Dette er dessverre en feil mange gj\u00f8r. Man skal v\u00e6re heldig om et antivirusverkt\u00f8y faktisk klarer \u00e5 oppdage og advare om de <em>virusene<\/em> man f\u00e5r (sv\u00e6rt mye detekteres ikke). Virus er imidlertid bare en liten del av de farene vi er utsatt for. Et antivirusverkt\u00f8y kan f.eks. ikke hindre at du melder deg p\u00e5 en falsk konkurranse, \u00a0tegner deg opp til et dyrt abonnement eller gir fra deg personlig informasjon. Ei heller at du logger inn p\u00e5 en falsk versjon av Facebook, som stjeler brukernavn og passord&#8230; Kanskje samme passord du benytter mange steder.<\/p>\n<p>Tilsvarende legger arbeidstakere ofte ansvaret over p\u00e5 IT-drift. IT-drift kan sikre sine servere og nettverk fra de mest kjente farene, men de kan ikke sikre at du ikke blir lurt. Det kan du kun gj\u00f8re selv med din egen kunnskap.<\/p>\n<p>Ei heller kan vi legge ansvaret over p\u00e5 de som lager tjenester. Ja, i mange tilfeller har de sikkerhetshull og er d\u00e5rlig laget, men det er en risiko vi alltid m\u00e5 ta n\u00e5r vi benytter en tjeneste. \u00a0Det er v\u00e5r bruk av tjenesten som er viktig \u00e5 v\u00e6re bevisst over. Vi kan sende et pinlig bilde p\u00e5 Messenger i Facebook, og legge skylden p\u00e5 Facebook om det kommer p\u00e5 avveie, men konsekvensene g\u00e5r likevel utover oss selv. Det er her vi skulle v\u00e6rt bevisst p\u00e5 at er bildet virkelig s\u00e5 sensitivt, s\u00e5 skulle det aldri v\u00e6rt sendt via en tjeneste vi umulig selv kan vite om har sikkerhetshull eller ikke&#8230;<\/p>\n<p>&nbsp;<\/p>\n<h3>Konklusjon<\/h3>\n<p>Alle disse fire holdningene gj\u00f8r dessverre at ordin\u00e6re brukere ikke tar seg tid til \u00e5 l\u00e6re mer om datasikkerhet. Det er synd, for det er ikke spesielt mye som skal til for \u00e5 unng\u00e5 \u00e5 bli et offer for alle de vanligste svindeltypene og hackingfors\u00f8kene. Kjenner man svindlernes fremgangsm\u00e5ter vil man faktisk kunne v\u00e6re i stand til \u00e5 avsl\u00f8re de fleste vanlige svindler. Og l\u00e6rer man seg i tillegg noen grep for \u00e5 ikke spre om seg med personlig info vil man kanskje unng\u00e5 de store b\u00f8lgene med masseutsendt svindel.<\/p>\n<p>Jeg t\u00f8r p\u00e5st\u00e5 at vi alle burde hatt bedre oppl\u00e6ring i datasikkerhet. Det burde f.eks. inn i skolen. Hvorfor l\u00e6rer barn heimkunnskap, sl\u00f8yd, gym osv, men ikke datasikkerhet? \u00a0Hvorfor bruker bedrifter hundre tusener ar kroner p\u00e5 \u00e5 kj\u00f8pe dyrt utstyr og sende IT-personalet p\u00e5 kurs, n\u00e5r det egentlig er de ordin\u00e6re ansatte som burde hatt oppl\u00e6ringen?<\/p>\n<p>Og hvorfor investerer ikke privatpersoner litt mer tid og innsats i \u00e5 l\u00e6re seg datasikkerhet. Det ville v\u00e6rt langt mer l\u00f8nnsomt \u00e5 brukt 15-20 timer av livet p\u00e5 litt oppl\u00e6ring, enn \u00e5 kanskje f\u00e5 et tap p\u00e5 titalls tusen, f\u00e5 massive problemer av ID-tyveri eller sogen over personlige filer som blir borte for alltid.<\/p>\n<p>(Og ja, har du lyst til \u00e5 l\u00e6re mer er <a href=\"http:\/\/www.datasikkerhetsboka.no\">boken vi har skrevet om datasikkerhet for folk<\/a> flest et godt sted \u00e5 starte&#8230;)<\/p>\n<p>&nbsp;<\/p>\n<!--CusAds0-->\n<div style=\"font-size: 0px; height: 0px; line-height: 0px; margin: 0; padding: 0; clear: both;\"><\/div>","protected":false},"excerpt":{"rendered":"<p>Jeg er mye rundt og holder foredrag og snakker med mennesker om datasikkerhet, og en av de tingene som aldri slutter \u00e5 forundre meg er folks holdninger til sikkerhet. Det er stort sett fire&#46;&#46;&#46;<\/p>\n","protected":false},"author":1,"featured_media":1142,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[81,4],"tags":[],"class_list":["post-1931","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-kronikk","category-sikkerhetsrad"],"aioseo_notices":[],"jetpack_featured_media_url":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-content\/uploads\/2016\/08\/ID-10095540.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/posts\/1931","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/comments?post=1931"}],"version-history":[{"count":2,"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/posts\/1931\/revisions"}],"predecessor-version":[{"id":1933,"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/posts\/1931\/revisions\/1933"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/media\/1142"}],"wp:attachment":[{"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/media?parent=1931"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/categories?post=1931"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/tags?post=1931"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}