Världen vore säkrare om människor slutade vara naiva

Okej, jag erkänner att rubriken är taskig mot alla. Men jag tycker ändå att de flesta människor är lite för lättlurade för sitt eget bästa, för att ta ett aktuellt exempel:
Telefonen ringer klockan tre på natten, du svarar yrvaket och en person i andra ändan presenterar sig som en banktjänsteman från Swedbank. Personen hänvisar, antagligen, till något obskyrt fel eller problem och säger sig behöva personuppgifter och liknande för att felet ska kunna åtgärdas. Nu vet jag inte hur många personer som faktiskt kommer att uppge uppgifterna, men av tidigare erfarenheter kan jag tänka mig att sannolikheten att personen gör det är hyfsat hög.

Det jag finner en smula intressant är den totala avsaknaden av kritiskt tänkande, visst du är yrvaken, men ändå. Hur många personer jobbar nattskift på bankerna?
Möjligen it-tekniker som ska åtgärda något urakut fel. Sannolikheten att en av dem sätter sig och ringer upp kunder känns tämligen låg.
Och om vi nu antar att det faktiskt är ett fel som kräver uppgifter från kunden, så har de flesta seriösa företag hyfsen att ringa upp under kontorstid eller mellan 16 och 21.
Nu är det ju dock så att de uppgifterna ”banken” frågar efter är av den arten att de aldrig, om banken är seriös, ska överföras över ett osäkert medium. Telefoni är ett osäkert medium, alltså kan man anta att om banken behöver uppgifterna så kommer de att kontakta dig och be dig besöka banken personligen för att lösa problemet.

Är detta något nytt egentligen?
Svaret är tyvärr nej, social engineering har förekommit bland databrottslingar ungefär lika länge som det funnits datakriminalitet. De flesta användare som kontaktas av någon som uppger sig arbeta på it-avdelningen kommer att uppge användarnamn och lösenord utan en tanke på att det mycket väl kan vara någon utomstående som ringer eller mejlar.

Båda dessa angreppsvägar lyckas därför att majoriteten av befolkningen för det första antar att andra människor är goda och inte ljuger. Kritiskt tänkande är de flesta duktiga på när de läser saker, eller får höra saker som upplevs som fakta. Men så fort någon utger sig för att vara tjänsteman eller liknande så antar vi att personen talar sanning utan att kontrollera hur det verkligen ligger till.

För att återgå till den uppringande banken ovan, i princip det enda man kan göra på en bank utan att legitimera sig är att sätta in pengar. För att ta ut pengar krävs någonting du har (kort) och någonting du vet (pinkod), och om man tar ut pengar över disk krävs en id-handling och underskrift. Personen som ringer upp kan inte säga att ifall det är rätt person han eller hon talar med, redan där bör varningsklockorna ringa enligt mig, och omvänt gäller att den uppringde inte kan verifiera att personen som ringer upp är den han eller hon utger sig för att vara.

Sedan har vi det där med spam och annan skit på nätet.
Jag vet inte hur många gånger jag har hört att personen har båda antivirusprogram och brandvägg, för att sedan upptäcka att programen inte är uppdaterade.
Ett ouppdaterat skyddsprogram är sämre än inget skydd alls enligt mig, eftersom användaren tror att hon är säker.
Till detta kommer att de flesta personerna bara klickar på ”Tillåt”-knappen såfort en ruta dyker upp som frågar ifall ett visst program ska få ansluta till internet, samma sak gäller när en ruta ploppar upp som säger att ett visst program har ändrats (och med alla automatiska uppdateringar är det ganska svårt att veta när ett program har uppdaterats). Helt plötsligt är vi tillbaka vid naiviteten, men tyvärr finns det så många olika program som kräver nätverksåtkomst och många gånger är det svårt att avgöra om ett visst program verkligen behöver åtkomst till nätet.
Antivirusprogramen är en avdelning för sig, tro inte att du är säker bara för att du har ett uppdaterat antivirusprogram!

För det första så kommer det nya virus varje dag, och för det andra så modifieras gamla ständigt. Antivirusprogramen använder sig av signaturer och letar efter kodsnuttar som finns i databasen, modifierar man ett virus så kommer signaturen inte att hittas och då släpps viruset in. Man kan generellt säga att från det att ett virus börjar spridas tills det finns med i antivirusprogrammets signaturlista kan det ta allt från några timmar till veckor beroende på en massa faktorer.
De flesta antivirusprogram har idag sökalgoritmer som försöker hitta virus som inte finns i signaturlistan genom att titta på funktioner och beteende. Tyvärr så verkar dessa metoderna inte vara helt tillförlitliga.

Hur ska man skydda sig då?
Sunt förnuft och paranoia är det första, räkna inte med att någon vill dig väl och ett erbjudande som är för bra för att vara sant är antagligen falskt.
Försiktighet är en dygd, klicka inte tanklöst på allt som dyker upp. Stanna upp och tänk till innan!
Uppdaterade program är nästa, och här menar jag alla program inklusive skyddsprogram.
Installera en reklamblockerare i webbläsaren, t.ex. ABP för Firefox. En hel del skadlig kod kommer via reklambanners idag, som ett plus slipper du dessutom all reklam.
Utnyttja spamfiltrena i mejlprogramen. Gör du det så samlas majoriteten av all spam i en särskild mapp som du kan kika i med jämna mellanrum. I nio fall av tio kan man avgöra ifall det är ett spam bara genom att titta på ämnesraden, till och från-raderna brukar också ge ledtrådar. Alltså behöver du i princip aldrig öppna ett spam för att avgöra ifall det är spam!
Det tar lite tid och en del pillande för att få ett spamfilter att fungera, men det är värt tiden. Och glöm inte att läsa igenom hur spamfiltret funkar och arbetar, det kommer spara dig en massa irritation och besvär.

Och slutligen så återupprepar jag det jag sagt ovan; sluta vara naiv, det straffar sig.

(Intressant)

Uppdatering: Swedbank har tydligen bemanning dygnet runt som övervakar transaktioner för att kunna upptäcka mystiska transaktioner och de ringer tydligen upp kunden ifall de upptäcker något konstigt.

Annonser

2 svar to “Världen vore säkrare om människor slutade vara naiva”

  1. - Says:

    Fast du, mina vänner Per och Rasmus har båda jobbat på Swedbank och de har folk på kontoret dygnet runt. Ser de ett ovanligt uttag eller pengaöverföring ringer de upp, frågar efter personuppgifter och frågar om man har lyckats ta sig från Sätra till Turkiet på tre timmar eftersom de två senaste uttagen vad på de platserna. Så, tja, det är scammers som kopierar ett precist beteende.

  2. Martin a.k.a NPC]Otyg Says:

    Men frågar de om inloggningsuppgifterna till internetbanken eller andra uppgifter som kan användas för att plocka ut pengar även om man är fel person?

    Är ändå på sin plats att uppdatera bloggposten, tack Helena :)

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s


%d bloggare gillar detta: