Prenumerera på Kollegas nyhetsbrev
Är du medlem i Unionen? Vill du få alla våra nyheter, tips och granskningar direkt i din inkorg?
Enkelt! Anmäl dig via länken
Fler och mer avancerade brott via nätet
Det globala virusdådet mot myndigheter och företag nyligen är ett tidens tecken: Kriminella lägger ner vapnen, för att i stället jobba virtuellt. Med medvetenhet och bra IT-tekniker kommer man långt för att skydda sig. Och med lite hjälp från en tonårig datanörd en bra bit till.
Varje år utsätts tusentals svenska företag och privatpersoner för olika former av IT-brott. Det handlar om regelrätta hackerattacker, om kidnappade datorer, om mejl med falska avsändare, om virus, trojaner och överbelastningsattacker.
I bästa fall innebär intrånget att datorn inte fungerar som den ska under en period – i sämsta fall att företaget förlorar pengar, ibland väldigt mycket. Ingen vet exakt hur omfattande brottsligheten är, men det handlar om en global verksamhet som omsätter miljarder varje år.
Fredagen den 12 maj utsattes hundratusentals datorer i mer än hundra länder, däribland Sverige, för världens hittills största virusattack. Myndigheter och företag fick sina datafiler krypterade genom utpressningsviruset Wannacry. Personerna bakom attacken krävde sedan mellan 300 och 600 dollar för att låsa upp datorerna.
Läs mer: Allt du behöver veta om kryptering
Viruset – som riktades mot operativsystemet Windows – stoppades ganska snart, men flera experter varnar för att det kan blomma upp igen och uppmanar alla att uppdatera Windows. Det är oklart vilka som låg bakom attacken, men hackarna tros ha utnyttjat en sårbarhet som USA:s underrättelseorgan NSA hittat.
Förr hade vi inte mycket tillgångar i datorn, i dag har vi nästan allt där – pengar och hemligheter
Myndigheten för samhällsskydd och beredskap, MSB, uppmanar alla som drabbats att inte betala någon lösensumma. Dels för att pengarna kan användas vid nya attacker, dels för att det inte finns garantier för att filerna blir upplåsta.
Oftast kommer angreppen mot svenska företag från två håll, enligt Marcus Murray, IT-säkerhetschef på Truesec. Dels statsfinansierade aktörer som via industrispionage vill komma över exempelvis forskningsresultat som landet kan ha nytta av, dels organiserad brottslighet. Kriminella kan till exempel kryptera ett företags hårddiskar med hjälp av så kallad ransomware och sedan kräva pengar för att ta bort krypteringen.
– Det är en extremt lönsam verksamhet. I ett fall har utpressning gett 235 miljoner dollar. Med sådana resurser kan brottslingarna anställa folk att använda i nästa utpressningsvåg, säger han.
En annan variant är vd-bluffar. Bedragarna skickar mejl från en e-postadress som liknar vd:ns e-postadress och ber ekonomiavdelningen att betala en faktura.
Det finns en del att göra för att skydda sig. Man kan anlita ett säkerhetsföretag för att göra regelbundna intrångstester, tekniker försöker då ta sig in i företagets system för att upptäcka svagheter.
– IT-säkerheten är en avspegling av säkerheten i den fysiska världen. Det handlar om att ha ett bra skalskydd, att upptäcka angrepp och att ha en plan när det väl smäller. I dag måste vi anta att någon klarar att ta sig förbi staketet, säger Marcus Murray.
Skumma mejl med skadlig kod var länge just skumma – men nu är de ofta väldigt trovärdiga, utan stavfel och med vad som verkar vara fullt rimliga bilagor.
– Både företaget och den anställde har ett ansvar att skydda sig mot IT-brottslighet. Företaget har ansvar för att ta fram en bra policy kring IT-säkerhet och den anställde har ansvar att verkligen följa policyn. Man ska vara lagom paranoid: kritisk mot de mejl man får, kritisk till vad man stoppar in i datorn. Och tänka på vilka sajter man besöker.
Hur bra är våra företag på IT-säkerhet?
– De flesta är bra jämfört med övriga världen, men inte tillräckligt bra. Vi har hittills gjort tusen intrångstester och nästan alltid tagit oss in. Främsta anledningen är att många företag har byggt upp heterogena IT-miljöer under lång tid. Det innebär att de har system uppbyggda utan tanke på säkerheten. Nystartade företag, med homogena system, har lättare att hålla god säkerhet.
Utöver intrångstester, en kompetent IT-avdelning och vaksamma medarbetare finns ytterligare en åtgärd att ta till: bug bounty-program. Det innebär att företag belönar hackare som upptäcker och rapporterar en säkerhetsbrist.
En av Sveriges mest kända buggletare är Linus Särud. Han var 13 år när han upptäckte en säkerhetsbrist hos Google och fick 20 000 kronor för besväret. I dag är han 17 och kombinerar sina gymnasiestudier med IT-säkerhetsarbete för Detectify.
Den som har möjlighet att sälja till företaget får chansen att känna sig moralisk. Det lockar till sig säkerhetsnördar som inte vill ha ett 9–5-jobb
Hittills har bug bounty-program främst använts av internationella teknikföretag som Google, Facebook, Microsoft och Paypal, men Linus Särud är övertygad om att de blir allt vanligare även bland svenska företag:
– Den som hittar en säkerhetslucka står i valet mellan att sälja informationen på den svarta marknaden och att sälja den till företaget. Den som har möjlighet att sälja till företaget får chansen att känna sig moralisk. Det lockar till sig säkerhetsnördar som inte vill ha ett 9–5-jobb.
Redan i dag har Spotify, Mobilt bank-id och Swedbank bug bounty-program. Jan Fecko, IT-ansvarig på Swedbank, vill inte säga hur mycket pengar banken betalar.
– På vår hemsida kan man rapportera avvikelser och få bankens uppskattning för det. Det vore dumt av oss att inte använda oss av den kompetensen. Inga företag är säkra till 100 procent.
Varför ger ni inte rejält betalt?
– För att vi inte vill hamna i ett utpressningsläge.
Pengar behöver heller inte alltid vara drivkraften, enligt Linus Särud.
– En snickare som ser en lös spik på en brygga kan inte låta bli att slå den, trots att han inte får betalt. Om jag ser en olåst dörr är det naturligt att säga till om det.
Flera företag publicerar dessutom namn på dem som hjälpt dem att upptäcka säkerhetsbrister. Det ger bekräftelse, menar Linus Särud. Spotify har en lista med 34 namn på sin hemsida som de offentligt vill tacka.
Hur framtidens hot ser ut vet ingen, skurkarnas metoder blir alltmer avancerade.
– För 20 år sedan hade vi inte särskilt mycket tillgångar i datorn, i dag har vi nästan allt där – pengar och hemligheter. Och den kriminella världen skaffar sig IT-kompetens, säger Marcus Murray.
Om nätskurkarna vinner går företagen i konkurs. Därför, menar han, kommer de att lägga alltmer resurser på IT-säkerheten.
Foto: Fredrik Stehn
VAR MISSTÄNKSAM
➧ Anlita ett säkerhetsföretag. IT-experter kan exempelvis hjälpa till med att rensa datorer på virus, skapa brandväggar, uppdatera virusprogram och göra intrångstester.
➧ Använd olika lösenord. Om hackare kommer över det lösenord du använder i till exempelvis mejlen, kan de försöka använda det på andra ställen som kräver lösenord. Om du då använder samma lösenord till jobbdatorn och när du e-handlar kan du få problem.
➧ Följ IT-policyn. Alla företag bör ha en sådan som bland annat anger regler för säkerhet och lagring. Det kan till exempel handla om var företagets data ska lagras, hur antivirusprogrammet ska användas och hur mobila enheter ska hanteras.
➧ Var misstänksam. Öppna inte bilagor och klicka inte på länkar om du inte är helt säker på varifrån de kommer. Dubbelkolla fakturor.
Bläddra i senaste numret av våra e-tidningar
Det största cyberhotet på jobbet är du själv
Det absolut största cyberhotet mot din arbetsplats är du. För trots att du troligtvis vet hur du ska skydda dig mot angrepp från cyberbrottslingar, låter du bli. Men ansvaret att hålla databuset ute faller inte enbart på dig.
De är listiga, kreativa och ligger hela tiden steget före IT-experterna. Cyberbrottslingarna är dessutom extremt intresserade av just dig, eftersom du som anställd är deras väg in på företaget där de presumtivt kan tjäna storkovan på att stjäla, spionera, blockera och hota med att förstöra.
– Alla stora företag har någon form av grundskydd, som brandväggar och krypteringar. Så brottslingarna letar efter olika sätt att ta sig in och kan hitta dig exempelvis via Linkedin, förklarar Måns Jonasson, internetexpert på Internetstiftelsen.
Så kallad spearphishing, riktade attacker via mejl, handlar om att bedragare vill förmå dig att öppna en länk eller att installera något på datorn. Och en hel del lyckas i sitt uppsåt.
–Många är lata och trötta och gör saker av slentrian, det är då det blir farligt, säger Måns Jonasson.
Snällhet kan straffa sig
Farligt kan det också bli när vi är för snälla. Nätskurkarna tvekar inte att utnyttja vår hjälpsamhet.
– Generellt är vi hjälpsamma och blir man kontaktad av någon som utger sig för att jobba på en annan avdelning och ber om hjälp, brukar vi ställa upp. Det är tråkig att behöva vara skeptisk hela tiden, men fråga gärna en extra gång i stället för att göra ett dyrt misstag, säger Måns Jonasson.
Men vi är inte bara lata, trötta och alltför snälla, vi är också dessvärre högst oemottagliga för information om hur vi ska hålla cyberbuset borta. Informationskampanjer som brottsförebyggande metod är ineffektiv, konstaterar Karin Svanberg, enhetschef på Brottsförebyggande rådet, BRÅ.
– Vi förändrar dessvärre sällan vårt beteende bara för att någon talar om att vi gör fel eller riskerar något. Jämför med hur vi till exempel förhåller oss till rökning, fet mat och droger, säger hon.
Det finns alltså en förklaring till att världens vanligaste lösenord är 123456, trots att alla vid det här laget vet att knepiga, unika lösenord är A och O när det gäller att hålla hackarna på behörigt avstånd.
AI förändrar spelplanen för cyberbrottslingar
Men bedragarna blir alltmer förslagna och tar dessutom hjälp av ny teknik. Tidigare kunde man identifiera bedrägeriförsöken på lockbetenas usla stavning och grammatiska klumpighet, men tack vare AI har lurendrejeriförsöken blivit mer sofistikerade.
Klonade röstsamtal har redan förekommit i cyberbrottsammanhang och säkerhetsexperter förutspår att inom en mycket snar framtid kommer bedragare med hjälp av generativ AI även kunna förfalska videosamtal.
– Det gäller absolut att vara på sin vakt. Teoretiskt finns redan möjligheten att skapa en avatar och den tekniken kommer att bli bättre, även om det i dagsläget är ganska dyrt och komplicerat, säger Måns Jonasson.
Framöver behöver du alltså vara än mer observant och varken tro dina öron eller ögon om chefen eller kollegan ringer upp dig via teams och ber dig utföra någon tjänst som i förlängningen kan leda till att företagets konton töms.
– Det gäller att inta ett skeptiskt förhållningssätt och ha känselspröten ute, säger Måns Jonasson.
– Men det är taskigt att lägga hela ansvaret på de anställda, internetsäkerhet är en utmaning som kräver jobb på flera fronter. IT-systemen måste också bli smartare och enklare att använda så att det blir svårare att göra fel.
Ordlista
Social engineering/social ingenjörskonst: Social manipulation som omfattar flera olika tekniker för att lura åt sig uppgifter.
Spoofing: Bedragaren använder falsk avsändare i mejl, sms eller via telefon.
Phishing - nätfiske: Falska länkar infekterade med virus
Spearphishing: Nätfiske riktade mot specifika personer
Astroturfing/konstgräsrötter :- Fejkade kampanjer eller budskap som ser ut som det kommer från vanligt folk
Ransomewere: utpressningsvirus
DDOS: Hör till de cyberattacker som ökar mest. Attacker mot webbplatser för att överbelasta system med följden att dessa går dåligt eller kraschar helt.
Deepfake/djupfejk: Förfalskade videor, bilder, ljud som genom avancerad AI låter avatarer tala och agera.
Så skyddar du dig – en liten påminnelse
- Öppna ej bifogade dokument/länkar från okända – de kan infektera med skadlig kod i syfte att norpa värdefull information/utpressa. Öppna heller inte bifogade dokument eller länkar från kända avsändare som verkar atypiska eller konstiga. Avsändaradressen kan vara förfalskad eller fått kontot kapat. För att kolla att avsändaren av ett mejl är ok: För musen över adressen utan att klicka och jämför adressen som dyker upp i rutan.
- Ett långt lösenord är bättre än ett kort komplicerat. Använd inte samma lösenord överallt. Det går nämligen att köpa avlagda lösenord på Darknet.
- Logga inte in på olika ställen via Facebook – du lämnar spår som kan användas mot dig.
- Uppdatera mobilen och datorn omgående när det kommer propåer – säkerhetsuppdateringar beror ofta på att man hittat luckor som behöver täppas till.
- Undvik att koppla in dig på gratis nätverk. Genom att använda en vpn-anslutning skyddas din dator.
- Sätt inte in ett upphittat usb-minne eller laddsladd i datorn för att stilla din nyfikenhet. De kan innehålla skadligt virus eller spionsystemvara.
- Lämna aldrig jobbdatorn obevakad och låt ingen annan använda den. Det förekommer att barn duperats att göra förälderns dator mottaglig för hackerattacker.
