Slik får utspekulerte hackere tak i passordet ditt

Du vil miste passordet ditt, du vet bare ikke når og hvordan, advarer eksperter. 
Denne artikkelen er over ett år gammel, og kan inneholde utdatert informasjon.

Eksperter på datasikkerhet advarer norske forbrukere; vi legger ut for mye informasjon om oss selv på nettet. Denne informasjonen har blitt «big business» for utspekulerte kriminelle som samler informasjon om oss og selger det videre eller misbruker det til økonomiske vinning.

– Det har nærmest blitt en sport for kriminelle å samle informasjon om oss og selge dette i pakker på nettet, forteller prosjektleder for ID-tyveriprosjektet ved Norsk senter for informasjonssikkerhet (NorSIS), Christian Meyer.

Bare i fjor utgjorde kortsvindel rundt 72 millioner kroner. Dette er ikke kortsvindel hvor kriminelle har stjålet ditt fysiske kredittkort, men hvor de har klart å skaffe seg tilstrekkelig informasjon om kortet til at de enkelt kan misbruke det.

I Finanstilsynets risiko- og sårbarhetsanalyse (ROS) for 2014 understrekes det at det i stadig økende grad er lønnsomt for kriminelle å drive med tyveri av kortdata.

VÆR SKEPTISK

Kriminelle spiller som oftest på fristelser, frykt og tillit når de prøver å svindle deg.
Fristelser – Dette kan typisk være tilbud om gratis programvare, spill eller vanlig er også e-poster som oppgir at du har vunnet et større pengebeløp.
Frykt – Svindleren forsøker å skremme deg til å gjøre noe, det kan f.eks. være varsler som dukker opp på skjermen når du surfer om at det er oppdaget virus på maskinen din. For å bli kvitt problemer må du installere et «falskt» antivirusprogram.
Tillit – Er det vanskeligste å beskytte seg mot, da for eksempel avsender ser ut til å være noen du kjenner eller noen du stoler på. Da er gjerne skepsisen borte.
Hvis du opplever at noen spiller på en eller en kombinasjon av disse tre faktorene, samtidig som at de forsøker å få deg til å gjøre noe, trykke på en lenke, installere noe, eller gi ifra deg informasjon, så bør man være skeptisk.

Selges på skjulte markeder

«TV 2 hjelper deg» møter ekspert på datasikkerhet, Erlend Oftedal (35) på en kafé i Oslo. Han viser oss den delen av nettet hvor man kan være helt anonym – det dype nettet.

Sidene her dukker ikke opp i et Google-søk og vi kobler oss på via anonymitetsnettverket Tor. Tor lar brukerne surfe på nettet uten at den informasjonen kan spores tilbake til deg. Dette har store fordeler, for eksempel ved informasjonsutveksling i undertrykkende regimer, hvor personer allikevel kan kommunisere med omverdenen uten at de risikerer å bli avslørt. Men det åpner også for enorme markeder hvor det kjøpes og selges ulovlige produkter.

– Det er mer og mer organisert kriminalitet, det vil si store organisasjoner som står bak og som tjener betydelig med penger på dette. Og de selger informasjon videre til vanlige folk som har funnet ut at de kan få seg litt ekstra penger på dette, sier Oftedal.

Det tar bare noen sekunder å finne frem til markeder man knapt trodde fantes. Helt åpenlyst foregår det salg av kredittkort med komplett informasjon om både kortet og kortets eier. Også kontoer med betydelige summer på fra kjente selskaper som PayPal og eBay er til salgs. TV 2 hjelper deg er i tillegg bare noen få klikk unna å kjøpe norske pass og førerkort.

Erlend Oftedal forteller at systemet er bygget på tillit og selgerne på sidene er helt avhengig av gode tilbakemeldinger fra kundene.

– De som driver med denne typen svindel er jo veldig avhengig av tilbakemeldingene de får fra andre i disse foraene. Så med en gang noen driver med svindel (inne på de ulovlige markedene, journ.anm.) så vil de få en dårlig rating og alle vil slutte å bruke de. De er veldig avhengig av å levere på det de skriver og sier, utdyper Oftedal.

«Passordet ditt vil komme på avveie, du vet bare ikke når og hvordan»
Vidar Sandland, NorSIS

Derfor har de fleste markedene også fora med kundevurderinger.

TIPS OM NETTSIKKERHET

  • Benytt ulike passord for ulike tjenester, samt skru på 2-trinns bekreftelse der dette er mulig. De fleste store tjenester som Facebook, Hotmail, eBay, Google, PayPal osv. tilbyr dette.
  • Vær bevisst på hva du takker ja til når du får tilbud om ulike skytjenester. Bilder og annen informasjon kan lett komme på avveie hvis du ikke forstår innstillingene for deling eller benytter samme passordet på flere tjenester. Dette gjelder spesielt når du tar i bruk ny mobiltelefon eller PC
  • Aldri oppgi sensitiv informasjon over e-post. E-post er som å sende et postkort (alternativt krypter e-post/vedlegget)
  • Før du klikker på en lenke, sjekk hvor den fører hen (hold musepekeren over lenken). Hvis nettadressen ikke stemmer med avsender er det stor sannsynlighet for at noen prøver å lure deg.
  • Ikke gi fra deg sensitive opplysninger (personnummer, kredittkort opplysninger, passord osv.) på nettsider som ikke tilbyr sikker forbindelse (Dette kan du sjekke ved at det står https:// og ikke http:// foran nettstedsadressen. Du kan også klikke på «hengelåsen» og sjekke om sertifikatet stemmer med nettstedet du besøker.
  • Prøv å begrens antall nettsteder hvor du lagrer din kredittkortinformasjon.
  • Anmeld svindelforsøk til politiet.

– Det er skremmende å lese på disse foraene der den type salg foregår. Man får inntrykk av at folk ikke ser på det som kriminelt i det hele tatt. Altså, det kunne like gjerne vært salg av bøker eller filmer. De skriver for eksempel «denne selgeren er bra, jeg fikk tatt ut så og så mye penger på kortene jeg fikk». Det virker ikke som de tenker på at de stjeler faktisk noen andre sine penger, sier Oftedal.

– Og dette kan være dine og mine kort som er til salgs?

– Absolutt. De aller fleste tilfellene er nok kort fra USA, men man ser også kort som er markert som «EU», og der vil det kunne være norske kort.

Slik stjeles ditt brukernavn og passord

Seniorrådgiver ved NorSIS, Vidar Sandland, har jobbet med datasikkerhet i en årrekke og ser tydelig at stadig mer informasjon om oss legges ut for salg på skjulte nettsider

Han ber folk være mer oppmerksomme når de for eksempel logger seg inn på tjenester eller klikker på lenker de får tilsendt.

– Jeg vil gå så langt som å si at den informasjon du gir fra deg på nettet, den må du nesten forutsette at kommer på avveie. Passordet ditt vil komme på avveie, du vet bare ikke når og hvordan.

Sandland forklarer hvordan et enkelt hacker-angrep kan se ut for å få tak i ditt brukernavn og passord til for eksempel Facebook:

  • Du får en epost fra en «trygg og kjent» avsender med en link til en Facebook-påloggingsside.
  • Siden som ser ut som Facebook er egentlig en falsk side.
  • Det øyeblikket du skriver inn ditt brukernavn og passord på den falske Facebook-siden, har hackeren fått tak i informasjonen.
  • Når du trykker «logg inn» sendes du imidlertid til den ekte Facebook-siden, og dersom du har glemt å logge ut i nettleseren, så vil du komme rett inn på siden. Hvis du husket å logge ut forrige gang så vil det stå at du har oppgitt feil brukernavn/passord på den ekte Facebook-siden. Sannsynligheten for at du ikke stusser nevneverdig over dette, og bare logger inn igjen, er stor, ifølge NorSIS.

Dette er en enkel metode som benyttes i stor skala for å lure ut sensitiv informasjon som ender opp som salgsvare på nettet.

– Dette kunne like gjerne vært en falsk side hvor du måtte oppgi personopplysninger, kredittkortopplysninger og så videre, sier Sandland.