fbpx
Skip to content
Heim » Blogg um netöryggi » Heilræði » Vefveiðar (e. phising) og önnur svindl

Vefveiðar (e. phising) og önnur svindl

Það eru alls konar svindl í gangi á netinu og í síma þessa dagana. Þessir þrjótar sem stunda þessu svindl eru út um allt og það hefur aldrei verið mikilvægara að vera vakandi og meðvitaður um þá en núna. Algengasta svindlið þessa dagana er kallað vefveiðar (phising). Ef það orð kallar fram myndir af einhverjum að veiða fram af bryggju einhvers staðar er það ekki tilviljun. Þessi tegund af svindli felur í sér að veiða peninga eða upplýsingar af þér. Vefveiðar eru hluti af erlendu hugtaki sem kallast félagsleg verkfræði (social engineering), sem margir myndu einfaldlega kalla svindl og við ætlum að halda okkur við það orð í þessari grein. Helsti munurinn á vefveiðum og annars konar svindli er samskiptaleiðin eða það hvar og hvernig þrjóturinn reynir að veiða þig. Vefveiðar eru svindl sem eiga sér stað í textasamskiptum, aðallega tölvupósti. Í rauninni skiptir ekki máli hvar og hvernig þeir reyna við þig, allt þetta svindl er í meginatriðum eins.

Í langflestum svindlum eru þrjótarnir að höfða til mannlegra tilfinninga: græðgi, forvitni og löngun til að hjálpa. Þeir búa til stress og tímapressu til að kalla fram þessar tilfinningar og koma í veg fyrir að fólk hugsi rökrétt. Gagnrýn rökhugsun er besta mótefnið við hvers kyns svindli. Um leið og þú gefur þér tíma til að gagnrýna og hugsa um hvað er að gerast, muntu sjá í gegnum aumkunarverðar tilrauni þeirra til að svindla á þér.

Alltaf þegar þú færð tölvupóst, SMS eða símtal þar sem þú ert beðin/n um upplýsingar eða peninga skaltu spyrja sjálfa/n þig tveggja spurninga:

  • Hvernig veit ég að viðkomandi er sá sem hann/hún segist vera? (vísbending: þú gerir það venjulega ekki, og venjulega er hann/hún það ekki)
  • Hvernig veit ég að það sem viðkomandi er að segja mér sé satt (vísbending: oft er það ekki)

Ekki gefa neitt upp fyrr en þú hefur staðfest án nokkurs vafa að það sem viðkomandi er að segja sé satt og rétt. Ein aðferð til þess er að taka niður upplýsingar um hver þeir segjast vera, tengiliðaupplýsingar þeirra og hvað þeir vilja, og segðu þeim síðan að þú munir heyra í þeim aftur eftir að þú hefur fengið staðfestingu. Hins vegar, ef haft er samband vi þig í tölvupósti eða textaskilaboðum, ekki svara fyrr en þú hefur tekið þér tíma til að sannreyna hvað er að gerast.

Til að útskýringar skulum við taka frekar öfgafullt ímyndað dæmi. Vonandi hafið þið öll séð að minnsta kosti eina Mission Impossible kvikmynd eða þátt. Ímyndaðu þér að þú sért í einni af þessum bíómyndum og óvina njósnari hefur sett á sig hátæknigrímu sem lætur hann líta út og hljóma nákvæmlega eins og einhver annar. Hann er að reyna að líkja eftir einhverjum sem þú hefur þekkt vel í áratugi. Á meðan hann lítur út og hljómar eins og vinur þinn, nær hann ekki að líkja eftir hegðun hans, hvernig hann gengur talar og hagar sér, svo þú tekur strax eftir því að eitthvað er skrítið við vin þinn. Síðan byrjar hann að spyrja furðulegra spurninga eða bera fram undarlegar beiðnir sem geta jafnvel farið algjörlega gegn karakter hans. Hvað gerir þú? Þú ættir vissulega ekki að verða við beiðnum hans strax. Kannski prófarðu þá til að reyna að koma upp um svindlið, talar um eitthvað sem hann ætti að vita eða prófar jafnvel að minnast á eitthvað sem aldrei gerðist til að veiða hann í gildru. Önnur aðferð gæti verið að taka upp farsímann þinn og hringja í vin þinn. Nema þeir hafi hugsað út í það og klónað síma vinar þíns, geturðu fljótt staðfest hvort hann sé í raun sá sem hann segist vera.

Færum okkur aftur í raunveruleikann. Þó að þessi atburðarás sé mjög langsótt í hinum raunverulega heimi er hún mjög raunhæf fyrir tækniheiminn. Að falsa sendandaupplýsingar í tölvupósti og texta er afar einfalt, þó það sé líka tiltölulega auðvelt að koma auga á ef maður er á varðbergi. Með nútímaframförum í gervigreind er það orðið léttvægt að falsa rödd einhvers í síma.

Hér eru nokkrar raunverulegar aðstæður sem gerast oft, ásamt ráðlögðum aðgerðum:

  • Þú færð símtal frá einhverjum sem segist vera barnabarnið þitt og segist vera í fríi á Spáni (eða Mexíkó eða Malasíu osfrv.), og hann/hún sé í fangelsi og þurfi á tryggingarfé að halda til að losna (eða einhverja aðra hörmung sem krefst töluverðra peninga).
    • Skrifaðu niður hvað hann/hún biður þig að gera. Venjulega er það að senda MoneyGram eða annars konar millifærslu Segðu að þú munir gera þetta og skelltu á. Reyndu síðan að hafa samband við barnabarnið þitt (jafnvel þó hann/hún segi þér að gera það ekki), foreldra þess eða aðra til að komast að því hvort þetta sé trúlegt. Í 99,9% tilvika muntu komast að því að barnabarnið þitt er í vinnunni eða heima alveg öruggt.
  • Þú færð tölvupóst frá Netflix um að reikningurinn þinn hafi verið frystur vegna greiðsluvandamála.
    • Farðu og reyndu að horfa á eitthvað á Netflix; þú munt fljótt komast að því hvort reikningurinn þinn er frosinn. Ef það er, farðu beint á Netflix.com og lagfærðu það. Í báðum tilvikum skaltu hunsa allar leiðbeiningar og tengla í þeim tölvupósti.
  • Þú færð tölvupóst sem lítur út fyrir að vera frá bankanum þínum með tilkynningu um eitthvert stórslys.
    • Gakktu úr skugga um að það sé frá banka sem þú ert í raun í viðskiptum við. Ég get ekki sagt þér hversu oft ég hef fengið tölvupósta sem segjast vera frá bönkum sem ég á ekki í viðskiptum við. Hér er glæpamaðurinn að treysta á græðgi þína til að fullnægja græðgi sinni.
    • Hunsaðu þennan tölvupóst og hafðu samband við bankann þinn á venjulegan hátt. Skráðu þig inn í netbanka á sama hátt og þú gerir alltaf og þú munt fljótt komast að því hvort hann er raunverulegur eða falsaður. Hvað sem þú gerir, ekki snerta neina tengla eða viðhengi í tölvupóstinum.
  • Þú færð tölvupóst sem lítur út fyrir að vera frá sendingarþjónustu, póstþjónustu, DHL, FedEx, UPS o.s.frv., sem segir að það sé vandamál með sendinguna þína.
    • Hunsaðu alla tengla eða tengiliðaupplýsingar í tölvupóstinum.
    • Finndu almennar tengiliðaupplýsingar fyrir tiltekna sendingarþjónustu og hafðu samband við þá beint. Ef þú finnur það ekki er það falsað.

Ég er ekki að segja að þú ættir aldrei að smella á tölvupóst eða opna viðhengi. Ég er bara að segja að það geti verið mjög hættulegt að opna viðhengi eða smella á tengla. Maður ætti að hugsa mjög gagnrýnið um hvort það þurfi nauðsynlega að opna það viðhengi eða smella á þann hlekk eða hvort önnur leið geti verið betri. Einnig skaltu gera áhættugreiningu og draga úr áhættu áður en þú smellir í raun á þann hlekk og reynir að ákvarða áhættuna sem fylgir því. Taktu síðan upplýsta ákvörðun um hvað þú átt að gera. Ef þú ákveður að smella á þennan hlekk skaltu vera á varðbergi fyrir öllu sem lítur öðruvísi út eða ekki og endurmeta hvort það gerist.

Að lokum eru hér nokkur skjáskot sem ég hef safnað af vefveiðatilraunum sem ég hef fengið í gegnum tíðina.

Hér eru nokkur áberandi rauð flögg:

  • Af hverju myndi forseti Seðlabanka Evrópu senda frá frankbergin@sympatica.ca?
  • Europe.com er ekki lén undir stjórn Evrópusambandsins eins og þessi sendandi vonast til að koma á framfæri.
  • Reyndar, þegar ég fer á https://europe.com í vafranum mínum, hindrar vírusvörnin mig í að fara þangað.

Hér fyrir neðan er annar góður. Fyrir utan hversu slæm tilraun þetta er, þá er tilkynning um lykilorðabreytingu sem býður þér að halda núverandi lykilorði þínu andstæða, svo ekki sé meira sagt. Hér skiptir ekki máli hvort það er raunverulegt eða ekki; þú ættir aldrei að snerta þetta enda er þarna verið að reyna að blekkja þig til að smella á rauða hnappinn.

Hér eru nokkur fleiri dæmi. Ég leyfi þér að greina hvað er rangt við þessi dæmi.

Umfram allt, farið varlega, beitið rökhugsun og almennri skynsemi og verið extra gagnrýnin á þegar þið fáið pósta sem þið eigið ekki von á.

Efnisorð: