Það kost­ar ekk­ert að gera tölvu­póst­inn ör­ugg­ari

Reglulega koma fram á sjónarsviðið nýjungar sem efla öryggi fólks á netinu. Hér er fjallað um áhugaverðar, ókeypis lausnir fyrir fyrirtæki og stofnanir sem gera tölvupóstsendingar bæði öruggari og skilvirkari.
23. október 2019 - Landsbankinn

Fyrirmælafölsun, skilaboðasvik, vefveiðar og önnur fjársvik byggð á fölskum tölvupóstum hafa aukist mikið milli ára. Meginvandinn við að verjast fölskum tölvupóstum er að átta sig á hver sendandinn raunverulega er.

Komin er fram á sjónarsviðið ókeypis tækni sem nefnd er DMARC (domain-based message authentication, reporting & conformance). Hún auðveldar viðtakendum tölvupósta að sannreyna hvort sendandinn er sá sem hann segist vera. Þessu má því líkja við nokkurs konar upprunavottun. Ef tölvupósturinn stenst ekki prófið er það stillingaratriði hvort hann fer sjálfkrafa í ruslpóst eða í sjálfvirka eyðingu.

Ráðlegt er að öll fyrirtæki og stofnanir sem á annað borð stjórna eigin póstkerfi innleiði DMARC. Til marks um mikilvægi þess má nefna að bæði bresk og bandarísk stjórnvöld skylda eigin ráðuneyti til að nota DMARC.

Dregur úr áhuga glæpamanna á árás

Í póstkerfi viðtakanda þarf að gera ákveðnar breytingar í DNS-stillingum, þannig að póstþjónninn geti kannað hvort IP-tala sendanda og aðrar mikilvægar upplýsingar séu í samræmi við upplýsingar um eiganda lénsins. Þetta er gert með því að hagnýta allt í senn: SPF-auðkenningu (sender policy framework), DKIM-auðkenningu (domain keys identified mail) og DMARC-lista til að afla upplýsinga um réttmæti sendandans. Á netinu má finna fjölda leiðbeininga fyrir uppsetningu DMARC:

Þessari tækni er ætlað að takmarka möguleika óprúttinna aðila til að villa á sér heimildir við sendingu tölvupósta. Þótt DMARC veiti afar gagnlega vörn gegn vefveiðum og öðrum sviksamlegum tölvupóstum, þá er hún háð því að bæði sendandi og viðtakandi noti tæknina. En jafnvel þótt mótaðilinn noti ekki DMARC veitir tæknin engu að síður margvíslegar aðrar verðmætar upplýsingar, eins og hvort einhver sé að villa á sér heimildir í þínu nafni eða nafni fyrirtækisins þíns. Það sem meira er, svikahrappar sjá hvort fyrirhugað fórnarlamb noti DMARC eða ekki. Tæknin verndar því ekki aðeins einstaklinga og fyrirtæki, heldur letur einnig glæpamenn til árása.

Netglæpir

Tvíþætt staðfesting með appi

Þegar netbankar komu fyrst fram á sjónarsviðið árið 1995 þurftu viðskiptavinir aðeins að rita notandanafn og lykilorð. Slíkt fyrirkomulag er nefnt einföld staðfesting eða „eins þáttar auðkenning“ á tæknimáli. Uppúr aldamótum komu auðkennislyklarnir til sögunnar og nefnist það fyrirkomulag tvíþætt staðfesting eða „tveggja þátta auðkenning“. Um árabil voru aðeins plastlyklar í boði, eða þar til auðkenningaröppin komu fram á sjónarsviðið. Öppin framkalla auðkennisnúmer líkt og ef um plastlykil væri að ræða. Þau eru jafn örugg og plastlyklarnir en mun handhægari, enda síminn oftast í seilingarfjarlægð.

Núorðið bjóða sífellt fleiri þjónustuveitendur upp á auðkenningaröpp - og það jafnvel endurgjaldslaust. Til dæmis bjóða bæði Google og Microsoft upp á slík öpp, þannig að bæði notendum tölvupóstforrita á borð við Gmail eða Office365 býðst ókeypis auðkenningarapp. Appið gildir auðvitað líka fyrir aðgengi að fleiri skýjalausnum eins og Google Docs, Office Excel og svo framvegis. Eindregið er mælt með notkun slíkra appa.

Traust tæki

Sumir þjónustuveitendur bjóða notendum að skilgreina hvaða síma og hvaða tölvur heimilt er að nota við innskráningu. Fyrirkomulagið nefnist traust tæki (trusted device). Hjá einstaklingi geta þetta til dæmis verið tiltekinn sími, ákveðin spjaldtölva, fartölva og borðtölva. Sé innskráning reynd frá öðru tæki en þessum fjórum, er frekari auðkenningar krafist eða innskráningu einfaldlega hafnað.

Eindregið er mælt með því að tilgreinina traust tæki þar sem það býðst. Slíkar varnarstillingar auka öryggi notandans, auka þægindi við notkun, draga úr líkum á fjársvikum og annarri misnotkun – og eru oftast ókeypis.

Í Landsbankaappinu og í netbanka Landsbankans eru traust tæki sjálfkrafa skilgreind með margþættri mynsturgreiningu á umhverfisaðstæðum notandans (viðbótum, stýrikerfi, tímasetningu, staðsetningu og mörgu fleiru). Hinn svokallaði „öryggisheimur“, þ.e. fyrirtæki sem á einhvern átt koma að tölvuöryggi, hefur verið gagnrýndur fyrir að tefla fram lausnum sem eru ekki sérlega notendavænar. DMARC, tveggja þátta auðkenningu, traustum tækjum og mynsturgreiningum er einmitt ætlað að setja þægindi notandans í öndvegi.

Þú gætir einnig haft áhuga á
Netöryggi
13. jan. 2023

Varist svik í gegnum samfélagsmiðla – aldrei framsenda SMS-kóða

Við viljum vara viðskiptavini okkar við netsvikum, sérstaklega svikum sem fara fram í gegnum samfélagsmiðla og skilaboðaforrit, en mikið hefur borið á þeim undanfarið.
Öryggi í netverslun
4. nóv. 2022

14 góð ráð til að auka öryggi í netverslun

Verslun á netinu er ekki hættulaus, tölvuþrjótar leggja mikið á sig til að stela greiðsluupplýsingum eða svíkja fé út úr fólki með öðrum hætti. Hér fyrir neðan eru nokkur einföld ráð til að minnka hættuna á netsvikum.
Netöryggi
7. sept. 2022

Fræðsluefni um varnir gegn netsvikum

Við höfum tekið saman aðgengilegt fræðsluefni um hvernig hægt er að þekkja netsvik og verjast þeim.
8. júlí 2022

Mundu eftir netörygginu - líka þegar þú ert í fríi

Tilraunum til hvers kyns netsvika hefur fjölgað mikið og reynslan sýnir að þeim fjölgar á sumrin. Ástæðan er talin vera sú að netsvikarar vonast eftir því að þá sé fólk sé kærulausara og sé líklegra til að taka þátt í fölskum Facebook-leik, smella á hlekk í hugsunarleysi eða skoða ný „fjárfestingartækifæri“.
12. maí 2022

Ekki smella á hlekkinn – og ekki falla í gildruna

Notkun á tölvum og símum er stór hluti af okkar daglega lífi og því nauðsynlegt að vera meðvituð og upplýst um hætturnar sem leynast á netinu.
New temp image
8. mars 2022

Upptökur af fróðlegum fundi um netöryggismál

Landsbankinn stóð fyrir vel heppnuðum fundi um netöryggismál fimmtudaginn 3. mars 2022. Á fundinum var m.a. fjallað um hvernig skipulagðir glæpahópar beina spjótum sínum að einstaklingum og fyrirtækjum og hvernig verjast má atlögum þeirra.
2. mars 2022

Tinder-svindlarinn og hætturnar á netinu

Tilraunir til fjársvika á netinu aukast stöðugt og dæmi eru um að Íslendingar hafi tapað milljónum til svindlara á netinu. Oft er verið að spila með tilfinningar og góðmennsku fólks og mikilvægt að fólk þekki einkenni svikatilrauna, hvort sem þau beinast gegn þér eða þínum nánustu.
Netöryggi
4. nóv. 2021

Hvernig get ég varist kortasvikum?

Það er mjög mikilvægt að lesa vandlega öll skilaboð sem koma frá bankanum þínum, kortafyrirtækjum, þjónustuaðilum eða verslunum áður en þú gefur upp greiðsluupplýsingar eða samþykkir greiðslu. Með því að fara vandlega yfir skilaboðin getur þú dregið verulega úr hættunni á að verða þolandi kortasvika.
12. apríl 2021

Þekkt vörumerki notuð til að svíkja út peninga

Undanfarið hefur borið meira á tilraunum til svonefndra vörumerkjasvika sem ganga út á að villa um fyrir fólki með gylliboðum í nafni þekktra fyrirtækja og lokka það inn á vefsíður fjársvikara. Nýverið birtust færslur á Facebook með fölsuðum skjámyndum úr íslenskum bankaöppum, í einmitt þessum tilgangi.
8. okt. 2020

Fræðsla og umræða um netöryggi ber árangur

Þrátt fyrir að meira sé nú um tilraunir til hvers kyns netsvika falla færri í gildruna. Það sem af er árinu 2020 hefur fjársvikamálum á netinu, þar sem svikin takast og tjón verður, fækkað um helming miðað við sama tíma árið 2019. Við teljum að þróunin sé að mestu leyti fræðslu og umræðu um netöryggi að þakka en kórónuveirufaraldurinn hefur líka sín áhrif.
Vefkökur

Með því að smella á “Leyfa allar” samþykkir þú notkun á vefkökum til þess að auka virkni vefsins, greina vefnotkun og aðstoða við markaðssetningu.

Nánar um vefkökur