Hafðu samband: 520 4000 snerpa@snerpa.is

Netsvik

Internetið er þverskurður af þjóðfélaginu. Því miður leiðir þessi sannleikur til þess að hér og hvar leynast bragðarefir og svikarar sem reyna að hafa fé af fólki. Svikabrögð þessi geta verið í ýmsum myndum og hér verður greint frá dæmi um slík svik og hvað þarf að varast.

From: SunTrust [mailto:support@suntrust.com]
Sent: 27. nóvember 2004 00:21
To: notandi@lén.is
Subject: Security Alert on Microsoft Internet Explorer

Dear SunTrust Bank Customer,

To provide our customers the most effective and secure
online access to their accounts, we are continually upgrading our online services. As we add new features and enhancements to our service, there are certain browser versions, which will not support these system upgrades. As many customers already know, Microsoft Internet Explorer has significant 'holes' or vulnerabilities that virus creators can easily take advantage of.

In order to further protect your account, we have introduced some new important security standards and browser requirements. SunTrust security systems require that you test your browser now to see if it meets the requirements for SunTrust Internet Banking.

Please sign on to Internet Banking in order to
verify security update installation. This security update will be effective immediately. In the meantime, some of the Internet Banking services may not be available.

SunTrust Internet Banking

Bréfið hér að ofan sýnir dæmigerð netsvik. Þetta er tölvupóstur sem er sendur af handahófi á milljónir móttakenda í von um að einhver þeirra láti glepjast af efni bréfsins. Í hópnum eru að líkindum einhverjir viðskiptavinir þess banka sem viðkomandi þykist vera eða þá að fólk telur sig vera að uppfæra vefskoðara sinn fyrir öryggisgöllum með því að fara á síðuna sem bent er á og hlaða niður „öryggisplástri“ fyrir Internet Explorer vafrann.

Þetta dæmi er tvenns konar svik. Annars vegar er verið að reyna að hafa af notandanum notandanafn og lykilorð sem hann notar í netbankanum sínum og hinsvegar að fá hann til að sækja „öryggisplástur“ fyrir netvafrann sinn en þegar plásturinn er settur upp er alveg eins líklegt að hann sé forrit sem heldur utan um orð sem skráð eru inn í form, t.d. lykilorð. Þannig forrit eru kölluð „Spyware“ og/eða „keylogger“ og eru jafnvel enn hættulegri en tölvuormar og vírusar. Veiruvarnaforrit vara fyrirleitt ekki við svona forritum, í fyrsta lagi vegna þess að notandinn setur þau upp en þau gera það ekki sjálf og einnig vegna þess að útbreiðsla þeirra er mikið minni en t.d. tölvuorma.

Með almennri varkárni er lítill vandi að varast svona svindl. Við bendum notendum á að hafa eftirfarandi atriði í huga við meðferð lykilorða og lagfæringar (öryggisplástra) á forrit.

 

  • Gætið þess að vefskoðarinn geymi ekki vefsíður sem hafa verið dulkóðaðar með SSL-samskiptum. Í Internet Explorer er þetta gert þannig: Farið í „Tools“ -> „Internet Options“, smellið á „Advanced“ flipann, finnið kaflann „Security“ og setjið hak í reitinn við línuna „Do not save encrypted pages to disk“. Með þessu er engin leið fyrir aðra að skoða síður sem þú hefur verið á ef þær eru dulkóðaðar eins og t.d.í netbönkunum.
  • Skráðu aldrei inn mikilvægt lykilorð á vefsíðu nema hún sé með SSL-dulkóðun og þú sért viss um að þú sért á réttu vefsvæði. Vefskoðarar sýna https: fremst í vefslóðinni og lás í stöðulínuni neðst ef þú ert á vefsíðu með SSL-dulkóðun. Margar síður sem nota lykilorð til að auðkenna notendur, t.d. spjallvefir nota ekki SSL-dulkóðun hvorki við innskráningu, eða þegar lykilorð eru send í pósti (t.d. ef þú hefur gleymt lykilorðinu) og er ekkert við því að segja annað en að þú skalt aldrei nota sama lykilorðið á mismunandi aðganga sem þú hefur.
  • Ef þú ert tengd(ur) netþjónustunni þinni og vilt skoða vefpóstinn getur verið í lagi að nota ekki SSL-dulkóðaða síðu fyrir póstlykilorðið þitt, en ef þú ert t.d. á ferðalagi og skráir þig inn á almenningstölvu, skaltu ekki slá inn nein lykilorð nema viðkomandi síða sé SSL-dulkóðuð.
  • Öryggisplástra skal einungis sækja frá vefsetrum sem þú veist að eru á vegum framleiðanda hugbúnaðarins. Þannig skal einungis sækja öryggisplástra fyrir Microsoft hugbúnað á vefsetur Microsoft.
  • Ef þú færð tölvupóst um að þú þurfir að endurnýja lykilorð þitt einhvers staðar skaltu hafa að reglu að vera tortryggin(n). Það er afar ólíklegt að þessi staða komi upp og ef svo er, þá ættirðu ekki að þurfa að láta gamla lykilorðið af hendi, heldur að gefa t.d. upp netfang eða aðgangsnafn en aldrei lykilorðið sjálft. Vertu líka viss um að þú sért á réttri netsíðu. Ef vefslóðin er eingöngu IP-tölur eins og í dæminu hérna er þess meiri ástæða til að vera tortrygginn.