I fjor var den årlige omsetningen innenfor IT-kriminalitet større enn for narkohandel – og er du ikke forsiktig kan fort dine penger være med i beregningen…
De siste årene har antallet kriminelle lovbrudd på internett eksplodert, og i 2005 skal omsetningen innen IT-kriminalitet være beregnet til omtrent 660 milliarder kroner. Omsetningen kommer i større og større grad fra identitetstyveri, eller såkalt «phishing». Begrepet refererer til handlingen hvor angriperen lurer til seg opplysninger som kan brukes i vinnings øyemed. Som oftest er det snakk om å stjele konfidensielle opplysninger, ved hjelp av falske e-poster.
E-post fra banken din
«Phishing» blir ofte rettet mot kunder av banker og finansinstitusjoner. I Norge er de mest kjente «phishing» tilfellene fjorårets angrep mot Dnb Nor og Nordea sine kunder. Kundene blir lurt til å oppgi passord til nettbank, kortnummer og PIN-kode, og gir dermed hackerne tilgang til sine midler. Hvordan klarer de til å få lurt godtroende mennesker til dette? Det blir opprettet en webside som er nesten identisk med bankens, slik at det skal et trent øye til for å se forskjeller. Man sender så ut flere tusen e-poster - i følge analyseselskapet Gartner skal hele 73 millioner personer ha mottatt phishing e-poster mellom mai 2004 og mai 2005. I e-postene hevder man for eksempel at bedriften pga angrep av hackere må gjenoppbygge kundedatabaser, eller man har hatt et problem med sikkerheten og vil at kundene skal bekrefte sin kontoinformasjon. Så linker man til en internett adresse som er svært lik den originale - kanskje er det en bokstav for mye, eller stavemåten byttet om på. Noen velger å bruke IP-adresse som url, da den gjennomsnittlige internettbruker ikke har kunnskap nok til å sjekke om IP-adressen tilhører det aktuelle firmaet. Mindre profesjonelle velger å bare gjøre url’en skjult, da mange uerfarne internettbrukere aldri leser hvor linken peker. Når man kommer til websiden skriver brukeren inn den informasjonen man blir bedt om, i den tro at informasjonen vil gå til den offisielle kilden.
Aldri oppgi passord
Det er viktig å forstå at norske banker har en polise om å aldri be om sensitive opplysninger via e-post. Uansett hvor troverdig e-posten virker, er det lite sannsynlig at det faktisk er banken din som kontakter deg. Hvis du skulle være i tvil, anbefaler vi deg å kontakte banken din via telefon, og forhøre deg om de har sendt deg e-post.
Angriper kjente merkevarer
Kjente merkenavn slik som; eBay, PayPal, AOL, MSN, Yahoo og EarthLink har alle blitt utsatt for «phishing». Formålet er å stjele informasjon om brukere, og senere bruke dette til egen vinning – som regel av økonomisk art. Med tilstrekkelig informasjon om et individ, kan man ved hjelp av falsk id opprette falske kontoer, tømme kontoen din via nettbanken, stjele identiteten din og utføre kriminelle handlinger online som vil bli sporet tilbake til deg.
Hackerne kan ikke norsk?
«Phishing» har i stor grad vært rettet mot institusjoner i engelsktalende land, og man kjenner til få tilfeller hvor svindelforsøkene har benyttet seg av det norske språket. Dette da norsk er et litt spesielt og lite kjent språk i verdenssammenheng. Under angrepet på Nordea var e-postene forfattet på svensk, og burde vært en varsellampe. Selv om det til dags dato ikke har vært utbredt med «phishing» med norsk tekst, bør man være oppmerksom på at det vil komme. Denne typen datakriminalitet er nemlig spådd en ekstrem veks i de kommende årene. I 2005 har man oppdaget 6 tilfeller av «phishing», som er spesielt rettet mot norske forbrukere, noe som bare er en sped start.
Det er også nærliggende å tro at også norske hackere og organiserte kriminelle vil gå sammen om å lure godtroende nordmenn. Det er derfor farlig å leve i den tro at dette ikke er noe du vil bli utsatt for. Pass på slik at du ikke blir deres neste offer.
Hvordan unngå å bli lurt
Det viktigste poenget her er å aldri, uansett hvilken anledning det er, oppgi passord, PIN-koder eller annen fortrolig informasjon til andre over nettet -med mindre du er på bankens krypterte område. Din banks nettsider har gjerne en side med informasjon om hvordan du kan være sikker på at det er dem som mottar den informasjonen du sender – bare sjekk websiden deres. Vær kritisk til e-postene du får, spesielt de som ber deg om sensitiv informasjon. Unngå å trykke på linker i e-poster hvis du ikke er helt sikker på at e-postene er genuine. Hvis du i en e-post blir bedt om å fylle ut fortrolig informasjon, IKKE gjør det. Informasjon på e-post blir ikke kryptert og er i teorien åpen for alle. Ting du også bør være oppmerksom på er hvis de unnlater å adressere deg med navn, inneholder skrivefeil eller truer med aksjoner hvis du ikke følger instruksjonene så er det noe mistenkelig på ferde. Unngå å installere programmer du får tilsendt via e-post, med mindre du er 100% sikker på hva det er. Og igjen, aldri oppgi pin-koden til kredittkortet ditt på internett!
E-post fra banken din
«Phishing» blir ofte rettet mot kunder av banker og finansinstitusjoner. I Norge er de mest kjente «phishing» tilfellene fjorårets angrep mot Dnb Nor og Nordea sine kunder. Kundene blir lurt til å oppgi passord til nettbank, kortnummer og PIN-kode, og gir dermed hackerne tilgang til sine midler. Hvordan klarer de til å få lurt godtroende mennesker til dette? Det blir opprettet en webside som er nesten identisk med bankens, slik at det skal et trent øye til for å se forskjeller. Man sender så ut flere tusen e-poster - i følge analyseselskapet Gartner skal hele 73 millioner personer ha mottatt phishing e-poster mellom mai 2004 og mai 2005. I e-postene hevder man for eksempel at bedriften pga angrep av hackere må gjenoppbygge kundedatabaser, eller man har hatt et problem med sikkerheten og vil at kundene skal bekrefte sin kontoinformasjon. Så linker man til en internett adresse som er svært lik den originale - kanskje er det en bokstav for mye, eller stavemåten byttet om på. Noen velger å bruke IP-adresse som url, da den gjennomsnittlige internettbruker ikke har kunnskap nok til å sjekke om IP-adressen tilhører det aktuelle firmaet. Mindre profesjonelle velger å bare gjøre url’en skjult, da mange uerfarne internettbrukere aldri leser hvor linken peker. Når man kommer til websiden skriver brukeren inn den informasjonen man blir bedt om, i den tro at informasjonen vil gå til den offisielle kilden.
Aldri oppgi passord
Det er viktig å forstå at norske banker har en polise om å aldri be om sensitive opplysninger via e-post. Uansett hvor troverdig e-posten virker, er det lite sannsynlig at det faktisk er banken din som kontakter deg. Hvis du skulle være i tvil, anbefaler vi deg å kontakte banken din via telefon, og forhøre deg om de har sendt deg e-post.
Angriper kjente merkevarer
Kjente merkenavn slik som; eBay, PayPal, AOL, MSN, Yahoo og EarthLink har alle blitt utsatt for «phishing». Formålet er å stjele informasjon om brukere, og senere bruke dette til egen vinning – som regel av økonomisk art. Med tilstrekkelig informasjon om et individ, kan man ved hjelp av falsk id opprette falske kontoer, tømme kontoen din via nettbanken, stjele identiteten din og utføre kriminelle handlinger online som vil bli sporet tilbake til deg.
Hackerne kan ikke norsk?
«Phishing» har i stor grad vært rettet mot institusjoner i engelsktalende land, og man kjenner til få tilfeller hvor svindelforsøkene har benyttet seg av det norske språket. Dette da norsk er et litt spesielt og lite kjent språk i verdenssammenheng. Under angrepet på Nordea var e-postene forfattet på svensk, og burde vært en varsellampe. Selv om det til dags dato ikke har vært utbredt med «phishing» med norsk tekst, bør man være oppmerksom på at det vil komme. Denne typen datakriminalitet er nemlig spådd en ekstrem veks i de kommende årene. I 2005 har man oppdaget 6 tilfeller av «phishing», som er spesielt rettet mot norske forbrukere, noe som bare er en sped start.
Det er også nærliggende å tro at også norske hackere og organiserte kriminelle vil gå sammen om å lure godtroende nordmenn. Det er derfor farlig å leve i den tro at dette ikke er noe du vil bli utsatt for. Pass på slik at du ikke blir deres neste offer.
Hvordan unngå å bli lurt
Det viktigste poenget her er å aldri, uansett hvilken anledning det er, oppgi passord, PIN-koder eller annen fortrolig informasjon til andre over nettet -med mindre du er på bankens krypterte område. Din banks nettsider har gjerne en side med informasjon om hvordan du kan være sikker på at det er dem som mottar den informasjonen du sender – bare sjekk websiden deres. Vær kritisk til e-postene du får, spesielt de som ber deg om sensitiv informasjon. Unngå å trykke på linker i e-poster hvis du ikke er helt sikker på at e-postene er genuine. Hvis du i en e-post blir bedt om å fylle ut fortrolig informasjon, IKKE gjør det. Informasjon på e-post blir ikke kryptert og er i teorien åpen for alle. Ting du også bør være oppmerksom på er hvis de unnlater å adressere deg med navn, inneholder skrivefeil eller truer med aksjoner hvis du ikke følger instruksjonene så er det noe mistenkelig på ferde. Unngå å installere programmer du får tilsendt via e-post, med mindre du er 100% sikker på hva det er. Og igjen, aldri oppgi pin-koden til kredittkortet ditt på internett!
