Gå til sidens hovedinnhold

Disse svindeltruslene advarer IT-eksperten om i året som kommer

I kjølvannet av korona-pandemien er QR-koder blitt en av de største svindelfarene, ifølge sikkerhetseksperter.

For å lure deg, tar nettkriminelle i bruk stadig nye metoder og verktøy. I 2021 vil vi bli utsatt for mer svindel i form av vaksinemeldinger, QR-koder og koder tilknyttet BankIDen din, spår forskningssenteret KnowBe4 Research, som er en av verdens ledende platformer for nettsikkerhet.

Kriminelle sender ofte e-poster for å lure mottakeren til å dele sensitive personopplysninger, eller til å klikke på lenker og laste ned skadelig programvare. Dette kalles «phishing» og vil utgjøre en stor trussel i 2021, mener KnowBe4.

– Et phishing-budskap vi tror mange vil bli utsatt for i 2021 er COVID-19-vaksine. For eksempel i form av en melding som ser ut til å komme fra helsemyndighetene, med beskjed om at du kan trykke på en lenke og få vite når du kan få vaksine. Vi tror mange vil bli lurt av slike meldinger, sier sikkerhetsekspert Kai Roer, daglig leder i CLTRe og en del av KnowBe4s sikkerhetsekspertgruppe.

Les også: Nå skjer det endringer: Dette er SMS-en du absolutt ikke ønsker å få fremover

Roer anbefaler derfor nordmenn å være ekstra skeptisk til e-poster og andre meldinger du mottar om COVID-19-vaksine. Særlig hvis meldingen inneholder en lenke som du oppfordres til å klikke på.

Hans Marius Tessem jobber som seniorrådgiver i NorSIS: Norsk senter for informasjonssikring. Han sier til Nettavisen at det er typisk svindlere å spille på dagsaktuelle hendelser:

– Det har svindlerne gjort så lenge jeg kan huske. Det er en gjenganger.

Les også: Posten advarer etter svindelforsøk: - Vær mistenksom

Ifølge Roer finnes det en rekke hull i fullt oppdaterte operativsystemer som ikke er oppdaget og fikset av utvikleren selv. Disse kalles for «zero days».

– Bruker hackere og svindlere disse kommer de rett forbi alle antivirus- og sikkerhetsmekanismer, advarer Roer.

Dette, i tillegg til maskiner og programvarer som ikke er oppdatert, er den største sikkerhetstrusselen nordmenn står overfor.

QR-koder

Som følge av blant annet koronapandemien har QR-koder den siste tiden blitt en «hit» i serveringsbransjen. Dette er koder man scanner med mobilen for å få tilgang til for eksempel restaurantmenyer. Problemet med disse er at man ikke med sikkerhet kan si hvor man havner hen.

– Jeg personlig bruker ikke QR-koder, sier Roer.

Les også: Politiet henla sak mot 16 festdeltakere: – Ikke godt nok kjent med smittereglene

Han maler følgende bilde:

– Det man kan se for seg er at før du kommer til en restaurant så har kriminelle klistret en annen QR-kode over den som fysisk befinner seg på bordet ditt, og i stedet for å lenke til menyen heller lenker til en falsk kopi av restaurantens hjemmeside. Her bestiller man vin og burger, oppgir kortinformasjon og betaler. Da blir du ikke mett, men bankkontoen din blir tømt, advarer sikkerhetseksperten.

Saken fortsetter under avstemningen.

Hvis Roer drar på en restaurant, og ikke får lov til å bestille uten å bruke QR-koder, er han konsekvent:

– Da sier jeg beklager, men da kan ikke jeg spise her.

Les også: NHO-sjefen med dyster melding: – Dessverre har jeg fått rett

Han sier til Nettavisen at alle burde være like skeptiske til QR-koder som ham.

Tessem sier til Nettavisen at han ser poenget til Roer, og potensialet for QR-kodesvindel, men understreker:

– Vi må gjøre en vurdering på hva som er farlig. Jeg kjenner ikke til noen eksempler i NorSIS-sammenheng der QR-koder har blitt brukt til dette. Om man skulle bli utsatt for noe sånt så vil man tidlig oppdage det, ved at man ikke får maten eller drikken sin. Da er det viktig å snarest kontakte banken for å sperre kortet.

Tessem sier at en QR-kode på for eksempel en restaurant i bunn og grunn bare er en webadresse-erstatning. I stedet for å taste inn en lang webadresse kan man heller scanne koden.

– Det praktiske med en QR-kode overveier risikoen, mener Tessem, som likevel er enig i at man på forhånd ikke vet hvor QR-kodene leder hen. Han har følgende tips for å sjekke om et nettsted er ekte eller ei:

– Hvis du blir oppfordret til å logge inn et sted med brukernavn og passordet ditt, og du legger inn tullebrukernavn og et tullepassord - og du likevel kommer inn på «siden» - da kan jeg garantere deg at det er svindel. Fordi da prøver de jo å lure fra deg ditt ordentlige brukernavn og passord, men de vet jo ikke om det er riktig fordi de ikke har noe å sammenligne med.

Les også: Saksøkte Tesla for å få gratis lading

Tessem sier samtidig at denne sjekken ikke kan utføres med kortinformasjon, da må man bare være sikker på at man er på riktig sted.

Hvem blir lurt?

KnowBe4 har forsket mye på svindel på nett, og på hvem som oftest blir lurt.

– Unge mennesker, de som har vokst opp med teknologi og som vi gjerne tror er veldig dyktige på det, tenderer til å bli lurt oftere. De er mindre flinke på sikkerhet, og har en manglende forståelse på hva teknologien faktisk muliggjør. Man ser bare fordelene, og har vent seg til et bruksmønster og en atferd som gjør at man klikker og deler i stedet for å stoppe opp før man åpner. Man installerer applikasjoner som gjerne ser kule ut, og som kompisene har, før man sjekker om de er sikre, sier Roer.

Men det er ikke bare de unge som svikter her:

– Den andre gruppen som vi ser er folk litt opp i årene, som kanskje ikke er vant til å bruke teknologien, men som kanskje har en pad eller en gammel PC som de bruker til å kommunisere med familien sin. Der ser vi at flere av disse maskinene ikke er så oppdaterte, fordi eldre ikke vet at det er nødvendig.

Les også: Klæbo åpner for å droppe VM i Oberstdorf

– Hvis en besteforelder får en e-post, som tilsynelatende er fra barnebarnet, kanskje med et bilde og teksten 'Hei, bestefar! Lukk opp og se på bildene av meg her:', da gjør bestefar det. Og hvis det da kommer opp en beskjed fra maskinen som lyder 'Er du sikker på at du vil kjøre denne programvaren?', så vil nysgjerrigheten og gleden ved å kommunisere med barnebarnet overstyre sikkerhetsmekanismene. Så da trykker man ja, og kjører en software som man kanskje ikke burde gjort.

Det sikreste man kan gjøre for å unngå nettsvindel er i utgangspunktet å ikke bruke datamaskinen i det hele tatt, men siden Roer sier dette ikke er noe alternativ så har han tre klare råd:

– Pass på at maskinene dine er oppdatert til enhver tid, bruk antivirus, bruk moderne operativsystem som har innebygde sikkerhetsmekanismer og vær generelt skeptisk til vedlegg, lenker og hjemmesider du ikke kjenner, sier Roer.

Tredje trussel

Det er også blitt stadig vanligere å ta i bruk multifaktor-autentifisering (MFA), som oftest i form av at du i tillegg til passord må taste inn en kode du får via mobilen, fordi dette er sikrere. BankID er et eksempel på dette.

– Stadig flere bruker dette, men mange er ikke klar over at dette ikke tilstrekkelig for å stoppe hackere og svindlere. Når en hacker finner ut av hvilken type MFA du bruker, vil de utnytte dette og prøve å lure deg til å omgå beskyttelsen det gir. For eksempel i form av å ringe deg og forsøke å lure deg til å oppgi koden du får fram på mobilen. Koder tilknyttet BankID-en din og koder du får på andre MFA-er skal kun du kjenne til. Disse må du aldri opplyse til andre, råder Kai Roer.

Les også: Gladmelding for elbil-kjøpere: Får beholde lukrativ ordning

Tessem i NorSIS anbefaler alle å bruke to-trinnspålogging. Dette gjør livet vanskeligere for svindlerne:

– De som svindler må da finne nye metoder for å komme seg rundt det problemet på, og da tyr de til sosial manipulering for å få folk til å gi fra seg koden, sånn at de sitter med begge faktorene. Dette har vi sett eksempler på.

Kommentarer til denne saken