Trusler og trender 2019-2020


Trusler og trender er en årlig rapport utgitt av Norsk senter for informasjonssikring (NorSIS). Rapporten gir et bilde av de alvorligste og mest relevante truslene for privatpersoner og små og mellomstore virksomheter, inklusive kommuner, slik de fremstår på utgivelsestidspunktet. Den skisserer også de mest fremtredende trendene innenfor datakriminaliteten.

DETTE ER DE 10 STØRSTE DIGITALE TRUSLENE I 2020

Løsepengevirus

Løsepengevirus er en av de vanligste truslene mot små og mellomstore bedrifter i Norge og Europa for øvrig, og også en av de som øker mest.

Hva er det?

Løsepengevirus krypterer filene på offerets datamaskin og krever løsepenger for å frigjøre dem. Dette er en stor trussel mot virksomheter som har mange virksomhetskritiske filer lagret i sine datasystemer, og dermed mister tilgang til dem.

Hvordan gjøres det?

Løsepengevirus er en type skadevare som først og fremst spres via vedlegg og linker i e-post, Microsoft Office-filer eller via infiserte nettsider.

Forholdsregler

  • Vær kritisk til hva du laster ned og hvilke programmer du installerer på maskinen din. Er det en troverdig avsender?
  • Ta jevnlig sikkerhetskopi av filer som er viktige for deg.
  • Hold datamaskinens operativsystem og programvare oppdatert.
  • Bruk antivirusprogram og sørg for at det er oppdatert.
  • Løsepengevirus sprer seg. Unngå derfor å ha andre disker og enheter koblet til datamaskinen til enhver tid.
  • Løsepengevirus kan også spre seg til skytjenestene dine, som Dropbox eller OneDrive. Derfor bør du unngå å være tilkoblet disse hele tiden, men heller logge deg på og av etter behov.

Når du er rammet

  • Betal aldri løsepenger! Det er ingen garanti for at du får tilbake tilgang til innholdet på datamaskinen. Ved å betale, holder du liv i denne typen kriminalitet.
  • Unngå spredning – koble deg av nettet. Koble alle enheter som har krypterte filer fra nett. Dette gjelder både datamaskinen og eksterne harddisker og USB-minnepinner.
  • Finn et dekrypteringsverktøy. På nomoreransom.org kan du se om det finnes et dekrypteringsverktøy for løsepengeviruset du er rammet av.

ID-tyveri

Mer enn 150 000 nordmenn har vært utsatt for IDtyveri. Dette blir ofte utført av noen du har en nær relasjon til, men stadig oftere også av kriminelle. IDtyveri rammer både virksomheter og privatpersoner.

Hva er det?

Noen benytter seg av ditt ID-bevis, din tilgang til et system eller en konto og utgir seg for å være deg. Misbruket kan være alt fra å bestille en vare eller tjeneste i ditt navn til å påføre deg eller virksomheten din et omdømmetap ved å utgi seg for å være deg.

Hvordan gjøres det?

Personlige opplysninger som påloggingsinformasjon eller finansielle opplysninger og organisasjonsnummeret samles inn. Dette kan gjøres ved hjelp av ondsinnet e-post hvor du blir bedt om å oppgi informasjon (phishing) eller via SMS (smishing). Målrettede kampanjer mot enkeltvirksomheter eller personer (spear fishing)  forekommer også langt oftere. Datalekkasjer hos tjenesteleverandører er en informasjonskilde, men også datainnbrudd (hacking) benyttes.

Forholdsregler

  • Ikke oppgi personlig informasjon til ukjente over internett, på telefon eller e-post.
  • Klikk aldri på lenker i e-poster for å legge inn personinformasjon på siden du kommer til. Skriv heller adressen til nettstedet rett inn i adressefeltet i nettleseren din.
  • Sikre dine kontoer for e-post og nettsamfunn med totrinnsbekreftelse.
  • Lås postkassen din for å hindre tyveri av personopplysninger.

Når du er rammet

  • Vær rask. Hva er forsvunnet/misbrukt av informasjon og identitetsdokumenter?
  • Anmeld forholdet. Da har du dokumentasjon på det faktiske forholdet.
  • Ta kontakt med banken. Steng umiddelbart rammede kontoer. Be om skriftlig dokumentasjon på at dette er gjort. Påpek urettmessige transaksjoner raskt.
  • Be om frivillig sperring hos kredittopplysningsbyråene. De fleste som gir kreditt, vil verifisere din kredittverdighet hos selskap som Bisnode, Experian, Creditsafe eller Evry. En sperring hos disse vil kunne verne deg mot ytterligere skade.
  • Følg nøye med på postgangen – at den kommer som normalt. Vurder å sperre deg mot uønsket adresseendring hos Posten.
  • Bruk forsikringen. Mange har i dag en ID-tyveriforsikring innbakt i innboforsikringen.
  • ID-tyveri på nett: Reager umiddelbart dersom du mottar informasjon om at det er opprettet en konto i ditt navn ellerat brukerrettighetene for din konto er endret.

Les flere tips på nettvett.no.

Falske trusler og utpressingskrav

E-poster med usanne påstander om at du har blitt hacket har blitt en av de største truslene som rammer
både folk flest og små og mellomstore bedrifter.

Hva er det?

Svindelen eller utpressingsforsøket starter gjerne med en e-post hvor du får beskjed om at svindlerne sitter på video eller bildemateriale av deg mens du ser på porno. Dette har de fått ved å hacke seg inn på PC-en din. Det såkalte beviset er ofte at de oppgir passordet ditt. De truer med offentliggjøring hvis du ikke betaler.

Hvordan gjøres det?

De ondsinnede e-postene er svært ofte masseutsendte. Passorddetaljer, brukernavnet og telefonnummeret er ofte det lille de har av personlig preg. Dette er informasjon de kriminelle har fått fra store datalekkasjer og som automatisk settes inn i den masseutsendte e-posten. Du er ikke hacket. NorSIS har også sett flere eksempler på falske trusler om kidnapping eller bombetrusler dersom du ikke etterkommer kravet om betaling.

Forholdsregler

  • Vurder om e-posten kunne ha blitt sendt til mange andre uten at teksten ble endret vesentlig
  • Et fellestrekk ved de falske utpressingskravene er at de kriminelle ber om betaling i kryptovaluta.
  • Stemmer alle påstandene i e-posten? Har du ikke webkamera på din PC og de sier at de har filmet med dette, er det et sikkert tegn på at trusselen er falsk.
  • De falske truslene blir ofte fremsatt på engelsk, svensk eller dårlig norsk. Samtidig ser NorSIS en tendens til at oversettelsene i de ondsinnede e-postene blir stadig bedre.

Når du er rammet

  • Bytt passord. Om du får en e-post med et av passordene dine, er det et sikkert tegn på at det er kjent for andre. Da må du umiddelbart bytte passord. Dersom du bruker samme passord på flere tjenester, må du bytte passord til alle tjenestene. Bruk ulike passord til ulike tjenester, og aktiver gjerne totrinnsbekreftelse.
  • Sjekk også på haveibeenpwned.com om flere av passordene dine er offentlig kjent og må byttes.
  • Betal aldri det falske kravet!
  • Det er ufarlig å slette e-posten. Det er heller ikke noe risiko forbundet med å ta vare på den.

Phishing

Phishing er ifølge Europols rapport om cybersikkerhet en av de største truslene mot privatpersoner og virksomheter, og danner ofte utgangspunktet for en rekke andre former for kriminalitet.

Hva er det?

Kriminelle lurer deg til å oppgi sensitiv informasjon om deg selv eller din virksomhet. Dataene brukes til ID-tyveri, utpressing og svindel, eller videreselges til andre kriminelle.

Hvordan gjøres det?

Ved phishing-angrep kontaktes offeret som regel via e-post, og avsenderen fremstår som en reell virksomhet, for eksempel en bank. De kan også benytte seg av «hackede» profiler og kontakte profileiers venner via meldinger eller SMS (såkalt smishing).Offeret lures til å klikke seg inn på en falsk nettside for å «logge seg inn» eller oppgi sensitiv informasjon som fødselsnummer eller organisasjonsnummer. Svindlerne spiller gjerne på fristelse, frykt eller tillit. De kan lokke med at du kan vinne noe i en konkurranse hvis du deler personlig informasjon (fristelse), meldingen kommer fra noen du kjenner (tillit) eller du blir bedt om å installere et program for å stoppe et virus du skal ha fått (frykt). Svindlerne kan også ringe fra falske telefonnummer og be om personopplysninger (såkalt spoofing).

Forholdsregler

  • Sjekk avsenderadressen.
  • Send aldri personlig eller finansiell informasjon via e-post.
  • Hold musepekeren over adressen og se hvor e-posten egentlig kommer fra. Se også om adressen er feilstavet eller inneholder en .com-ending i stedet for .no, osv.
  • Vurder avsender og nettside nøye før du gir fra deg informasjon.
  • Selv om det står https:// og hengelåssymbol i adressefeltet, kan siden være upålitelig og brukes til phishing.
  • Dersom du får opp en adresse, kan du skrive denne direkte inn i søkefeltet i stedet for å klikke på den.
  • Husk at om du klikker på en link, er det ikke krise. Det er først når du oppgir informasjon eller laster ned noe at du kan få problemer.
  • Vær på vakt om du mottar en melding fra en bekjent som fremstår som spesielt merkelig. Denne kan være falsk.
  • Hold operativsystem og programmer oppdaterte. Benytt også oppdatert antivirusprogram.

Når du er rammet

  • Kontakt banken eller kredittkortselskapet umiddelbart. Kontroller kontoen nøye for mistenkelige belastninger.
  • Vurder politianmeldelse.

Ekte utpressing og svindel

Selv om det er få som blir rammet av dette, er det ofte en ekstremt stor påkjenning for de det gjelder. For privatpersoner er dette ofte knyttet til seksuell utpressing og datingsvindel. For næringslivet er spesielt direktørsvindel og fakturasvindel utfordrende.

Hva er det?

Seksuell utpressing:
Et typisk offer kommer i kontakt med utenlandske kvinner på en datingside eller chattetjeneste.flyttes etter hvert over til en kanal der videosamtale er mulig. Personen som tar kontakt, kler av seg og utfører seksuelle handlinger med seg selv i en videosamtale. Offeret blir oppfordret til å gjøre det samme. Dette blir videofilmet, og så  truer svindlerne med å spre videoen dersom offeret ikke betaler penger, gjerne 3000–5000 kroner.

Datingsvindel:
Dette starter gjerne med en henvendelse eller venneforespørsel fra en person, gjerne en tidligere amerikansk soldat, en suksessfull forretningsperson eller en flott dame. Tilliten bygges opp gjennom flere måneders dialog på nett. Så oppstår det en «uforutsett hendelse» der vedkommende trenger penger fra offeret for å løse et problem raskt. Svindleren tilbyr gjerne et fysisk møte hvis offeret betaler.

Direktørsvindel:
Svindleren sender en e-post eller SMS til en økonomimedarbeider, tilsynelatende fra en direktør eller annen sjef i virksomheten. «Direktøren» ber om en større overføring til et gitt kontonummer eller betaling av en falsk faktura.

Telefonsvindel (wangiri):
Offeret blir ringt opp fra et ukjent utenlandsk telefonnummer. Etter at det har ringt et par ganger, blir det lagt på. Ringer man opp igjen til dette telefonnummeret, er det et høytakstnummer der man blir belastet med en svært høy minuttpris.

Fakturasvindel:
Spesielt mot slutten av 2019 så NorSIS et oppsving i antall fakturasvindler mot norske små og mellomstore virksomheter. Her sender svindlerne ut fakturaer for reelle tjenester eller produkter mottatt av andre, men med deres eget kontonummer. Den falske fakturaen blir oversendt etter lengre tids sosial manipulering, typisk via e-post, slik at bedriften skal tro at fakturaen er ekte.

Investeringsbedrageri:
Du lokkes til å investere pengene dine på nett, ofte i produkter eller tjenester som få har kunnskap om, som kryptovaluta eller valutaspekulasjoner. Svindlerne benytter seg av falske nettsider, som gjerne inneholder grafer med falsk kursutvikling. Svindlerne ringer deg også opp med investeringstips. Ofte blir denne type investeringsbedrageri solgt inn med falske nyheter i sosiale medier, der kjente personer forteller hvor mye de har tjent på dette.

Forholdsregler

Seksuell utpressing på nett

  • Ikke svar. Dette er organiserte kriminelle. Om du gjør deg utilgjengelig, er det mulig at de forstår at de kaster bort tiden, og går videre til neste offer.
  • Ikke betal. NorSIS sin erfaring er at betaling bare medfører flere og høyere krav.
  • Anmeld saken til politiet. Dokumenter mest mulig av hva som har skjedd, og ta skjermbilder.
  • Bryt kontakten ved å blokkere utpresseren. Ikke slett kontoer eller installert programvare før politiet har gjort sine undersøkelser.
  • Ofte publiserer de kriminelle videoen på tjenester som Flickr, og truer med å dele link til videoen. Ta kontakt med tjenesten selv og be dem fjerne videoen. Guide til dette finner du på Slettmeg.no.
  • Forebygg utpressing ved å skjule vennelisten din på Facebook, skjule profilen din på søkemotorer og sørge for at din tidslinje bare er tilgjengelig for venner. Les mer på nettvett.no/seksuell-utpressing-pa-nett/.

Datingsvindel
Vær skeptisk dersom

  • den du chatter med ber om penger
  • han eller hun er veldig opptatt av å trekke samtalen over på en annen kanal
  • vedkommende søker privat informasjon om deg og er veldig opptatt av å bygge tillit hos deg han eller hun sender deg store mengder e-post og er pågående
  • profilens profilbilde ser profesjonelt ut eller er arrangert med tillitsskapende detaljer som uniformer eller spesielt velkledde personer

Dersom du oppdager at du er utsatt for datingsvindel: Stopp alle utbetalinger til personen. Saken bør anmeldes til politiet. Kontakt også banken din dersom du har gitt fra deg  informasjon som kan gjøre at svindleren kan tappe deg for ytterligere verdier.

Direktørsvindel

  • Les e-poster der det anmodes om overføring av penger to ganger.
  • Ledelsen bør informere sine økonomimedarbeidere på forhånd hvis de vet at det kan være aktuelt med raske pengeoverføringer i tiden som kommer.
  • Hvis du som økonomimedarbeider mottar e-post fra sjefen om å overføre penger, kontakt sjefen på telefon eller SMS for å få en bekreftelse på at overføringen er reell.
  • Dersom det står et telefonnummer i e-posten eller du får en SMS-forespørsel om overføring – ikke bruk disse numrene. Der treffer du sannsynligvis svindleren i den andre enden.

Dersom transaksjonen gjennomføres, må du ringe banken med en gang for å varsle om hendelsen. Anmeld også saken til politiet.

Fakturasvindel

  • Sjekk alltid med leverandøren som har byttet kontonummer om dette virkelig stemmer. Dette bør gjøres på telefonen, ikke på e-post.

Investeringsbedrageri

  • Gjør et google-søk på firmaet og eventuelt den kjente personen som fronter annonsen. Hvem driver nettsiden? Har andre lagt ut advarsler mot firmaet?
  • Blir du kontaktet direkte, så spør deg selv om det er naturlig at de henvender seg til akkurat deg.
  • En seriøs aktør vil aldri be deg oppgi passord til nettbank eller annen sensitiv informasjon. Husk at også kopi av pass eller annen legitimasjon er sensitiv informasjon

Høres noe for godt ut til å være sant, er det gjerne det!

Kontohacking

Hvert år får NorSIS og Slettmeg.no hundrevis av henvendelser fra enkeltpersoner eller virksomheter som har fått sine kontoer på Facebook, Instagram, e-post eller lignende hacket. Dette er en trussel som er lett å forebygge.

Hva er det?

Hackere eller andre personer har tatt over en persons eller virksomhets konto og kan bruke denne.

Hvordan gjøres det?

Innloggingsinformasjonen kan ha blitt gjort tilgjengelig for andre gjennom store datainnbrudd. Brukere kan også ha delt passordet med andre eller blitt fralurt påloggingsinformasjon ved phishing-angrep. For virksomheter kan det å få sin konto hacket og misbrukt få svært store konsekvenser for tusenvis av deres kunder. Det medfører gjerne også et omdømmetap for virksomheten hvis deres kontoer har blitt misbrukt til spredning av svindel og lignende.

Forholdsregler

  • Totrinnsbekreftelse er et enkelt tiltak som bedrer sikkerheten betraktelig. Det fungerer ved at du logger inn med brukernavn og passord slik du pleier, men ved førstegangs pålogging fra en ny enhet må du også oppgi en engangskode. Denne koden får du gjerne tilsendt til din mobil per SMS eller via en app.
  • Det er viktigere å bruke unike passord på de ulike tjenestene og systemene man benytter enn å bytte passord ofte. Lag deg en huskeregel for passord som gjør at du kan lage  variasjoner over en frase som sikrer unike passord for hver enkelt tjeneste.
    Ikke del passordene dine med andre. Flere råd om passord finner du på nettvett.no.
  • Skriv gjerne passordene ned på et papir som du lagrer på et trygt sted eller benytt passordhåndteringsprogrammer.

Når du blir rammet

  • Ta kontakt med leverandøren av tjenesten. De må få bekreftet at det er du som er den rettmessige eieren. Dette gjøres som regel ved å sende inn en kopi av gyldig ID, som førerkort, bankkort eller pass.
  • Bruk Slettmeg.no sine guider. Her har NorSIS samlet en oversikt over fremgangsmåten ved kontohacking for de mest brukte nettjenestene.

Datainnbrudd

Mer enn hver tiende norske virksomhet har vært utsatt for forsøk på datainnbrudd eller hacking.

Hva er det?

Utenforstående bryter seg inn i et datasystem. Målet kan være alt fra å stjele forretningshemmeligheter, kundelister eller personopplysninger til spionasje og sabotasje. Det kan også være et ledd i et angrep der en mindre virksomhet blir brukt for videre angrep mot en større eller mer attraktiv aktør som disse samarbeider med.

Hvordan gjøres det?

Det kan enten gjøres ved at hackere angriper sårbarheter i et system eller at noen i virksomheten uforvarende laster ned ondsinnet programvare som gir de kriminelle adgang til deres IT-system.

Forholdsregler

Disse fire tiltakene forhindrer 9 av 10 dataangrep:

  • Oppgrader program- og maskinvare.
  • Vær rask med å installere sikkerhetsoppdateringer.
  • Ikke tildel sluttbrukere administratorrettigheter. De fleste vanlige brukere har ikke behov for å installere programvare på maskinen.
  • Blokker kjøring av ikke-autoriserte programmer. La brukerne kjøre kun godkjente programmer ved å bruke verktøy som Windows AppLocker.

Når du blir rammet

  • Slå av PC-en, trekk ut nettverkskabelen og kontakt IT-ekspertise med en gang.

Menneskelige feil

Ifølge Mørketallsundersøkelsen 2018 fra Næringslivets sikkerhetsråd skyldes mer enn halvparten av sikkerhetsbruddene i norske virksomheter menneskelig feil.

Hva er det?

Med stadig flere tilkoblede enheter, mer komplekse og uoversiktlige systemer, øker faren for at hver og en av oss skal gjøre feil. Det krever stadig mer kunnskap og oppmerksomhet for å redusere faren for at noen av de andre truslene skal ramme oss selv eller virksomheten.

Forholdsregler

  • Det aller viktigste vi kan gjøre for å unngå menneskelig feil, er å få grunnleggende kunnskap om informasjonssikkerhet og en kultur hvor det er ok å spørre om råd og hjelp.

Når du blir rammet

  • Vær åpen om feil som begås – og lær av det! Det må være åpenhet på den enkelte arbeidsplass rundt feil som begås. NorSIS ser ofte at denne type feil «feies under teppet» og blir forsøkt  glemt.

Krenkelser

Ifølge Medietilsynets undersøkelse om barn og medier, har åtte prosent av barn og unge mellom 9 og 18 år i Norge blitt mobbet eller opplevd at noen har vært slemme med dem månedlig eller oftere på nett. Samtidig bruker mange voksne rollemodeller – både kjente personer og den vanlige mannen i gaten – et språk som NorSIS mener ikke bidrar til å redusere utfordringen med hets og krenkelser.

Hva er det?

Krenkelser er trakassering, mobbing, trusler og hets rettet mot enkeltpersoner, grupper eller virksomheter. Det kan være både direkte og indirekte handlinger og/eller verbale uttrykk. Alt fra politikere og privatpersoner til representanter for forskjellige yrkesgrupper som har tatt del i debatter, har i året som har gått blitt utsatt for uakseptable krenkelser.

Hvordan gjøres det?

Det skjer gjerne gjennom sosiale medier eller på andre nettsteder, både i åpne og lukkede grupper. Det er ofte svært vanskelig å kontrollere for gruppen eller enkeltpersonene som blir  utsatt for dette, siden det alltid er mer krevende å avlive en løgn eller et rykte enn å starte det. Mange nettsteder og forum fungerer også som «ekkokamre», der en spesiell mening – om det er om ansatte i barnevernet, om en navngitt lege, en lærer eller en virksomhet – er svært fremherskende.
Krenkelser på nett kan skremme både privatpersoner og politikere fra å delta i offentlig debatt, som er helt essensielt i et levende demokrati. Dette er en trussel som derfor bør tas svært alvorlig.

Forholdsregler

  • Alle har ansvar for egne ytringer og må forholde seg til eksisterende lovverk. Trusler, sjikane, falske påstander eller brudd på privatlivets fred kan straffes etter straffeloven.
  • Ha en åpen dialog med barn og unge om oppførsel på nett og vær gode rollemodeller. Informasjon og kunnskap gir grunnlag for å ta gode valg.
  • Virksomheter bør ha retningslinjer for hvordan de håndterer og følger opp sine ansatte som blir utsatt for krenkelser på nett.

Når du blir rammet

  • Kontakt vedkommende som har publisert krenkelsene og be om at de blir fjernet. Dersom det ikke hjelper, ta kontakt med tjenesteleverandøren eller eier av nettstedet.
  • Slettmeg.no gir råd og veiledning om fjerning

Verdikjedeangrep

NorSIS ser en stadig tydeligere tendens til at kriminelle ikke angriper sine mål direkte, men finner det svakeste leddet for å angripe en virksomhet.

Hva er det?

Dette kan være angrep rettet mot en tredjeparts dataprogramvare, en underleverandør eller en usikret IoT-enhet (Internet of Things). De angriper verdikjeden som leder til målet for  angrepet, ikke målet selv.

Hvordan gjøres det?

Bare de siste årene har både virksomheter og privatpersoner omgitt seg med stadig flere enheter som er koblet opp mot nett. Etter NorSIS’ erfaring er disse sjelden godt nok sikret. I stedet for å angripe nettverket direkte, angriper de kriminelle via de usikrede enhetene. Det kan være langt enklere å angripe en underleverandør eller en kunde med adgang til den store virksomheten og komme seg inn på denne måten. Også programvare som blir lastet ned på PC-er uten å bli godkjent av virksomhetens IT-ledelse, kan infiseres og gi de kriminelle adgang til virksomhetenes system.

Forholdsregler

  • Sørg for at alle enheter, inklusive kaffetraktere, vaskemaskiner eller varmeovner som er koblet opp mot nett, er sikret med et godt brukernavn og passord.
  • Selv om du oppfatter din virksomhet som mindre interessant for kriminelle, kan dine kunder eller leverandører være av interesse for kriminelle. Et angrep mot kunder eller underleverandører gjennom din virksomhet kan bli svært problematisk for virksomhetens omdømme.
  • Sørg for at samarbeidspartnere, kunder og leverandører som har tilgang til dine datasystemer har gode rutiner for IT-sikkerhet.
  • Driver du en virksomhet, bør du skaffe deg oversikt over dine dine verdier, verdikjeder og sårbarheter.
  • Generelt bør du alltid avinstallere programvare du ikke bruker.

Når du blir rammet

  • Finn årsaken.
  • Fjern eventuelt enheten som er usikker.
  • Gjenopprett fra backup og/eller sikkerhetsoppdater enheten/ produktet/løsningen.
  • Hvis dette også kan ha rammet din kunde/leverandør, husk å varsle.

Den digitale trenden

Vil angripe mennesker fremfor sikrere maskiner

Bare i løpet av de siste to årene har antallet norske virksomheter utsatt for phishing og andre typer sosial manipulasjon mer enn doblet seg. Når maskinene blir stadig bedre beskyttet, er mennesket angrepsvektoren som de kriminelle i økende grad vil benytte seg av.

Ifølge Mørketallsundersøkelsen til Næringslivets sikkerhetsråd har andelen norske virksomheter som sier de har vært utsatt for en eller annen form for sosial manipulasjon økt fra 8  prosent i 2016 til 18 prosent i 2018-undersøkelsen. Sosial manipulasjon er et psykologisk angrep hvor en angriper forleder deg til å gjøre noe de vil du skal gjøre.

NorSIS ser en klar trend der de kriminelle i økende grad lurer sensitiv informasjon ut av mennesker. Dette er mer effektivt og verdifullt enn å få tilgang til informasjonen gjennom mer klassiske datainnbrudd.

Angriper mennesker i stedet for maskiner

De store trendlinjene i det digitale trusselbildet er at våre IT-systemer blir sikrere, stadig flere enheter kobles på nett og vi jobber og lever stadig mer i skyen. Det er fleksibelt, enkelt og tilgjengelig. Det betyr også at tilgangskontroll er viktigere enn noensinne. Det er selve nøkkelen til vårt digitale liv, enten det er på jobb eller privat. De stadig lengre verdikjedene gjør oss sårbare for at noen finner det svake leddet, enten det er den smarte vaskemaskinen, styringssystemet eller den private, usikre mobilen vi logger på jobbskyen for å lese e-post med. De nye utfordringene betyr også at vi må tenke annerledes rundt sikkerhet enn vi har gjort før. Når mer enn halvparten av norske virksomheter ifølge SSB har hele eller deler av sine systemer i  skyen, er det helt avgjørende at tilgangen til disse systemene blir sikret.
Sikkerhetsutfordringen ligger ikke primært i selve skylagringen – den ligger i tilgangen til skyen og fra hvilke enheter dette skjer.

Mer sosial manipulasjon og målrettede personaliserte angrep

Hver andre norske virksomhet opplevde forsøk på såkalt sosial manipulasjon i 2019. Her var det snakk om å utnytte menneskelig kontakt og  sosiale evner for å få tak i eller påvirke  informasjon. NorSIS ser en trend hvor trusselbildet fremover vil få et enda klarere innslag av dette. Også langt mer spissede og mer personaliserte angrep vil sannsynligvis bli vanligere.

Sosial manipulasjon

Hva er det?

Sosial manipulasjon handler i bunn og grunn om å spille på dine følelser og lure deg til å klikke på en ondsinnet e-postlenke for å fiske etter personlige opplysninger. Et annet alternativ er å ringe deg og forlede deg til å tro at det er fra banken din og at du må oppgi BankID. Det handler om å bruke triks for å lure deg til å utlevere informasjon som kan gi tilgang til penger, andre personer eller annen verdifull informasjon.

Det er også langt enklere å oppnå det man vil med en svindel eller et utpressingsforsøk dersom de kriminelle vet hvem du er og hvor smerteterskelen din går – både rent økonomisk og menneskelig. NorSIS ser at målrettede angrep i økende grad benytter seg av innsikt om deg som person eller om virksomheten din, noe som kan øke sannsynligheten for at angrepet lykkes. Dersom de kriminelle har funnet navn og bilder av familien til den de truer med kidnappingsforsøk, er det større sjanse for at de lykkes. Det samme gjelder en virksomhet. Vet de hvor mye virksomheten tjener, at økonomisjefen lett godkjenner fakturaer på e-post eller at selskapet akkurat har landet en stor avtale, kan dette benyttes i videre kriminelle fremstøt.

Hvordan gjøres det?

Både sosial manipulasjon og mer personaliserte trusler benytter seg av den store usikkerheten som fremdeles hersker blant mange nordmenn når det gjelder informasjonssikkerhet. Hvis du eller dine ansatte blir truet, fristet eller på annen måte forsøkt forledet på telefonen eller via e-post, er det blant annet deres digitale kompetanse og forståelse som avgjør om dere går på eller ikke.
Personalisering av truslene handler mer enn noe annet om hvilken informasjon det er mulig å innhente om deg eller din virksomhet. Svært ofte er alt fra åpne vennelister på Facebook til informasjon du har delt uforvarende i phishing-e-poster (som e-postadresse, passord, personnummer og lignende) med på å øke risikoen for at en falsk trussel oppfattes som reell. Inntektsnivået ditt kan også si noe om hvor de kriminelle kan legge listen i en utpressingssak. Det er med andre ord et tett samspill mellom hvor godt vi passer på våre egne personopplysninger og risikoen for å bli utsatt for mer målrettet kriminalitet.

Trusselsituasjonen fremover

Etter som teknologien og datasystemene til både virksomheter og enkeltpersoner blir bedre sikret, er det enklere for de kriminelle å gå veien om mennesker, ofte omtalt som det svakeste leddet, fordi disse kan manipuleres.

Ny teknologi som kunstig intelligens og maskinlæring brukes ikke bare aktivt av de som bekjemper cyberkriminalitet, men også av de cyberkriminelle selv. Maskinlæring er selvlærende datateknologi hvor systemet selv blir bedre og bedre til oppgavene det er satt til å utføre. Det kan gjøre phishingangrep mer effektive ved å gjøre svindel-e-post likere en unik e-post skrevet av et menneske. Maskinlæring kan også brukes til å samle inn stordata, og til å raskt samle sammen personopplysninger om en person.

Kriminelle bruker allerede Google Analytics for å følge med på hvor godt phishing-angrepene deres gjør det. I de neste årene kan dette bli enda mer profesjonalisert.

Økt sårbarhet for angrep mot skytjenester

Etter som flere og flere selskaper og privatpersoner benytter seg av skytjeneste for lagring og som arbeidsområder med skybasert programvare, øker også sårbarheten for angrep mot disse.

Hva er det?

En skytjeneste er en databasert tjeneste, for eksempel for lagring av bilder og dokumenter, som blir utført på et helt annet sted enn der du befinner deg – på servere og datamaskiner med enorm kapasitet. At ting er lagret i skyen betyr at det ikke ligger lokalt på telefonen eller maskinen, men at det lagres på en server du kan logge deg på via nett.

I dag er ekstreme mengder data lagret i skyløsninger. De mest brukte skyløsningene er ofte sikre og krypterte. Utfordringen er god nok sikring av tilgangen til disse – både datamaskinen eller mobiltelefonen som brukes for å logge seg på samt selve tilgangskontrollen.

Hvordan gjøres det?

Selv om dataene i skyløsninger generelt ofte er bedre sikret enn det som ligger på egne servere, kan spesielt dårlig tilgangskontroll være en stor trussel. Kommer passord på avveie, kan andre få tilgang til alt fra e-post til annen sensitiv data i skyen. Det er derfor ekstra viktig å bruke skytjenester som tilbyr totrinnsbekreftelse til skyen.

Bruk av private enheter til å logge på jobbens skyløsninger for å lese e-post eller andre dokumenter, er også potensielt en stor risiko. Android-brukere må være bevisst på å ikke installere apper utenfor Google Play-butikken. Slike apper kan inneholde ondsinnet programvare som igjen kan ende opp med å gi andre tilgang til virksomhetens skyløsning. Det samme er tilfelle med programvare som lastes ned på PC og som ikke er godkjent av virksomhetens IT-avdeling.

Trusselsituasjonen fremover

Mer enn halvparten av norske virksomheter benytter ifølge Statistisk sentralbyrås siste statistikk en eller flere nettskyløsninger. For SMB-markedet er den klart vanligste løsningen såkalte SaaS-løsninger (Software as a Service). Her er det skybaserte programmer til alt fra fakturering til reiseregninger som er blant de vanligste bruksområdene.

Spesielt i SMB-markedet er det ifølge Microsoft – som er en av de store innenfor skylagring – mange som verken sikrer klient (PC, mobil o.l.), bruker sikker totrinnsbekreftelse eller regulerer den enkelte ansattes tilgang til dataene og programmene de har behov for. Her kan kriminelle få tilgang til store mengder data fra flere selskap på ett sted. Europol trekker i sin siste cyberkriminalitetsrapport frem dette som en potensiell fremtidig trussel.

Økende antall nettilkoblede enheter

Antallet enheter som er koblet opp mot våre egne nettverk kan også utgjøre en økende trussel etter som de blir flere.

Hva er det?

Internet of Things (IoT) er betegnelsen på at hverdagslige gjenstander kobles til og styres fra internett og kommuniserer med andre ting, datamaskiner eller oss mennesker. Eksempler på smarte ting er robotstøvsugere, termostater, TV-er og kameraer som kan styres via apper på telefonen.

Hvordan gjøres det?

Mange av enhetene, som lysstyring, kameraer, sensorer eller vaskemaskiner, har ofte dårlig nettsikkerhet sammenlignet med tradisjonelt IT-utstyr. Disse kan da være bakdører inn i virksomheter og privatpersoners IT-system.

Trusselsituasjonen fremover

Ved utgangen av 2019 var det ifølge statistikknettstedet Statista mer enn 26 milliarder tilkoblede IoT-enheter globalt. Allerede i løpet av 2020 kan det komme ytterligere fire milliarder nye IoTenheter. De blir stadig smartere og mindre. Med utbyggingen av 5G-nettet blir de også enda mer anvendelige. Veksten skjer primært innenfor smarte produkter som brukes hjemme og i virksomheter, men også moderne biler kobles i økende grad opp mot skyen. De mange enhetene som fungerer som sensorer og fanger opp data, kan i tillegg til å være en sikkerhetsrisiko også representere en utfordring med hensyn til personvernet. Det er per i dag ingen minstekrav for IKT-sikkerhet i tilkoblede forbruksprodukter.

Tre vanlige triks for sosial manipulering

NorSIS erfarer at sosial manipulasjon ofte benytter seg av disse grepene:

  • Tillit – Avsender er tilsynelatende noen du kjenner eller stoler på. Da forsvinner ofte skepsisen. Kjente merkenavn blir også
    utnyttet i svindler eller konkurranser. Husk at avsenderne ikke alltid er den de utgir seg for å være.
  • Fristelser – Dette er typisk tilfeller hvor du får tilbud om gratis programvare eller spill eller en e-post om at du har vunnet
    en konkurranse. Husk at dette kan være rent lureri, hvor dine personopplysninger eller lignende ofte er målet for
    fremstøtet.
  • Frykt – Å skremme noen til å utføre en handling, for eksempel å laste ned et program for å bli kvitt et påstått virus, er
    også en vanlig metode.

Svindlerne vil i alle disse tilfellene ofte gi deg følelsen av at det haster med å foreta seg noe.