Hopp til innhold

– For hver dag som går uten at sikkerhetshullet tettes, øker tyverifaren

Norske nettbrukere må være forberedt på at brukernavn og passord kommer på avveie, advarer Norsk senter for informasjonssikring. Derfor bør du ha ha forskjellige passord på ulike nettsider og -tjenester.

Endring av passord på internett

ULIKE PASSORD: I kjølvannet av datasikkerhetsfeilen har mange nordmenn byttet passord på nettjenestene de bruker. Et klart råd nå, for å unngå hacking, er å ikke ha det samme passordet flere steder.

Foto: Poppe, Cornelius / NTB scanpix

Før påske ble det kjent at flere hundre tusen nettsider kan ha vært rammet av den største sikkerhetsglippen i internett-historien, kalt «Heartbleed».

Mona Strøm Arnøy, kommunikasjonsdirektør i Nasjonal sikkerhetsmyndighet

INGEN BEVIS: NSM har ingen konkrete bevis for at data er stjålet på grunn av sikkerhetsfeilen «Heartbleed», men risikoen for at dette skjer øker for hver dag som går uten at sårbarheten lukkes, sier Mona Strøm Arnøy i Nasjonal sikkerhetsmyndighet.

Foto: Nasjonal sikkerhetsmyndighet (NSM)

Nasjonal Sikkerhetsmyndighet (NSM) har ingen konkrete bevis for at data er stjålet på grunn av «Heartbleed», men mener at risikoen for at dette skjer øker for hver dag som går uten at sikkerhetshullet tettes.

I kjølvannet av datasikkerhetsfeilen har mange nordmenn byttet passord på nettjenestene de bruker. NSMs gjentar nå rådet de ga før påske til vanlige forbrukere.

– Det er ikke behov for å bytte alle passord på nettjenester, men du bør bytte passord hvis du har fått beskjed om det fra tjenesteleverandøren din. Alle forbrukere må følge med på informasjonen disse gir, sier kommunikasjonsrådgiver Mona Strøm Arnøy i Nasjonal sikkerhetsmyndighet (NSM) til NRK..

Samme passord flere steder

NSM forventer at tjenesteleverandørene har lukket denne sårbarheten nå. Men er du en av dem som har byttet, og likevel har det samme passordet flere steder?

– Brukernavnet og passordet ditt kommer til å komme på avveie. Du vet bare ikke når og hvor, sier seniorrådgiver Vidar Sandland i Norsk senter for informasjonssikring (NorSIS) til NRK.

– Det er derfor det er så utrolig viktig å ha ulike passord på ulike sider, fastslår han.

«Heartbleed» er bare én av mange måter uvedkommende kunne få tilgang til dine brukernavn og passord på, og dermed potensielt også sensitiv informasjon.

– Det er mange måter en hacker kan lure fra deg passordet på. Brukeren har nesten ingen forutsetninger for å vite når og hvor dette skjer, fastslår Sandland.

Falske trådløse nettverk

En måte er at hackere kan sette opp et falskt trådløst nettverk. Slik kan dette gjøres, forklarer Sandland:

På en togstasjon eller en flyplass, eller et annet sted hvor folk ferdes mye og oppholder seg mye, setter en person opp en sender (et radiohode) for trådløst nett. Nettverket krever ikke passord og har kraftigere signal enn andre tilsvarende signaler på stedet. Dette gjøres fordi folks datamaskiner eller mobiltelefoner som regel forsøker å kobler seg til den sterkeste tilgjengelige nettverksforbindelsen.

Vidar Sandland, Norsis

MANGE MÅTER: – Det er så enormt mange måter en hacker kan lure fra deg passordet på. Brukeren har nesten ingen forutsetninger for å vite når og hvor dette skjer, sier seniorrådgiver Vidar Sandland i Norsk senter for informasjonssikring (NorSIS).

Foto: Ida Hjerkinn

Hackeren kaller nettverket «Free Wi-Fi», «Gratis trådløst nett» eller lignende, eller bruker navnet til en kjent leverandør av mobiltelefoni (som Telenor eller NetCom).

Med disse forutsetningene til grunn kan folk raskt bli lurt til å bruke det falske nettverket. Du tar det i bruk, og begynner å surfe på nett eller sjekke e-post. Samtidig kan hackeren overvåke trafikken. Eksempelvis kan hun eller han få folk til å logge inn på en falsk «innloggingsside» med ditt mobiltelefonnummer og passord, og deretter bruke dette på de ekte innloggingssidene for å få tilgang til annen informasjon.

– Vi vet at dette skjer. Vi har snakket med folk som har satt opp slike falske trådløse nett, og folk som har blitt rammet av det, forteller Sandland.

– Det er veldig enkelt, utstyret er veldig tilgjengelig og koster ikke mye. Men det er umulig å si hvor mange som har gjort det i den hensikt å skaffe seg sensitiv informasjon, legger han til.

– Ikke klikk ukritisk på lenker

En annen måte å lure passord ut av folk er å bruke falske nettsider, for eksempel en falsk Gmail eller falsk Facebook, som ser til forveksling lik ut originalen. Hvis du kommer til en slik side, og skriver inn ditt brukernavn og passord, gir du det fra deg direkte til en hacker.

I tillegg til å bytte passord, slik at du ikke har det samme flere enn ett sted, har Sandland et generelt råd:

– Ikke bare klikk på linker folk sender til deg. Hvis lenken for eksempel er til en side på Facebook, kan du i stedet skrive inn Facebook selv i nettleserfeltet og gå inn direkte, sier seniorrådgiveren.

Tre faktorer

Sandland forklarer at de fleste nettangrep mot vanlige brukere bygger på tre faktorer: Fristelser, frykt og tillit.

  • Fristelser skal lokke deg til å klikke på en lenke ved å love deg noe, gjerne at du kan vinne noe eller at du kan tjene penger.
  • Frykt skal gjøre deg redd, for eksempel ved å gi deg meldinger om at «Din datamaskin er utsatt for virus», etterfulgt av en løsning som «Klikk på linken for å fjerne viruset».
  • Tillit handler om at du får tilsendt noe fra noen du stoler på, for eksempel en e-post eller lenke fra teleoperatøren eller banken din. Slike ting er lett å forfalske, og kan få mange til å gi fra seg sensitiv informasjon.

– Disse tre faktorene, gjerne i kombinasjoner av to eller tre, er vanlige i hacking- eller svindelforsøk, forklarer Sandland.

(Saken fortsetter under bildet)

Skjermdump fra Slettmeg.no

HJELP: NorSIS administrerer Slettmeg.no, som er en tjeneste som gir råd og veiledning til personer som føler seg krenket på nett, eller er utsatt for hacking og ID-tyveri.

Foto: Skjermdump fra Slettmeg.no

«Stopp, tenk, klikk»

Ett eksempel der frykt og tillit ble kombinert er i tilfellene med såkalte «Microsoft-svindlere». Flere personer i Norge ble i 2012 og 2013 forsøkt svindlet av personer som sa på telefon at de var kundebehandlere fra Microsoft, og at de skulle hjelpe de oppringte med feil knyttet til IT-selskapets programmer. De falske kundebehandlerne kunne be om opplysninger fra eksempelvis førerkort, pass, kredittkort og nettbank.

– Litt flåsete pleier vi å si: «Stopp, tenk, klikk – det farligste på nettet er deg selv». Folk kan ha virusprogrammer og andre sikkerhetsmekanismer, men til syvende og sist er det brukeren som blir lurt, sier Sandland i NorSIS.

Bruk av nett og tjenester tilknyttet nettet blir mer og mer integrert i folks hverdag, og i stadig flere av produktene vi bruker mye. Det øker sjansen for flere svindelforsøk, selv om NorSIS ikke sitter på noen god oversikt.

– Vi ser bare toppen av isfjellet av hackingtilfeller, ved at vi får direkte henvendelser til NorSIS, samt at vi håndterer over 7000 henvendelser fra Slettmeg.no hvert år. Blant disse er det mange som er hacket, og som trenger hjelp av oss, opplyser Sandland.

NorSIS administrerer Slettmeg.no, som er en tjeneste som gir råd og veiledning til personer som føler seg krenket på nett. I tillegg leder NorSIS det såkalte ID-tyveriprosjektet.

Publisert

Datasikkerhet

Mer om: Datasikkerhet

NRK anbefaler

Chris-Stian (17) døde alene på jobb: Bedriften tar ingen selv­kritikk

Fjernet Eia-sak: Usikre på om et menneske har svart oss

AKTUELT NÅ

SISTE NYTT

Siste meldinger

Følg nyhetsbildet akkurat nå

Norge

  • Sentralbord:  23 04 70 00
  • Nyhetsdirektør:  Helje Solberg
Norsk Presseforbund, logo.

Vi arbeider etter
Vær Varsom-plakatens regler
for god presseskikk.

Den som mener seg rammet av urettmessig publisering, oppfordres til å ta kontakt med redaksjonen. Pressens Faglige Utvalg (PFU) er et klageorgan oppnevnt av Norsk Presseforbund som behandler klager mot mediene i presseetiske spørsmål.

Nyhetstips 03030

Kontakt

Hjelp

Tjenester

Produksjon

Salg

Til toppen