Það kost­ar ekk­ert að gera tölvu­póst­inn ör­ugg­ari

Reglulega koma fram á sjónarsviðið nýjungar sem efla öryggi fólks á netinu. Hér er fjallað um áhugaverðar, ókeypis lausnir fyrir fyrirtæki og stofnanir sem gera tölvupóstsendingar bæði öruggari og skilvirkari.
23. október 2019 - Landsbankinn

Fyrirmælafölsun, skilaboðasvik, vefveiðar og önnur fjársvik byggð á fölskum tölvupóstum hafa aukist mikið milli ára. Meginvandinn við að verjast fölskum tölvupóstum er að átta sig á hver sendandinn raunverulega er.

Komin er fram á sjónarsviðið ókeypis tækni sem nefnd er DMARC (domain-based message authentication, reporting & conformance). Hún auðveldar viðtakendum tölvupósta að sannreyna hvort sendandinn er sá sem hann segist vera. Þessu má því líkja við nokkurs konar upprunavottun. Ef tölvupósturinn stenst ekki prófið er það stillingaratriði hvort hann fer sjálfkrafa í ruslpóst eða í sjálfvirka eyðingu.

Ráðlegt er að öll fyrirtæki og stofnanir sem á annað borð stjórna eigin póstkerfi innleiði DMARC. Til marks um mikilvægi þess má nefna að bæði bresk og bandarísk stjórnvöld skylda eigin ráðuneyti til að nota DMARC.

Dregur úr áhuga glæpamanna á árás

Í póstkerfi viðtakanda þarf að gera ákveðnar breytingar í DNS-stillingum, þannig að póstþjónninn geti kannað hvort IP-tala sendanda og aðrar mikilvægar upplýsingar séu í samræmi við upplýsingar um eiganda lénsins. Þetta er gert með því að hagnýta allt í senn: SPF-auðkenningu (sender policy framework), DKIM-auðkenningu (domain keys identified mail) og DMARC-lista til að afla upplýsinga um réttmæti sendandans. Á netinu má finna fjölda leiðbeininga fyrir uppsetningu DMARC:

Þessari tækni er ætlað að takmarka möguleika óprúttinna aðila til að villa á sér heimildir við sendingu tölvupósta. Þótt DMARC veiti afar gagnlega vörn gegn vefveiðum og öðrum sviksamlegum tölvupóstum, þá er hún háð því að bæði sendandi og viðtakandi noti tæknina. En jafnvel þótt mótaðilinn noti ekki DMARC veitir tæknin engu að síður margvíslegar aðrar verðmætar upplýsingar, eins og hvort einhver sé að villa á sér heimildir í þínu nafni eða nafni fyrirtækisins þíns. Það sem meira er, svikahrappar sjá hvort fyrirhugað fórnarlamb noti DMARC eða ekki. Tæknin verndar því ekki aðeins einstaklinga og fyrirtæki, heldur letur einnig glæpamenn til árása.

Netglæpir

Tvíþætt staðfesting með appi

Þegar netbankar komu fyrst fram á sjónarsviðið árið 1995 þurftu viðskiptavinir aðeins að rita notandanafn og lykilorð. Slíkt fyrirkomulag er nefnt einföld staðfesting eða „eins þáttar auðkenning“ á tæknimáli. Uppúr aldamótum komu auðkennislyklarnir til sögunnar og nefnist það fyrirkomulag tvíþætt staðfesting eða „tveggja þátta auðkenning“. Um árabil voru aðeins plastlyklar í boði, eða þar til auðkenningaröppin komu fram á sjónarsviðið. Öppin framkalla auðkennisnúmer líkt og ef um plastlykil væri að ræða. Þau eru jafn örugg og plastlyklarnir en mun handhægari, enda síminn oftast í seilingarfjarlægð.

Núorðið bjóða sífellt fleiri þjónustuveitendur upp á auðkenningaröpp - og það jafnvel endurgjaldslaust. Til dæmis bjóða bæði Google og Microsoft upp á slík öpp, þannig að bæði notendum tölvupóstforrita á borð við Gmail eða Office365 býðst ókeypis auðkenningarapp. Appið gildir auðvitað líka fyrir aðgengi að fleiri skýjalausnum eins og Google Docs, Office Excel og svo framvegis. Eindregið er mælt með notkun slíkra appa.

Traust tæki

Sumir þjónustuveitendur bjóða notendum að skilgreina hvaða síma og hvaða tölvur heimilt er að nota við innskráningu. Fyrirkomulagið nefnist traust tæki (trusted device). Hjá einstaklingi geta þetta til dæmis verið tiltekinn sími, ákveðin spjaldtölva, fartölva og borðtölva. Sé innskráning reynd frá öðru tæki en þessum fjórum, er frekari auðkenningar krafist eða innskráningu einfaldlega hafnað.

Eindregið er mælt með því að tilgreinina traust tæki þar sem það býðst. Slíkar varnarstillingar auka öryggi notandans, auka þægindi við notkun, draga úr líkum á fjársvikum og annarri misnotkun – og eru oftast ókeypis.

Í Landsbankaappinu og í netbanka Landsbankans eru traust tæki sjálfkrafa skilgreind með margþættri mynsturgreiningu á umhverfisaðstæðum notandans (viðbótum, stýrikerfi, tímasetningu, staðsetningu og mörgu fleiru). Hinn svokallaði „öryggisheimur“, þ.e. fyrirtæki sem á einhvern átt koma að tölvuöryggi, hefur verið gagnrýndur fyrir að tefla fram lausnum sem eru ekki sérlega notendavænar. DMARC, tveggja þátta auðkenningu, traustum tækjum og mynsturgreiningum er einmitt ætlað að setja þægindi notandans í öndvegi.

Þú gætir einnig haft áhuga á
8. okt. 2020

Fræðsla og umræða um netöryggi ber árangur

Þrátt fyrir að meira sé nú um tilraunir til hvers kyns netsvika falla færri í gildruna. Það sem af er árinu 2020 hefur fjársvikamálum á netinu, þar sem svikin takast og tjón verður, fækkað um helming miðað við sama tíma árið 2019. Við teljum að þróunin sé að mestu leyti fræðslu og umræðu um netöryggi að þakka en kórónuveirufaraldurinn hefur líka sín áhrif.
Ástarsvik tákn
11. sept. 2020

Brostið hjarta og tómt veski – varist ástarsvik á netinu

Í ástarsvikum stofna svikarar til falsks ástarsambands á netinu í þeim tilgangi að hafa fé af fórnarlömbunum. Þeir þykjast t.d. vera ungar konur í vanda eða særðir hermenn til að fá fólk til að bíta á agnið.
Skilaboðasvik
2. sept. 2020

Góð ráð um netöryggi í fjarnámi og fjarvinnu

Samhliða því að sífellt fleiri stunda fjarnám eða sinna vinnu að heiman leita netþrjótar að nýjum leiðum til að svindla á fólki. Það má gera ýmislegt til að auka netöryggi heimilisins og treysta varnir gegn óprúttnum aðilum.
17. okt. 2019

Sæmdarkúgun – óþægilegar en innihaldslausar hótanir

Ein tegund fjárkúgunar er svonefnd sæmdarkúgun (e. sextortion) þar sem vegið er að sæmd og friðhelgi viðkomandi í þeim tilgangi að beita kúgun. Búist er við að slíkum málum fari fjölgandi.
1. okt. 2019

Útsmoginn sálfræðihernaður í netsvikum

Netsvikarar beita útsmognum sálfræðihernaði til að blekkja fórnarlömb sín. Tölvupóstar frá þeim geta verið á óaðfinnanlegri íslensku og þeir bjóða upp á sannfærandi (en falska) netbanka sem virðast sýna ótrúlega ávöxtun.
12. júlí 2019

Fjárfestasvik eru algengustu netsvikin hérlendis það sem af er ári

Netsvik birtast okkur í ýmsum útgáfum. Þar má nefna svonefnd fjárfestasvik (investment scam) og hefur umfang þeirra hérlendis aukist um 77% á árinu.
5. júlí 2019

Netöryggi og notkun farsíma í snjallbúnaði bílaleigubíla

Handfrjáls símabúnaður veitir öryggi og þægindi. Mikilvægt er að aftengja símann við skil á bílaleigubíl því annars geta þrjótar notfært sér gögnin til að undirbúa svik.
3. jan. 2019

Aldrei meira tjón af netglæpum

Gagnalekum fjölgar milli ára, sífellt fleiri kortanúmer ganga kaupum og sölu, illa fengnum lykilorðum er dreift sem aldrei fyrr og netþrjótar beita sífellt þróaðri aðferðum. Í þessari grein er fjallað um þróun netglæpa á árinu 2018.
21. nóv. 2018

14 góð ráð til að auka öryggi í netverslun

Verslun á netinu er ekki hættulaus, tölvuþrjótar leggja mikið á sig til að stela greiðsluupplýsingum eða svíkja fé út úr fólki með öðrum hætti. Hér fyrir neðan eru nokkur einföld ráð til að minnka hættuna á netsvikum.
4. okt. 2018

Varist falsfréttir um skjótfenginn gróða

Landsbankinn varar eindregið við falsfréttum sem oft snúast um ótrúlega góð tilboð eða skjótan gróða nafngreindra Íslendinga. Fréttunum er gjarnan dreift á Facebook og öðrum samfélagsmiðlum og þær geta í sumum tilfellum verið töluvert sannfærandi.
Vefkökur

Með því að smella á “Leyfa allar” samþykkir þú notkun á vefkökum til þess að auka virkni vefsins, greina vefnotkun og aðstoða við markaðssetningu.

Nánar um vefkökur

Tryggja virkni vefsins

Greina notkun svo við getum mælt og aukið gæði vefsins

Notaðar til að birta persónubundnar auglýsingar

Nánar um vefkökur