Hvorfor skulle jeg være et mulig offer for datakriminalitet?

Jeg er mye rundt og holder foredrag og snakker med mennesker om datasikkerhet, og en av de tingene som aldri slutter å forundre meg er folks holdninger til sikkerhet. Det er stort sett fire holdninger som gjør at de aller fleste er langt mer utsatt for svindler og angrep enn det de egentlig hadde behøvd være. Jeg skal gå gjennom disse her. Riktignok settes det på spissen for å få frem poenget, men det kan være nyttig å tenke over om du kanskje er påvirket av noen av de samme holdningene.

Beklager at innlegget er noe negativt vinklet, men det er en måte å få luftet ut litt frustrasjon…. 🙂

1. Jeg vet ikke hvordan man gjør det… Hvorfor skulle noen andre vite det?

Når man begynner å dykke ned i temaet datasikkerhet så blir man straks veldig ydmyk for hvor mye man ikke vet, og hvor mye som det er mulig å gjøre. Jeg har arbeidet med datasikkerhet i snart 10 år, og for hver dag som går blir jeg stadig mer engstelig for både det jeg vet er mulig å gjøre, men også alt det jeg tydeligvis ikke vet om ennå. Jo mer kunnskap jeg får, jo mer forstår jeg også at jeg også ikke kan.

Brukere man møter som ikke har vært spesielt opptatt av datasikkerhet har imidlertid ofte en helt annen innstilling. Denne kan stort sett oppsummeres som “Ettersom jeg ikke vet hvordan man gjør, hvordan skulle noen andre vite det?”

Dette er selvsagt ikke en veloverveid tanke, men allikevel den holdningen mange får. Dette er brukere som ellers er ganske inneforstått med at de ikke er noen eksperter på databruk. De spør om hjelp til ting de skal gjøre, og er engstelige for å trykke på nye menyvalg eller oppgradere til nye programmer og maskinvare de ikke kjenner.  I disse tilfellene får de daglig en feedback på hva de kan og hva de ikke kan. Derimot klarer de ikke å se at det finnes svært mange der ute som kan utrolig mye mer enn de om svindel og hacking.

Selv enkle ting som å forfalske avsender på e-post og SMS er det mange som mener ikke er mulig, ettersom de selv ikke vet hvordan det gjøres. Dessverre vet omtrent alle svindlere det…

2. Hvorfor skulle noen svindlere vite om eller være interessert i meg?

En annen holdning som er svært farlig er at svært mange brukere tenker at de ikke er et mål for svindler og hacking. De tenker at hvordan i all verden skal svindlere og hackere vite om dem… Og hvorfor skal de være et aktuelt mål?

Dessverre er ikke datakriminalitet som annen kriminalitet. Innbrudd i bolig er noe de fleste er bekymret for. Her har imidlertid den kriminelle mange begrensninger:

1. Må finne målet ved å rekognosere
2. Må være fysisk til stede ved boligen for å begå lovbruddet
3. Har begrenset med tid og må velge de “beste” målene

En svindler vil derimot ikke være begrenset på samme måte. La oss se på de samme punktene for en svindler.

1. Her har du ofte selv gitt svindlere tips om deg selv. Få tenker over det, men ved å registrere seg i tjenester, melde seg på konkurranser og ha profiler i sosiale medier så sier vi faktisk til svindlere at “her er jeg!”. Enten ved at tjenestene/konkurransene er satt opp av svindlere, slik vi har sett mange eksempler på, eller at svindlere/hackere klarer å hente ut data. Det er også viktig å forstå at dette hentes ut automatisk. Svindlere finner aktuelle mål ved hjelp av programvare, ikke manuelt arbeid. Facebook Graph Search som vi har omtalt tidligere, et et slikt eksempel. Husk at alt som trengs for at du skal bli et mål for en svindel er at svindleren har en liste av e-postadresser, telefonnummer eller brukernavn på sosiale medier. Vi har omtalt hvordan man havner på svindlernes e-postlister tidligere.
2. Digital svindel og kriminalitet kan gjøres over store avstander. At du bor på en liten ukjent plass har ikke noe å si. Svindlerne kan operere i trygget fra andre land med svært svakt lovverk rundt datakriminalitet. Ofte også bak mange lag med anonymisering slik at det i praksis er umulig å finne ut hvem som står bak. Ofte benytter de også maskinene til ofre som alt er hacket for å begå selve lovbruddet, slik at spor peker mot en uskyldig persons maskin og Internettabonnement. Dette kan vel så gjerne være din maskin…. (Det kommer en bloggpost om dette senere)
3. Og så det viktigste poenget. Svindler er automatisert… Det betyr at de kan sende ut svindlene til hundre tusenvis av brukere i håp om at noen går på. Man trenger ikke her velge ut de mest interessante og beste målene på grunn av knapphet i tid og ressurser… Man angriper alle.

En siste ting få tenker over er at mye datakriminalitet skjer faktisk fra folk vi kjenner, som synes vi er veldig interessante mål. Det kan være ekskjærester eller barnas mobbere på skolen.  Det å f.eks. kunne overvåke posisjonen eller surfehistorikken til noen man kjenner er et mål for mange.  Vær også klar over at det stadig dukker opp mer og mer brukervennlige verktøy for hacking og svindel. Man trenger altså ikke lenger ha kunnskap om IT for å være en hacker eller svindler.  Enhver som “Googler” litt vil være i stand til å gjøre svært så avanserte angrep, uten å egentlig vite hva de gjør. De regner kun være interessert i resultatet av handlingen….

3. Jeg er god på å avsløre svindler

Mange har også en tro på at de er flinke til å avsløre svindler. Og ja, vi har alle fått tilbud om å arve en rik onkel i Amerika, eller beskjed om at vi har vunnet 1.000.000 kr i et lotteri. Dette er svært enkle svindler å avsløre. Disse sendes ut til hundre-tusenvis av mottakere i håp om at noen svarer, og når noen faktisk svarer er man helt sikker på at disse er “lettlurte nok” til å gå på hva som helst. Dermed har man filtrert frem de man ønsker å bruke tid til manuelt arbeid på.

Men å benytte det faktum at du var blant de 999.995 andre som klarte å avsløre disse gjør deg dessverre ikke automatisk i stand til å avsløre alle svindler. Faktisk så er det slik at om man ikke har kunnskap om metodene som benyttes, så er det svært få “vanlige brukere” som vil klare å avsløre svindler og hacking som er godt laget.

Svindler i dag er på godt norsk og ser stort sett like proffe ut som bedriftene/organisasjonene de utgir seg for å være. De baserer seg også på psykologi, der man vet at offeret vil handle før de tenker seg om (typisk frykt, nysgjerrighet, seksualitet, autoriteter osv). I tillegg inneholder de personlig informasjon (navn, adresse osv) og er ofte knyttet opp mot en større historie du er en del av. F.eks. har svindlerne funnet ferieinformasjon på Facebook eller utgir seg for å være en person eller butikk på ditt bosted.

For å avsløre denne typen svindel må man vite hvilke teknikker som benyttes, og gjerne også ha et minimum av teknisk kompetanse for å avsløre slike ting som falske linker osv.

4. Jeg har antivirus og sikkerhet er IT-avdelingen sin jobb

Den siste holdningen som er farlig er å flytte ansvaret for sin egen sikkerhet over på andre. Alt for mange sier at “jeg har antivirus” så derfor kan jeg ikke bli et offer. Dette er dessverre en feil mange gjør. Man skal være heldig om et antivirusverktøy faktisk klarer å oppdage og advare om de virusene man får (svært mye detekteres ikke). Virus er imidlertid bare en liten del av de farene vi er utsatt for. Et antivirusverktøy kan f.eks. ikke hindre at du melder deg på en falsk konkurranse,  tegner deg opp til et dyrt abonnement eller gir fra deg personlig informasjon. Ei heller at du logger inn på en falsk versjon av Facebook, som stjeler brukernavn og passord… Kanskje samme passord du benytter mange steder.

Tilsvarende legger arbeidstakere ofte ansvaret over på IT-drift. IT-drift kan sikre sine servere og nettverk fra de mest kjente farene, men de kan ikke sikre at du ikke blir lurt. Det kan du kun gjøre selv med din egen kunnskap.

Ei heller kan vi legge ansvaret over på de som lager tjenester. Ja, i mange tilfeller har de sikkerhetshull og er dårlig laget, men det er en risiko vi alltid må ta når vi benytter en tjeneste.  Det er vår bruk av tjenesten som er viktig å være bevisst over. Vi kan sende et pinlig bilde på Messenger i Facebook, og legge skylden på Facebook om det kommer på avveie, men konsekvensene går likevel utover oss selv. Det er her vi skulle vært bevisst på at er bildet virkelig så sensitivt, så skulle det aldri vært sendt via en tjeneste vi umulig selv kan vite om har sikkerhetshull eller ikke…

Konklusjon

Alle disse fire holdningene gjør dessverre at ordinære brukere ikke tar seg tid til å lære mer om datasikkerhet. Det er synd, for det er ikke spesielt mye som skal til for å unngå å bli et offer for alle de vanligste svindeltypene og hackingforsøkene. Kjenner man svindlernes fremgangsmåter vil man faktisk kunne være i stand til å avsløre de fleste vanlige svindler. Og lærer man seg i tillegg noen grep for å ikke spre om seg med personlig info vil man kanskje unngå de store bølgene med masseutsendt svindel.

Jeg tør påstå at vi alle burde hatt bedre opplæring i datasikkerhet. Det burde f.eks. inn i skolen. Hvorfor lærer barn heimkunnskap, sløyd, gym osv, men ikke datasikkerhet?  Hvorfor bruker bedrifter hundre tusener ar kroner på å kjøpe dyrt utstyr og sende IT-personalet på kurs, når det egentlig er de ordinære ansatte som burde hatt opplæringen?

Og hvorfor investerer ikke privatpersoner litt mer tid og innsats i å lære seg datasikkerhet. Det ville vært langt mer lønnsomt å brukt 15-20 timer av livet på litt opplæring, enn å kanskje få et tap på titalls tusen, få massive problemer av ID-tyveri eller sogen over personlige filer som blir borte for alltid.

(Og ja, har du lyst til å lære mer er boken vi har skrevet om datasikkerhet for folk flest et godt sted å starte…)