,,Hvalveiði" í staðinn fyrir að fara til ,,fiskjar"

Birt á Moggablogginu 12.10.2007 - Efnisflokkur: Upplýsingaöryggi, netöryggi og persónuvernd

Nýjasta nýtt í heimi auðkennisþjófnaðar (e. Identity theft) er að einblína á stóru fiskana.  Þeir sem eru að fiska (e. phishers) eru farnir að egna fyrir fólki í hærri þrepum tekjuskalans og því hafa sérfræðingar í upplýsingaöryggismálum talað um að verið sé að skutla hval (eða stunda hvalveiði).

Hve stór þarf fiskurinn að vera til að komast í þennan flokk?  Samkvæmt rannsóknum í Bandaríkjunum, þá virðast mörkin liggja við $130.000 í árslaun, þ.e. þeir sem eru með tekjur yfir þeirri tölu fá víst 50% meira af ruslpósti en þeir sem ekki haf svo háar tekjur.  Það sem meira er, að fjárhagslegt tap vegna svika virðast vera $1.200 til $1.500 að jafnaði hjá þeim sem eru í lægri tekjuhópnum, en um $5.700 hjá hinum.  Það er því rík ástæða fyrir fjármálastofnanir að veita hinum efnameiri meiri fræðslu um fjársvik og ekki síður að vernda hærra setta starfsmenn sína. 

Phishing í gegnum tölvupóst er mjög víðfeðmt vandamál.  Sjálfur fæ ég fjölmarga pósta með gylliboðum í hverjum mánuði. Ég tel mig nú vita hvað er raunverulegt boð og hvað er tilraun til svika.  Oft er samt erfitt að átta sig á svikurunum, þar sem tækni þeirra er sífellt að batna.  Ráðlegg því fólki að googla viðkomandi sendanda áður en kortanúmer er gefið upp, því oft hafa aðrir brennt sig og sett aðvaranir á vefinn.  Og annað, aldrei senda pening með rafrænni millifærslu sem ekki er hægt að rekja og endurheimta.  Og eitt í viðbót, aldrei treysta RBN (Russian Business Network).  Þeir eru þeir verstu. Auðvitað er nauðsynlegt að hafa síu á póstinum, en jafnvel það dugar ekki.

En aftur að hvalaföngurunum.  Oftast tilheyra þeir skipulögðum glæpasamtökum.  Þeir undirbúa sig vel og beita lymskulegum aðferðum.  Þess vegna er best að opna ekki tölvupóst sem nema maður treysti sendanda.  Ekki nota ,,opt-out" möguleika, því það segir sendanda að netfangið er virkt.  Í staðinn er best að blokka póst frá viðkomandi sendanda, sem gerir það að verkum að hann fer beint í ruslið.  Ekki hafa stillt á lesglugga (reading panel) í ruslpóstsmöppunni og aldrei opna viðhengi sem kemur með ótraustum pósti.

Það eru tvær ástæður fyrir því að þrjótar eru farnir að snúa sér að ,,hvölunum".  Sú fyrri er að eftir meiru er að slægjast og hin síðari er að ,,hvalirnir" eru svo uppteknir að þeir mega oft ekki vera að því að vera varkárir.  Nú svo er náttúrulega sú fáránlega staðreynd, að ,,hvalirnir" eru oft minna meðvitaðir um allar færslur á reikningunum sínum.

Bara til að sýna að allir geta lent í þessu, þá voru tveir menn gripnir um daginn, sem reyndu að hafa ríflega $400.000 út úr Micheal Bloomberg borgarstjóra New York borgar.  Ég býst við að hann hafi verið steypireiður. 

Annað þessu tengt.  Þar sem ég gef mig nú út fyrir að vera sérfræðingur í upplýsingaöryggismálum þá vafra ég mikið á netinu til að lesa mér til og afla upplýsinga um búnað og lausnir.  Um daginn fann ég áhugaverða skýrslu um öryggismál og ætlaði að skoða hana.  Fyrirtækið sem átti í hlut býður upp á eitthvert það besta úrval öryggisbúnaðar fyrir upplýsingatækni sem ég hef bara séð.  Af þeim sökum þótti mér nú í lagi að gefa þeim upp netfangið mitt til að fá skýrsluna.  Í svona tilfellum nota ég alltaf netfang, sem er eingöngu notað í þessum tilgangi.  Þ.e. ég nota það helst ekki til að senda póst, bara til að móttaka.  Ég þurfti jafnframt að svara nokkrum spurningum um hverju ég hefði áhuga á og hvenær ég vildi kaupa o.s.frv.  Jæja, loksins fékk ég skýrsluna og var hún áhugaverð.  En þá var ekki sagan búin.  Strax næsta morgun fékk ég meldingar um að póstþjónar og spamvarnarforrit hefðu stoppað sendingar frá þessu netfangi.  Ég var náttúrulega ekki sáttur við það og sendi öryggisfyrirtækinu póst, þar sem ég benti þeim á að líklegast væru einhverjar öryggisveilur í tölvukerfi þeirra og lýsti málinu fyrir þeim.  Mér bárust nokkrar meldingar í viðbót næstu 24 tíma og ekkert eftir það.  Mig grunar að þetta hafi verið aðferð fyrirtækisins til að hvetja menn til að versla öryggisbúnað hjá sér.  Ég hafði skráð mig sem eiganda og þeir því líklegast haldið að ég myndi biðja öryggissérfræðinginn minn til að athuga málið og að sjálfsögðu benda honum á að skoða búnaðinn sem öryggisfyrirtækið var að bjóða.  Ekki að það muni skaða þetta fyrirtæki neitt sérstaklega, en ég mun aldrei vísa nokkrum manni á það (og þess vegna er það ekki nefnt á nafn) þrátt fyrir að það hafi upp á að bjóða einhverja þá flottustu og heilstæðustu línu öryggisbúnaðar sem ég hef séð.  Traust er nefnilega það mikilvægasta sem til er í viðskiptum með öryggisbúnað.