Trenden over årene er at mennesket målrettes mer. Det har blitt vanskeligere å sette fingeren på det som er svindel. Å være kritisk til innholdet i meldinger vil være en dyd av nødvendighet.
Sårbarheter i system blir utnyttet i målrettede forsøk. Leverandørene og vi blir stadig bedre til å konfigurere og vedlikeholde systemene. Mens vi styrker vår «digitale borg», er det en faktor som tar noe lenger å justere; den menneskelige faktoren. Brukere er ingen homogen gruppe. Noen har IT- og informasjonssikkerhet i ryggmargen, andre har et mer ambivalent forhold til det.
Ved å utnytte mennesket trenger trusselaktøren i mindre grad å snoke rundt, teste løsninger og løse ut alarmer. Virksomheten kan være i det blinde til man står overfor noe som utnytter en ukjent sårbarhet for å etablere fotfeste. I verste fall er man fremdeles i blinde til man mer eller mindre tilfeldig oppdager unormal aktivitet etter at trusselaktøren har vært inne i lang tid. På den andre side kan svindel også medføre at ansatte blir satt under press og blir en intern trussel ved at de f.eks. henter ut konfidensiell informasjon som har verdi for trusselaktøren.
European Union Agency for Cybersecurity (ENISA) holder et øye med det digitale trussellandskapet. I løpet av årene har det endret seg. Siste rapport for perioden 2019 til og med april 2020, publisert oktober 2020, har følgende som topp 5 digitale trusler:
-
Skadevare (Malware)
-
Nettbaserte angrep (Web-based attacks)
-
Fisking (Phishing)
-
Angrep på nett-tjenester (Web application attacks)
-
Søppelpost (Spam)
Fra å ha vært nede på niende plass i 2013 har fisking klatret til tredjeplass og trenden er økende. Søppelpost har klatret fra en tiendeplass til en femteplass. Begge deler kan brukes som en del av et nettbasert angrep der man lurer brukeren til å besøke et nettsted eller lenke med skadevare. Det samme gjenspeiles også i NSM sin rapport Risiko 2020 og Helhetlig risikobilde 2020.
Primær kanal for angrepene har hittil vært e-post. Trenden er at trusselaktørene utvider bruken av meldingskanaler til SMS, meldingstjenester, sosiale medier osv. Samtidig er det en rivende utvikling i utforming og innhold på meldingene. Der man før kunne raskt luke det ut på grammatikk og språkføring, er noen av meldingene nå så gode at man må ta flere runder med seg selv for å sortere dem bort. Når trusselaktørene investerer så mye ressurser i å perfeksjonere angrepsmåten, for en forholdsvis liten del av verdensbefolkningen – om enn rike – som nordmenn, er det et klart signal at menneske oppfattes som et mål der suksessraten for å kassere inn er stor.
Det er i dag og fremover enda viktigere at man alltid har en solid skepsis til alt som kommer inn i ulike kanaler. Uventede forespørsler fra kollegaer, venner og ukjente bør vurderes nøye. Meldinger som impliserer fellestjenester vil forekomme, senest Digitalpostkasse for innbygger og for ikke å glemme ID-porten. Perioder for skattemelding og -oppgjør er tider hjemsøkt av svindel. Her er noen råd som kan være til hjelp:
-
Still deg spørsmålene:
-
Hvorfor får jeg denne meldingen?
-
Er dette vanlig måte for avsender å ta kontakt?
-
Vurder avsender nøye – feilstavelser, nummer, adresser, kallenavn, bilde osv.
-
Dersom du kjenner avsender, ta kontakt på annen kanal for å avklare henvendelse.
-
Vurder innholdet nøye – vær skeptisk dersom det spiller på fristelser, frykt eller tillit.
-
Er noe for godt til å være sant, så er det det.
-
Sjekk om lenker inneholder feilstavelser – f.eks. dlgdlr.no istedenfor digdir.no.
-
Sjekk om lenker faktisk leder dit det ser ut til – f.eks. hold musepeker over lenken.
-
Dersom i tvil eller det ikke er mulig å sjekke lenkene, skriv heller den synlige adressa i nettleser.
-
Vær tilbakeholden med personlig og finansiell informasjon.
nettvett.no sine sider om svindel blir ikke mindre aktuelle fremover: