22. januar 2019
De fleste av oss har opplevd å få e-poster hvor avsender utgir seg for å være for eksempel banken din, Skatteetaten eller Posten. Felles for alle disse er at du ved å trykke på en link, blir bedt om å oppgi sensitiv informasjon. Det er allikevel noe som ikke stemmer. Språket er dårlig, avsenderadressen er mistenkelig og lenken fører til et helt annet nettsted enn den aktuelle virksomheten. Om noe ser for godt ut til å være sant, så er det ofte det.
I takt med teknologien har svindlerne blitt smartere. Nettfiskeangrep (phishing) hvor trusselaktørene «fisker» etter verdifull informasjon blir stadig mer avanserte, og vi ser ofte at de er direkte rettet mot spesifikke selskaper. I en virksomhet med flere hundre ansatte holder det ofte at én ansatt gir fra seg sensitiv informasjon. Ofte blir medarbeideren lurt til å gi fra seg passord til e-post eller skytjenester. Svindlerne vil utnytte denne tilgangen til å skaffe seg informasjon eller svindle til seg penger. Vi har sett flere eksempler der de kriminelle først hacker kontoen til en leder, for å deretter misbruke denne ved å lure en medarbeider til å endre kontonummeret til en leverandør, eller betale falske fakturaer.
Mennesker er enkle mål
Sannheten er at mennesker er enkle mål. Uansett hvor mye ressurser vi bruker på teknologi og forebyggende utstyr, vil selskapets ansatte nesten alltid være den døra som er lettest å dirke opp for en trusselaktør. Nettopp derfor gjennomfører vi nettfiskeøvelser for våre kunder, hvor hensikten er å øke kompetanse, samt skape bevissthet rundt forsøk på sosial manipulering. Faktisk er det slik at rundt 90% av alle vellykkede dataangrep skjer ved bruk av e-post. Selv om man skulle tro at de fleste forsøkene på nettfiske blir gjennomskuet, så er dette dessverre ikke tilfelle. En enkel måte å beskytte mot angrep via e-post er å øke antall lag med beskyttelse. Vi skal nå gjennomgå de forskjellige verifikasjonsmetodene som kan hindre at en trusselaktør får tilgang til interne kontoer og sensitiv informasjon hos virksomheten selv om ansatte skulle være uheldige å gi fra seg brukernavn og passord.
Enfaktor-autentisering
Enfaktor-autentisering er sannsynligvis metoden du benytter på de fleste av dine kontoer på nett. Dette er den enkleste og vanligste formen for verifikasjon. De fleste systemer krever et selvvalgt passord for innlogging, noe som dessverre ikke er en tilfredsstillende sikring sett i lys av dagens trusselbilde. Det finnes utallige artikler som definerer hva som er et godt passord, men når det kreves unike passord av svært avansert karakter, skaper det utfordringer for oss vanlige mennesker. Dette er grunnen til at det har kommet løsninger som skal gjøre det vanskeligere for trusselaktører ved å legge til en ekstra sikkerhetsmekanisme. Disse kommer vi til straks. For tjenester som ikke støtter multifaktor-autentisering, har vi følgende anbefalinger:
1. Benytt en passord-manager til å lagre passordene dine
2. Lag unike passord for hver tjeneste
3. Bruk en setning med flere ord, gjerne med mellomrom
4. Variasjon av små og store bokstaver, symboler og tall
Tofaktor-autentisering
Ytterligere sikkerhet oppnås ved hjelp av tofaktor-autentisering. Dette sikrer at du er den eneste personen som får tilgang til kontoen din, selv om noen andre kan passordet ditt. Det kreves derfor to av de tre følgende verifiseringsmetodene:
1. Noe bare du vet - eksempelvis en PIN-kode eller et passord,
2. Noe bare du besitter - som en mobiltelefon eller kodebrikke,
3. Noe du er - en fysisk identifikator som fingeravtrykk eller ansiktsgjenkjenning.
Selv om begrepet for mange virker ukjent er dette noe bl.a. banker har brukt i mange år i form av en kodebrikke for innlogging i nettbank. Kodebrikken gir en ekstra bekreftelse ved at det (forhåpentligvis) bare er du som er i besittelse av den. Dette forbedrer sikkerheten betraktelig. Den vanligste metoden for tofaktor-autentisering er å få tilsendt en unik kode til din telefon, enten via SMS eller ved bruk av apper som generer sikkerhetskoder (vi anbefaler Google Authenticator eller Authy). Det finnes tilfeller hvor trusselaktører har klart å rute disse kodene til seg selv eller opprettet falske nettsider hvor kodene som genereres klones, men dette er svært kompleks kunnskap som kun et fåtall av verdens hackere besitter. Det er derfor en betraktelig sikrere metode sammenlignet med å kun benytte et passord.
Multifaktor-autentisering
Multifaktor-autentisering er et samlebegrep hvor også tofaktor-autentisering inngår, men vanligvis bruker vi dette begrepet om verifikasjonsmetoder hvor man benytter alle de tre formene for verifikasjon nevnt i avsnittet over. Dette er en autentiseringsmetode som har økt i omfang, i takt med ny teknologi som retina-skanning, ansiktsgjenkjenning og fingeravtrykk. Det er en veldig sikker form for autentisering, som også er svært enkel og tidseffektiv for brukerne. Multifaktor-autentisering bør aktiveres der du har mulighet til å gjøre dette.
Bedre føre var enn etter snar
Lurer du på om noen av dine passord er kommet på avveie? Ved å gå inn på denne lenken kan du undersøke om dine nåværende eller tidligere passord har kommet i hendene på kriminelle i form av kjente passordlekkasjer. Sannsynligheten er dessverre stor for at du er registrert hos en aktør som utilsiktet har eksponert informasjon om sine brukere for offentligheten. Det betyr ikke nødvendigvis at du er hacket, men det er skummelt nok i seg selv at passordet ditt ligger fritt tilgjengelig på internett. Dette illustrerer viktigheten av å ha en ekstra form for autentisering når du logger inn på dine brukerkontoer. Husk derfor alltid å aktivere flere lag med beskyttelse der du har mulighet, spesielt i jobbsammenheng hvor ikke bare dine egne, men også andres verdier potensielt kan stå på spill.
Hvordan kan BDO Cybersecurity hjelpe din virksomhet
BDO Cybersecurity gjennomfører jevnlig nettfiskeøvelser for våre kunder. Gjennom øvelse og økt kompetanse lærer de ansatte å fange opp faresignaler og oppdage mistenkelige e-poster. Dersom du er usikker på hvordan du skal forholde deg til IT-sikkerhet, og hvilke løsninger som passer for deg og din virksomhet, så ta gjerne kontakt med oss på adressen [email protected].