Det er nok ikke gået forbi dig, at der er en indædt kamp i gang i verden. Jeg taler ikke om en krig mellem Rusland og Ukraine og et ulmende konflikt mellem Kina og Taiwan. Jeg taler om en kamp mellem stormagter. Hvad der ligger bag er, om end det er en vigtig ting, ikke relevant for dette indlæg. Men faktum er, at du, hr. eller fru Danmark i hvilken som helst alder, er en nøglebrik i den kamp. Du sidder nemlig med noget, både Kina og Rusland, men også Venezuela og Nord-Korea gerne vil have fat i: adgang til de danske systemer. I dette artikel vil jeg gøre dig klogere om hvad de kan få ud af det, hvordan de vil have fat i dine oplysninger, og hvad du kan gøre for at beskytte dig.
Der er en ting, du skal vide. Hackere er meget tålmodige. De kan bruge rigtig lang tid på at lægge et puslespil som består af rigtig mange brikker. Og det er lige det, de gør. Ikke kun ét puslespil, men rigtig mange. Et af de puslespil de lægger, er dig. Og jo mere de har på dig, desto bedre har de et overblik, og desto mindre behøver de at gætte.
Typer af phishing
Aviser, nyhedsmedier og blogs skriver gerne om en metode, hackere brugere, og som hedder phishing. Det er en lang og kedelig historie hvor ordet “phishing” kommer fra, så lad os holde det kort: det er et ord som lyder lige som det engelske ord fishing, som betyder “at fiske”. Det staves lidt anderledes, men i bund og grund er det det samme: at fiske efter oplysninger.
At fiske er noget, man kan gøre på mange forskellige måder. Du kan sidde med en fiskestang ved vandkanten, og vente på at der kommer en fisk forbi – måske går det stærkt, måske sidder du der i mange timer. Måske finder du en stor fisk, måske en lille fisk. Store, stærke fisk har dog mere en tendens til at være lidt længere fra kanten, så for at fange dem skal du være lidt længere ud på vandet. Der skal du måske bruge en spyd. Eller du kan tage et net, og dermed har du faktisk også chancen for at fange flere fisk på en gang. Du kan også gå på hvalfangst – og gå efter den virkelig store gevinst. Der skal du kun fange én for at få et stort udbytte. Men det kan du nok næppe klare med en fiskestang: du har brug for flere hænder og noget væsentligt større grej. Du skal bruge den metode, der passer bedst til det, du er ude efter.
Med phishing er det det samme: der er noget, vi kalder for whaling: at en hacker går efter en helt bestemt person. Det sker heldigvis ikke for de fleste mennesker, medmindre det handler om en særlig kendt og måske indflydelsesrig person, eller i særlige situationer om misunderlige ekskærester. De fleste mennesker der bliver offer for phishing er bare svømmet ind i et net. Og når det sker, så skal du forholde dig roligt: går du i panik, og laver alle mulige krumspring for at komme ud af det net, så får du ekstra opmærksomhed fra phiskeren, altså hackeren, og du risikerer at afsløre noget om dig selv som phiskeren netop ikke skal vide.
OK, du blev fanget. Hvad sker der så nu?
Men hvad gør phiskeren egentligt, når du er blevet fanget i det net? For det første vil han lade dig tro at der ikke skete noget. Du har måske opdaget at du blev fanget – men så sker der ikke noget mere. Som jeg sagde før: en hacker er tålmodig! Og når du har sovet et par gange, og dine alarmklokker for længst er holdt op med at ringe, så får du pludseligt en mail. For mens du sov, har phiskeren lige samlet et par brudstykker af information om dig og samlet det til brugbar information: din e-mailadresse, måske faktisk dit navn og telefon. Eller måske har han (det er ikke nødvendigvis en mand, men det lader vi ligge) kun din mailadresse eller kun dit telefonnummer, men den er ofte allerede nok.
Social Engineering
Det, vi ser mest, er phiskerens offer, dig altså, bliver udsat for noget, der hedder Social Engineering. I korte træk går det ud på, at du bliver lokket til en hjemmeside eller en app, der ligner et kendt website eller app. Og hvis du tror, at phiskeren så skal lave en kopi af den side, han vil imitere, så tager du fejl: han bruger bare et lille program, som hedder Blackeye, og sender dig et link til et sted, og får lavet en kopi af den aktuelle website han vil efterabe. Måske har han i første omgang forsøgt at logge på den rigtige version af – lad os sige – Facebook eller Instagram, for at udløse, at du får nogle legitime advarsler om sikkerheden på din konto. Og når tiden er inde, så får du den phishing-mail, der giver phiskeren din adgangskode.
Det sker ikke for mig
Nej? Det er nok lige som de mennesker, der påstår at deres hund ikke bider: den har ikke gjort det indtil videre, men det er i dyrets natur at gøre. Med godt opdragelse kan det måske forhindres at det nogensinde sker, men at stole på din dømmekraft for at undgå hensynsløse og ikke mindst meget kloge hackere er ikke særlig smart. Af den simple grund at disse hackere har en nærmest indfødt evne til at tale udenom ens rationale tankegang. Plus at de nok har prøvet det rigtig mange gange før, og ved hvad der virker på de fleste mennesker.
Hvad vil de egentligt?
Men hvorfor er det nu lige, at disse phiskere er interesseret i dine oplysninger? Har du noget liggende på din Facebook som de kan udnytte? Der er mange grunde til, at de vil have fat i dine oplysninger.
- Hvis du, lige som mange andre mennesker, har samme kode til forskellige systemer, og hackeren har adgang til en af dem, så er det bare om at prøve frem til andre konti. Men det svarer ikke på hvad de egentligt vil opnå
- Hvis en phisker har fået adgang til dit datalager i skyen (iCloud, OneDrive, Dropbox, Jottacloud, Google Drev), så kan det være at der ligger filer der, du gerne vil holde for dig selv. I bedste fald (og det er helt afgjort ikke noget godt) så har du nogle private billeder af situationer du allerhelst ikke vil dele med andre. I værste fald har du gemt en forsikringspolice, en selvangivelse eller andre officielle dokumenter i dit datalager eller i din mail, sådan at hackeren får fat i dit CPR-nummer. Og her kan det blive rigtig interessant for en phisker: her kan han optage lån i dit navn, bestille kreditkort, eller fuldbyrdet identitetstyveri. Eller sælge dit CPR-nummer til nogen der er interesseret, fx på Darknet – det skjulte Internet
- Hvis du har været forudseende, så har du gjort din venneliste på Facebook (eller tilsvarende liste på andre platforme) usynligt for uvedkommende besøgende til din profil. Men så snart vedkommende har adgang til et sådant platform som om det var dig, så udvides vedkommendes spektrum til at finde ofre: dine venner, familie og bekendte er mere tilbøjelig til at antage at du vil dem godt, end en vildfremmed. Men hvad nu hvis det ikke er dig, men en anden der skriver til dem?
- Hvis du har gemt dit kreditkort på en tjeneste som Microsoft 365, og en hacker får adgang til din konto der, så kan vedkommende købe en tjeneste, og derefter vippe dig af pinden.
- Du har angivet din fødselsdato på mange forskellige platforme. Hvis en hacker har adgang til ét platform med dit login, så har han allerede en stor del af dit CPR-nummer. Der skal kun 500 (automatiserede) forsøg til for at få fat i dit fulde CPR-nummer.
Sådan lægger en hacker puslespillet: en hypotetisk samtale
En hacker har skaffet sig adgang til din Facebook. Der har du skrevet dit fulde navn og din fødselsdag. Du har også fortalt Facebook hvor du bor, og dit telefonnummer. Og for et par uger siden har du skrevet et opslag at du lige skulle forbi lægen for at få tjekket et – lad os sige – modersmærke. På Krak.dk har vedkommende fundet din adresse.
Og nu ringer hackeren til sygehuset i en lidt større by i nærheden:
“Goddag, du taler med [dit navn]. Jeg skulle tale med en læge eller en sygeplejerske vedr. et modersmærke”
“Må jeg bede om dit CPR-nummer?”
“Jo, det er XXXXXX-YYYY” (og nævner de rigtige tal i din fødselsdag, og et valgfri tal svarende til dit køn)
“Det får jeg ikke noget på. Hvad siger du dit navn var?”
“[dit navn]”
“Jeg får altså ikke dit navn på skærmen. må jeg engang til bede om dit CPR-nummer?”
Samme nummer gentages
“Den passer ikke. Kan du tjekke dit sundshedskort, og se om nummeret er korrekt?”
“Altså, det er korrekt. Jeg har brugt det en million gange!”
“Det forstår jeg ikke. Men ved du hvad, du får lige nummeret på den korrekte afdeling”
“Tak. Og dit navn er?”
Hackeren får navnet på receptionisten, og nu er hackeren et trin videre i systemet. Og ringer til den næste afdeling. Telefonen bliver taget, og vedkommende introducerer sig med sit navn.
“Goddag, du taler med [dit navn]. Jeg var hos min læge for et par uger siden, og fik kigget på et modersmærke. Der fik jeg at vide, at hvis det bliver værre, så må jeg ringe til [navn af den, der tager telefonen]. Det må være dig.”
Vedkommende vil spørge efter et CPR-nummer, og igen: den kan ikke findes. Her bruges sandsynligvis en anden kombination af “de sidste fire”.
“Jamen jeg er lige blevet henvist til dig fra receptionen, en der hedder [navn på receptionisten]. Hun fandt mig da i systemet. Kan jeg ikke give dig min adresse?”
“Nej, det må jeg ikke. Men giv mig lige dit navn igen”
“[dit navn]”
“Tak. Lad mig lige se … jep, jeg har fundet dig her. Altså, din fødselsdag er korrekt, men de sidste fire er noget helt andet”
“Nå? Jamen de var korrekt da jeg snakkede med [receptionisten]! Hvad har du stående da??”
“YYYY [de korrekte sidste fire cifre]”
“Nå for søren! Jeg sidder her med mit og med min datters/søns sygesikringskort! Hahaha, det var dumt!” Jamen så fik vi styr på det. Nå, men hvad gør jeg hvis jeg synes at det modermærke ser underligt ud?”
(Og herfra bliver samtalen ligegyldig, men skaden er sket).
En bedre beskyttelse
Det svageste led er og vil altid være mennesket. I ovenstående eksempel er det helt tydeligt at det er et menneske der kommer med den afgørende detalje – men det er også et menneske der i første omgang har gjort det muligt for phiskeren at komme ind i kontoen. Lad mig med det samme understrege, at det på ingen måde er offerets skyld – victim blaming er på ingen måde ok. Det er kun et faktum, at mennesker har en iboende svaghed for at gøre tingene nemt for sig selv. Men dermed også for andre – og der findes jo brodne kar.
Du har måske hørt en million gange hvad du kan gøre. Men der er langt fra tanke til handling.
- Skift dine passwords ud med noget der ikke er nemt at huske
Det betyder altså, at du skal gå ind i alle systemer, én ad gangen, for at ændre koden. Det er typisk noget, man udsætter til senere – eller aldrig - Lad være med at skrive dine koder ned
Men det er meget nemt når man har klæbehjerne, eller kun tre adgangskoder. Og det har man typisk ikke. - Brug unikke koder
Det gør det bare endnu sværere - Aktiver to- eller multifaktorgodkendelse
Det betyder at du bruger en app, sms eller telefonopkald som ekstra trin i login-processen.
Også her gælder at du først skal aktivere det for ethvert system du bruger, en ad gangen. Og du kan ikke bruge samme metode på alle systemer, så du skal have kendskab til forskellige systemer. Og hvis du mister adgang til den metode du har anvendt (du får et nyt telefonnummer, eller du skifter telefon uden at overføre apps), så er du ligevidt - Ændr regelmæssigt dine koder
Ja, det er godt! Det er træls nok at gøre det indimellem!
Derfor er det en rigtig god idé at få gjort det indimellem sammen med din Computernørd. Se mere her om mit antikodebøvl-abonnement.
Lad være med at dele ligegyldig info
Udover at få styr på dine koder, er det en rigtig god idé at holde styr på hvad du deler med hvem. De fleste mennesker stoler på ens venner – og det er en god ting. Men også blandt dine venner på Facebook kan være brodne kar. Og desuden kender du ikke dine venners venner, som kan se hvad du skriver, når dine venner reagerer. Men også udenfor Facebook deler du informationer, som en hacker kan bruge til at danne et overblik over dig og din digitale færden. Visse ting kan man ikke undgå: som husejer er dit navn offentliggjort på websitet https://ois.dk, og hvis du er engageret i en virksomhed eller en registreret forening, så kan dit navn, din adresse og en del andre oplysninger findes på https://cvr.dk. Det kommer du ikke bare lige udenom. Men en del information om dig kan hjælpe en hacker til at kortlægge dig. Derfor: pas på med hvad du deler.
Jeg er blevet hacket – hvad nu?
Nu er det vigtigt at du ikke laver fejl. Skynd dig ikke i at lukke en masse konti: hastværk er lastværk. Især når man ikke helt kan gennemskue alt samtidig med at du er stresset fordi en eller anden hacker har fat i noget han ikke skal. Det klogeste du kan gøre nu er at kontakte Computernørden. Jeg tager fat i sagen, kyndig og professionel. RIng til mig på 70200930, kontakt mig på Facebook eller send mig en mail på [email protected]. Du kan også bruge min kontakformular. For mere information: klik her