Í þessari grein förum við yfir helstu ógnir sem ber að varast á internetinu og hvernig best er að tryggja gagnaöryggi hjá þér eða þínu fyritæki.

Netárásir aukast með degi hverjum

Datatech.is hefur undanfarin ár fengið óteljandi fyrirspurnir frá fólki sem hefur lent í ýmiskonar netárásum og net-svindli. Netárásir aukast með hverjum degi og sífellt eru að koma fram nýjar leiðir sem tölvuglæpamenn eða hakkarar nota til þess að reyna svindla fé af saklausu fólki. Eða þvinga fólk til þess að greiða þeim peninga ýmist með því að dulkóða (e. encryption) gögnin þeirra. Þannig að eigandi geti ekki notað þau eða þeir ná í viðkvæm gögn eins og ljósmyndir og hóta að leka þeim til allra tengiliða viðkomandi sé þeim ekki greitt uppsett lausnargjald.

Rétt eins og við læsum húsinu okkar og setjum upp öryggiskerfi til að vernda heimilið frá innbrotsþjófum þurfum við að passa upp á að tölvurnar og gögnin okkar séu örugg og með þar til gerðar vírus og net varnir í lagi. Hér í þessari grein ætlum við að fara yfir helstu ógnir sem ber að varast og hvernig best er að tryggja að enginn geti hakkað sig inn á gögnin þín, tölvur og samfélagsmiðla. Við förum yfir mikilvægi þess að nota öflug lykilorð, og hvers vegna það sé ekki góð hugmynd að nota algeng lykilorð eins og símanúmer, kennitölur og annað sem tengist þér og auðvelt er að giska á. Við förum einnig yfir hvernig þú setur upp tveggja þátt auðkenningu og hvers vegna hún er gríðarlega öflug vörn gegn netárásum.

Við vonum að eftir að þú hefur lesið þessa grein að þú verðir meðvitaðri um netvarnir, vitir hvað ber að varast og verðir alltaf með net öryggismálin í lagi.

Algengar hættur á internetinu

Áhættur blasa við okkur nú þegar notkun internetsins og gagna eykst með hverjum degi. Við erum sífellt að framleiða ný gögn og skiljum eftir rafræn fótspor hvert sem við förum eða nánast við hvað sem við gerum. Glæpir færast á netið og glæpamenn notfæra sér veikleika hjá fólki og plata sig inn á tölvurnar með ýmsum gylliboðum eins og setja upp auglýsingar og mjög faglega gerðar vefsíður um að þú getir grætt mikla peninga með t.d. Bitcoin eða forex trading.

A. Gagnagíslataka

Hvað er Gagnagíslataka (e. Ransomware Attack)

Gagnagíslataka virkar þannig að netglæpamaður setur upp gildrur á t.d. vefsíðum þar sem þeir bjóða upp á ókeypis öpp eða forrit. Eða jafnvel setja inn torrent skrár á vinsælar torrent deili síður sem er látið líta út eins og um sé að ræða vinsæla nýja bíómynd sem er í bíó sem er svo ekkert á bakvið nema þessi troju hestur. Þegar búið er að niðurhala skránni og reynt er að spila hana, þá setur þessi troju hestur upp falin hugbúnað sem læsir svo öllum gögnum á tölvu fórnarlambsins með öflugri dulkóðun. Fólk fær svo tölvupóst sem er órekjanlegur þar sem hann er sendur frá tölvupóstinum sem er uppsettur á tölvu notandans sem segir að til þess að aflæsa gögnunum verðir þú að leggja pening inn á bitcoin veski og gefa upp bitcoin addressu til þess.

Aldrei greiða lausnargjöld! (e. Ransom fee)

Mikilvægt er að greiða aldrei þessi lausnargjöld því þú hefur enga tryggingu fyrir því að þú fáir aftur aðgang eða lykilorð af gögnunum þínum og mjög líklega mun tölvu glæpamaðurinn krefjast meiri peninga í framhaldinu þegar hann er búinn að fá eina greiðslu.

Hvernig þú kemur í veg fyrir Gagnagíslatökuárás

Að vera meðvitaður um tilvist gagnagíslatöku árása er fyrsta skrefið. Vertu á varðbergi þegar þú sérð einhverjar auglýsingar sem eru of góðar til að vera sannar sem lofa einhverju ókeypis. Passaðu þig á torrent síðum, þar er auðvelt að ná sér í troju hest eða vírus. Það er líka miklu einfaldara bara kaupa sér áskrift af Netflix

Gulltryggðu gögnin þín með því að taka reglulega gagnaafrit af þeim og hýstu á óumbreytanlegu formi svo komdu þannig í vegfyrir að árásaraðilar geti dulkóðað gögnin þín.

Kynntu þér gagnaafritun Datatech með því að smella hér!

B. Sextortion

  1. Sextortion” er hugtak yfir það þegar netglæpamaður kemst yfir t.d. nektarmyndir af tölvu eða síma fórnarlambs síns og hótar að senda það á alla tengiliði fái hann ekki væna greiðslu inn á bitcoin veskið sitt. Aldrei greiða þeim, það er enginn trygging fyrir því að hann sendi myndirnar samt ekki áfram.
  2. Netglæpamaður sendir tölvupóst og segist hafa hakkað sig inn á tölvu viðtakanda. Næst segist hann eiga myndir af viðtakanda að gæla við sig á kynferðislegan hátt. Myndir sem hann tók af honum með vefmyndavél tölvunnar. Þetta er yfirleitt svindl og þessi póstur sendur á endalaust af fólki og það er ekkert á bakvið þetta.

Þú getur lesið þér meira til um “Sextortion” á vefsvæði bandarísku alríkis lögreglunnar. FBI and Partners Issue National Public Safety Alert on Financial Sextortion Schemes — FBI

Ef þú hefur lent í tölvuárás eða einhver er að krefja þig lausnargjalds vegna viðkvæmra gagna þá skaltu tilkynna það strax til Lögreglu með tölvupósti á: abendingar@lrh.is og einnig getur þú tilkynnt atvik til Cert.is: Tilkynna atvik (cert.is) “CERT-IS gegnir hlutverki landsbundins öryggis- og viðbragðsteymis vegna ógna, atvika og áhættu er varðar net- og upplýsingaöryggi (þjóðar-CSIRT“. Þú getur að lokum kynnt þér upplýsingasíðu lögreglunnar um netglæpi Netsvindl | Lögreglan (logreglan.is)

C. Aðrir Netglæpir

Phishing Scam

Netglæpamenn stunda það að klóna þekktar vefsíður sem fólk nota reglulega og senda tölvupósta á fólk í þeirra nafni. Þar sem fólk er beðið um að skrá sig inn og gefa þeim þar með ómeðvitað aðgang af þeirra raunverulegu aðgöngum. Íslandspóstur hefur lent i þessu ítrekað að netglæpamenn noti þeirra vörumerki og sendi mjög raunveruleg SMS og tölvupósta í þeirra nafni og biðji um greiðslur fyrir pakka sem eiga vera komnir á pósthús. Þannig ná þeir kortaupplýsingum sem þeir svo nota til að keyra í gegn færslur þangað til ekki er til meiri heimild á korti fórnarlambsins. Gott er að skoða hver er raunverulegur sendandi tölvupóstsins með því að smella á netfang sendanda og sannreyna að domain sé rétt. Ef domain passar ekki við domain eða vefsvæði sendanda þá er klárlega um svikapóst að ræða.

Persónu einkenna þjófnaður

Persónu einkenna þjófnaður (e. identity theft) er hugtak sem notað er um þegar tölvuglæpamaður þykist vera annar einstaklingur. Framkvæmir gjörninga á netinu í nafni fórnarlambs síns. Algengt er að þeir setji upp samfélagsmiðla og noti ljósmyndir stolnar af samfélagsmiðlum fórnarlambs síns. Þeir nota þessar upplýsingar til að búa til nýja aðganga og hafa samband við vini og ættingja fórnarlambsins og biðja um peningalán.

Mikilvægi öflugrar net og vírus varna

Til þess að fyrirbyggja netárásir er mikilvægt að vera með öfluga internet og vírusvörn. Við bjóðum upp á vírus og netöryggisvörn frá Webroot, margverðlaunum next-gen Antivirus og DNS vörn.

Auktu öryggi þitt verulega með flóknum lykilorðum og tveggja þátta auðkenningu

A. Af hverju er mikilvægt að nota flókin og sterk lykilorð

1. Hvað er flókið lykilorð?

Flókið lykilorð er lágmark 12 stafir og inniheldur há og lágstafi, tölustafi og tákn. Mikilvægt er að nota ekki sama lykilorðið fyrir alla aðganga sem þú ert með, ef lykilorðið lekur frá einum stað þá eru allir aðrir aðgangar í hættu.

2. Hvernig ver flókið lykilorð mig fyrir tölvuárásum?

Því flóknara sem lykilorðið er því erfiðara er að nota “Brute-force-attack” til þess að brjóta það upp. Sjá töflu hér fyrir neðan. Á töflunni má sjá að það tekur 34.000 ár að brjóta upp lykilborð sem inniheldur 12 stafi. Þar sem að minnsta kosti einn hástafur er notaður, einn tölustafur og eitt tákn. Hins vegar má sjá að ef lykilorðið eru aðeins 1-8 bókstafir, er það vita gagnslaust og hakkari getur brotið það upp samstundis.

Til að halda utan um lykilorð er best er að nota gott “Password management” app eins og t.d. lastpass.com.

B. Hvað er tveggja þátta auðkenning (2FA)

1. Tveggja þátta auðkenning

Með tveggja þátta auðkenningu (e. Two factor Authentication) ertu að setja á þig belti og axlabönd. Þótt svo tölvuglæpamaður gæti verið með lykilorðið þitt og þú ert með tveggja þátta auðkenningu virka, þá kemst hann ekki inn á aðganginn þinn, því þú verður að setja inn kóða sem kemur annaðhvort með SMS eða með þar til gerðu appi.

2. Hvernig virkar tveggja þátta auðkenning?

Þegar þú hefur sett upp tveggja þátta auðkenningu þá færðu alltaf SMS í símann þinn með kóða eða þú getur einnig notað app eins og google authenticator fyrir Apple tæki eða á Android Google Authenticator – Apps on Google Play Til þess að sækja kóða sem þarf að slá inn eftir að lykilorð þitt hefur verið slegið inn.

Samantekt

Ef þú hefur náð að lesa svona langt erum við búin að fara yfir allar helstu hættur á internetinu og hvernig ber að varast þær. Þú hefur lært að það er gríðarlega mikilvægt að nota tveggja þátta auðkenningu (2FA), nota öflugt lykilorð sem er að lágmarki 12 stafir með hástöfum, lágstöfum, tölustöfum og tákni.

Þú hefur lært að það er mjög mikilvægt að vera með öfluga vírus og internetvörn uppsetta og uppfærða á tölvunni þinni og við hjá Datatech mælum með Webroot vírus og netöryggisvörn.

Við fórum yfir hvað skal gera ef þú hefur lent í tölvuárás og hvert skal leita eftir aðstoð.

Ef þú hefur lent í netárás er mikilvægt að þú byrjir á því að tilkynna árásina til Lögreglu og Cert.is. Sért þú í vandræðum með dulkóðuð gögn getum við hjá Datatech.is aðstoðað í sumum tilfellum. Þá þarftu að stofna Þjónustubeiðni og koma tölvubúnaðinum til okkar. (móttakan er hjá Pixlar.is, Suðurlandsbraut 54) eða senda hann til okkar með Íslandspósti.

Höfundur er eigandi Datatech og sérfræðingur hjá Lögreglunni í stafrænum rannsóknum.