Hopp til navigasjon Hopp til innhold
Det er ingen grunn til å ferdes på nett uten å lese litt elementær sikkerhetsforståelse. Det er noen farer der ute, men tenker man som om et par ganger og bruker sunn fornuft skal det endel til å miste penger eller sensitiv informasjon. (Ill.: Stomchak)
BLOGG

Vi konkluderer nasjonal sikkerhetsmåned med en liste du bør bokmerke

Synes du denne artikkelen er interessant? Da vil vi anbefale boka Tom Heine har skrevet om datasikkerhet «for folk flest». Les vår anmeldelse.

Oktober er nasjonal sikkerhetsmåned. I forbindelse med dette har ITavisen, i samarbeid med Tom Heine Nätt, økt fokus på forbrukersikkerhet i oktober.

Dette er det siste innlegget, og det er stort. Vi håper det er nyttig og hjelper deg til en sikrere netthverdag. Listen er såpass lang at vi anbefaler at du bokmerker den.

Nasjonal sikkerhetsmåned – Tips #22 – Vedlegg i e-post

  1. tips i forbindelse med nasjonal sikkerhetsmåned er:

Ikke åpne vedlegg i e-post uten at du er helt sikker på hvem avsender er og hva vedlegget inneholder

Vedlegg til e-post er i svært mange tilfeller skadevare (virus).

Det vil aldri komme noen filer du bør åpne med filendelsene (filnavn som ender på)  .html.js.exe eller .zip. Det eneste unntaket kan være filer fra bekjente eller arbeidskolleger som kan tenkes å sende zip-filer. Forsikre deg da helt om at det ikke er en forfalsket e-post før du åpner.

Stort sett det eneste formatet som det er fornuftig at kan bli tilsendt som vedlegg er .pdf. Også disse kan inneholde skadevare, men det er sjeldnere.

Uansett vil vi på det sterkeste fraråde å åpne vedlegg som du ikke vet årsaken til at du mottar.  En vanlig svindelteknikk er f.eks. å sende falske ordrebekreftelser i håp om at mottakeren skal bli stresset eller nysgjerrig og åpne vedlegget for å se hva det er.

Vi har skrevet mer om dette temaet her:

Nasjonal sikkerhetsmåned – Tips #23 – Ikke gå i fella

  1. tips i forbindelse med nasjonal sikkerhetsmåned er:

Vær svært forsiktig med å utforske svindler selv. De har mange flere farer enn det du er klar over

Mange identifiserer at noe ikke stemmer, og at noe muligens er en svindel. Dessverre blir de nysgjerrige, og går likevel i noen av fellene som svindlene inneholder når de skal sjekke hva det faktisk er og hva svindelen går ut på.

Noen av disse farene er:

  • Skadevare (virus) i filer/vedlegg
  • Skadevare på nettsider som det linkes til
  • Sporbare linker som logger hvor og når du klikket på linken
  • Sporbare bilder som logger hvor og når du leste meldingen

Ved å benytte sporbare linker og bilder får svindlerne mer informasjon om deg (slik som lokasjon og Internett-leverandør). Denne informasjonen kan i neste runde benyttes til å lage mer troverdige svindler. Bare det at svindlerne får vite at du leser e-posten vil gjøre at mengden svindelforsøk kan øke.

Hva skal du så gjøre med en svindelmelding?  Det enkle svaret er «ingen ting».  Skal du først foreta deg noe med en svindel, så gjør følgende:

  1. Videresende-posten til [email protected], så kan vi sjekke hva det er på en trygg måte, og advare andre
  2. Slett e-posten

Vi har skrevet mer om dette temaet her:

  1. tips i forbindelse med nasjonal sikkerhetsmåned er:

Vær ekstra skeptisk når noen forsøker lure deg inn på en nettside

Svindel spiller ofte på psykologi, og en av teknikkene er å gjøre deg nysgjerrig. Klarer svindlerne å gjøre deg nysgjerrig, er det også mindre sannsynlig at du vil avsløre svindelen underveis. Hjernen vår blir nærmest «låst» til å finne ut hva dette faktisk er.

En vanlig teknikk som benyttes kalles clickbait. Altså et slags agn for å få klikk og besøk til nettsiden. Ofte er dette svært forlokkende bilder og overskrifter som gjør deg nysgjerrig på hva dette er, i stedet for å gi deg hovedessensen av informasjonen med en gang.

Ser du et bilde eller en tittel på en link i sosiale medier eller i en e-post som gjør deg mer enn normalt nysgjerrig, bør du derfor tenke nøye over hva du gjør før du følger linken videre. Husk at våre instinkter ofte overstyrer våre rasjonelle og logiske tanker.

Vanlig clickbait-innhold er bl.a. ting som spiller på sexy jenter, rare sykdommer eller muligheten til å bli rik.

Det skal sies at også veldig mange trygge nettsider benytter clickbait for å få besøk, ofte fordi de ikke har godt nok innhold til å få nok besøk. Et virkelig faretegn er imidlertid når innholdet du får ikke stemmer over ens med det som ledet deg dit.

Vi har skrevet mer om dette temaet her:

Nasjonal sikkerhetsmåned – Tips #25 – Blir informasjonen egentlig borte?

  1. tips i forbindelse med nasjonal sikkerhetsmåned er:

Vær klar over at det ikke er nok å slette informasjon for at den skal bli borte

Vi har vel alle opplevd at filer og informasjon ved en feil blir borte for godt. Dessverre har informasjon en lei tendens til å bli værende når vi faktisk ønsker å fjerne den.

Når data slettes fra en lagringsenhet er det kun referansen til informasjonen som blir borte. Selve informasjonen forblir intakt inntil plassen den ligger på etter hvert overskrives av nye data. Det er faktisk ganske enkelt å gjenskape data med de riktige verktøyene. Skal vi kvitte oss med en lagringsenhet (PC, mobil, kamera, minnekort osv.) må vi derfor gå grundigere til verks.

Skal utstyret kastes bør det fysisk ødelegges. Skal utstyr selges eller gis bort, bør vi utføre en grundig sletting på en av følgene måter:

  • Benytt verktøy for å utføre en «full formatering» av lagringsenheten
  • Benytt såkalte diskwipe-verktøy
  • Slett alle filer, fyll opp igjen lagringsenheten med nye filer til den er helt full, og slett alle filer på nytt

Vi har skrevet mer om dette temaet her:

Nasjonal sikkerhetsmåned – Tips #26 – Ikke hjelp svindlerne

  1. tips i forbindelse med nasjonal sikkerhetsmåned er:

Unngå å spre svindler videre til dine kontakter gjennom e-post og sosiale medier

Dessverre er det slik at mange er med på å spre svindler videre til sine kontakter, etter at de selv er blitt offer for dem. Dette er spesielt synlig i forbindelse med falske Facebook-sider, falske konkurranser, clickbait og utspekulerte kjedebrev. Flere av svindlene som er aktive i dag, er helt avhengig av at brukerne deler dem videre. Hadde de ikke blitt delt hadde de sluttet å eksistere.

Vær derfor skeptisk til:

  • Meldinger som innstendig ber deg dele dem. Seriøse aktører vil basere seg på at man deler uoppfordret fordi innholdet er bra
  • Konkurranser og tjenester der det er et krav at du deler for å være med

Husk at også liker-klikk og kommentarer vil gjøre informasjonen synlig for dine kontakter.

Vi som mottakere bør også tenke oss om. Vi har veldig lett for å tenke at de vi mottar meldinger fra har «gått god for» innholdet, men det kan jo være at de har mindre kunnskap om datasikkerhet enn det vi selv har.

Vi har skrevet mer om dette temaet her:

Nasjonal sikkerhetsmåned – Tips #27 – Sjekk av domenenavn

  1. tips i forbindelse med nasjonal sikkerhetsmåned er:

Er du i tvil om en nettsides seriøsitet, så sjekk informasjonen bak registreringen av domenenavnet

Det er ikke alltid lett å vite om en nettside er trygg eller ikke. Du kommer kanskje inn på en for deg ukjent nettbutikk, og lurer på om den er trygg å handle i.

En enkel sjekk er å hente ut informasjon om selve domenenavnet (slik som elkjop.nodnb.no osv) som står først i nettadressen. Dette gjøres gjennom en tjeneste som kalles whois. Her kan man finne ut hvem som står bak domenenavn-registreringen, og ikke minst hvor lenge domenenavnet har eksistert. Har domenenavnet eksistert i en kort tidsperiode, så er det ofte et dårlig tegn. En av flere nettsider som tilbyr slike whois-søk er https://who.is/

Nasjonal sikkerhetsmåned – Tips #28 – Aktiver to-faktor-autentisering

  1. tips i forbindelse med nasjonal sikkerhetsmåned er:

Aktiver to-faktor-autentisering i de tjenestene der det er mulig

Du har nok benyttet to-faktor-autentisering allerede. BankID er det mest kjente eksemplet. For å logge inn kreves det to ulike ting. Det krevet noe du vet (altså passordet ditt) og noe du har (altså passordkalkulator eller mobiltelefon). Det er her navnet kommer fra, nemlig at det er to ulike faktorer som skal til, mot kun én (passord) ellers. Et annet kjent eksempel på to-faktor-autentisering er MinID som blant annet benyttes for å logge inn i Altinn. Her må du oppgi passord, samt en kode du får på SMS.

Vi kan sammenligne to-faktor-autentisering litt med en lås. En kode til en kodelås vil være «noe man vet», en nøkkel til en nøkkellås vil være «noe man har».

Selv om man sjelden ser noe slikt, så er to-faktor-autentisering da noe som er låst både med en kodelås og en nøkkellås. Begge må låses opp for å få tilgang.

En rekke tjenester på nett tilbyr også to-faktor-autentisering. Vi kan bl. a. nevne Facebook, Google, PayPal og Dropbox. Ved å aktivere to-faktor-autentisering sikrer du altså brukerkontoen din med et ekstra lag sikkerhet. Skulle noen få kjennskap til brukernavnet og passordet gjennom f. eks. phishing, er ikke dette nok til å få logget inn.

Vi har skrevet mer om dette temaet her:

Nasjonal sikkerhetsmåned – Tips #29 – Unngå svindel-e-post

  1. tips i forbindelse med nasjonal sikkerhetsmåned er:

Begrens mengden svindel-e-post ved å holde e-postadressen din skjult, og ha gjerne flere ulike e-postadresser til forskjellige typer bruk

Det er fort gjort å gå på en svindel du mottar på e-post, så et nyttig grep er å begrense mengden svindelforsøk man mottar. Men hvorfor får du egentlig svindel-e-post? Og hvordan vet svindlerne om nettopp din e-post-adresse?

Her er noen grunner:

  • Automatisk skraping av informasjon fra nettsider. Ligger e-post-adressen synlig på en nettside vil svindlerne få tak i den
  • Du har lagt igjen e-postadressen i konkurranser eller undersøkelser, som så selger informasjonen videre
  • Du har registrert deg som bruker i tjenester som selger informasjonen videre eller blir hacket
  • Svindlerne gjetter på e-postadresser ut i fra personlig informasjon
  • Du har e-post-adressen synlig i profiler på sosiale medier

I tillegg får du mer svindel og spam om svindlerne får bekreftet at e-post-adressen er aktiv. Her er noen metoder:

  • Du har klikket på linker i svindel-e-post
  • Du har klikket på «meld meg av» i svindel-e-post
  • Du har svart på svindel-e-post (f.eks. bedt dem stoppe å sende)
  • Du har skrudd på visning av bilder i svindel-e-post

Vi har skrevet mer om dette temaet her:

Nasjonal sikkerhetsmåned – Tips #30 – Hva er et godt passord?

  1. tips i forbindelse med nasjonal sikkerhetsmåned er:

Et godt passord er noe du selv kan huske, men som ingen kan gjette

De fleste brukere har liten forståelse av hvor enkelt det er å «knekke» et passord. Ettersom svindlere ofte kan teste tusenvis av passord i løpet av få sekunder, tar det ikke lang tid å gjette seg frem til de enkleste passordene. Dessverre har vi lett for å tenke ganske forutsigbart når vi skal lage det vi tror er gode passord.

Her er noen tips:

  • Sørg for at passordet er minst 8 tegn
  • Forsøk å benytte store/små bokstaver, tall og spesialtegn. Ikke plasser tallene og spesialtegnene kun først eller sist
  • Ikke bruk ordlisteord, med mindre du setter sammen flere til et langt passord. F.eks. «elefanterspiserrosabananer»
  • Ikke benytt noen form for personlig informasjon om deg selv eller din familie, slik som navn eller fødselsdato
  • Ikke benytt mønstre på tastaturet eller tallrekker/bokstavrekker

Vi har skrevet mer om dette temaet her:

Nasjonal sikkerhetsmåned – Tips #31 – Metadata i bilder

  1. tips i forbindelse med nasjonal sikkerhetsmåned er:

Husk at mobilbilder ofte inneholder metadata som gjør dem sporbare

En ting få tenker over, og kanskje heller ikke er klar over, er at bilder blir tagget med såkalte metadata. Dette er tilleggsinformasjon i bildefilene. De fleste metadata er harmløse, slik som kameratype, kamerainnstillinger osv. Metadata inneholder imidlertid også svært ofte data om tid og sted der bildet ble tatt.

Publiserer vi så bildet, f.eks. i sosiale medier, kan noen finne ut hvor vi var og når vi var der. Dette kan benyttes til videre svindler som er tilpasset deg, og dermed mer troverdige. Legger man ut et bilde av seg selv på en åpen nettside, kan man også risikere at noen sporer opp adressen der bildet ble tatt. Dette er kanskje spesielt kritisk for bilder av barn og unge.

Ofte ønsker man å publisere bildene med lokasjon, men de gangene man faktisk ønsker å holde dette hemmelig, er dette med metadata verdt å vite om.

De aller fleste mobiltelefoner lar deg skru av GPS-posisjonering av bilder under innstillingene til kameraet. Det finnes egne også verktøy som kan «vaske» bildefilene for slik data i ettertid.

Tom Heine Nätt

Tom Heine Nätt er høgskolelektor ved Høgskolen i Østfolds avdeling for informasjonsteknologi.

Han underviser blant annet faget «innføring i datasikkerhet».

Han holder også kurs og foredrag om datasikkerhet for bedrifter, organisasjoner, elever og studenter.

Sammen med Christian F. Heide har Tom Heine skrevet boka «Datasikkerhet – ikke bli svindlerens neste offer» – www.datasikkerhetsboka.no.

Han skriver også en egen blogg om datasikkerhet på www.datasikkerhetsbloggen.no

Tom Heine er også medforfatter på hele læreverket fra Gyldendal Undervisning for fagene «Informasjonsteknologi 1 og 2» på videregående skole.

Stikkord: sikkerhetsoktober