Uppgiftsincidenter och hackning: vad du kan göra

Läsningstid: 9 minuter

nyheter och blogg Blogg Uppgiftsincidenter och hackning: vad du kan göra

Uppgiftsincidenter och hackning: vad du kan göra

Gwenny Nales

Corporate Communications Manager at Van Ameyde

Läsningstid:9 minuter
Den 1 januari 2016 blev det en lagstadgad skyldighet att anmäla dataläckor i Nederländerna, efter att liknande lagstiftning införts i andra länder, såsom Tyskland, Storbritannien och i de flesta delstater i USA. Om incidenter inte anmäls i tid, eller om en incident är följden av otillräcklig säkerhet, kan dataläckor leda till höga böter.

Förutom böter och ekonomisk skada står försäkringssektorn och deras skadereglerare inför en ännu allvarligare aspekt: den risk för försäkringstagarnas personliga integritet och för försäkringsgivares och tjänsteleverantörers anseende som läckage av känslig information om försäkringstagarna skulle medföra.

Kort sagt måste dataläckor förhindras. Enbart IT-säkerhetsåtgärder räcker inte. Hur många säkerhetsåtgärder som än har införts kan en okunnig åtgärd av en anställd ändå orsaka mycket stor skada.

I en fängslande presentation av en ”etisk hackare” – vi kallar honom EHJ – visade en av Van Ameydes anställda hur enkelt det är att hacka en organisation. Han inledde med en tankeställare genom att visa NORSE:s sändning på (http://map.norsecorp.com): hackare från hela världen attackerar dygnet runt.

I sin presentation tog EHJ upp en mängd olika attackmetoder. I den här bloggen diskuterar vi några av de mest kraftfulla metoderna och lämnar praktiska tips om hur man kan skydda sig, det vill säga inte göra hackarnas liv alltför enkelt!

DDoS

Det finns olika typer av hackare: hacktivister, vars åsikter eller religiösa övertygelse motiverar dem att attackera, samt regeringar och kriminella. Och naturligtvis de snälla killarna och tjejerna (de etiska hackarna) som hjälper oss att försvara oss mot illasinnade attacker. Anonymous är en rörelse bland aktivister och hacktivister som bland annat är känd för sina DDoS-attacker (samordnade överbelastningsattacker) mot PayPal, MasterCard, VISA och Sonys Playstation-nätverk. DDoS-attacker lamslår organisationers webbplatser. Principen är enkel: genom att skicka kolossala mängder externa kommunikationsförfrågningar till en webbplats överbelastar hackarna webbplatsen, vilket gör att vanliga användare inte längre kommer åt webbplatsen. Dessa externa kommunikationsförfrågningar skickas antingen samtidigt från ett stort antal datorer. Det är dock vanligare att man använder ett botnät: en samling infekterade datorer som kan drivas av en illasinnad part, t.ex. genom att skicka skräppost.

Kriminella använder också DDoS: de utövar utpressning mot organisationer genom att hota att lamslå deras webbplatser.

Nätfiske

Även om det är väldigt lite som en organisation kan göra mot DDoS, finns det vanligare typer av attacker som kan förhindras genom att öka personalens medvetenhet, till exempel nätfiske.
En mycket använd metod är mejl som förmodas komma från företagets vd och som skickas till ekonomiavdelningen för att få belopp överförda. Lämpliga rutiner förhindrar att mindre erfarna kolleger efterkommer en sådan begäran. Dessutom är det viktigt att ständigt öka medvetenheten om risken för mejl som syftar till nätfiske och skräppost.

En organisation kan försvara sig mot den här typen av attacker, dels genom att säkerställa att bra rutiner och kontroller verkligen tillämpas, dels genom att ständigt uppmärksamma personalen om riskerna med mejl.

Annonser med skadligt innehåll: ladda ned annonsblockerare!

Annonser på kända och i sig själva tillförlitliga webbplatser kan innehålla virus som aktiveras automatiskt. Attacken startar så snart som användaren besöker sidan, till och med utan att klicka på annonsen. Användningen av annonser med skadligt innehåll kan pågå utan att webbplatsernas ägare och administratörer har någon aning om det! Webbplatser som tillhör New York Times, Londonbörsen och Spotify har alla varit källor till annonser med skadligt innehåll.

En lösning: installera annonsblockerare, t.ex. AdBlockPlus (ABP), som är tillgänglig för flera webbläsare, bland annat Explorer och Chrome. https://adblockplus.org/ väljer automatiskt den webbläsare du använder. AdblockPlus är öppen källkod och gratis.

Anmärkning: även om annonsblockerare blockerar mycket blockerar de inte allt och hackare kommer att hitta nya vägar. Adblock är bara en av de säkerhetsåtgärder du kan vidta (inte bara på kontoret utan även hemma), men andra former av säkerhetsprogramvara, inklusive antivirusprogram, är fortfarande nödvändiga!

Offentliga Wi-Fi-nätverk: riskabla företag

Mobila enheter som smartphones försöker automatiskt ansluta med tidigare använda och lagrade Wi-Fi-nätverk. Hackare utnyttjar gärna det här beteendet. Genom att använda en enkel enhet som kan simulera dessa tidigare använda nätverk ansluter din smartphone oavsiktligt till den enheten, i stället för till ett verkligt Wi-Fi-nätverk. Du märker ingenting, eftersom hackaren ger sitt nätverk ett trovärdigt namn, t.ex. namnet på det café där du dricker kaffe.

På så sätt får hackaren tillgång till all inkommande och utgående trafik från din mobila enhet. All internettrafik passerar igenom hackarens enhet. Hackaren kan stjäla din identitet, snappa upp dina inloggningsuppgifter och potentiellt tömma ditt bankkonto. Hackaren kan till och med hitta uppslag för utpressning, t.ex. genom att följa dina surfningsvanor.

När det gäller att använda internet utanför hemmet ger EHJ följande tips:

  • Den enklaste lösningen är att inte använda offentliga Wi-Fi-nät, utan att använda mobildatatjänster när du är på väg någonstans. Det räcker att konstatera att du får betala för dina använda MB.
  • Stäng av Wi-Fi när du inte är hemma så att enheten inte försöker ansluta automatiskt med kända nätverk.
  • Om du vill logga in till ett offentligt nätverk: installera först en VPN-app (för virtuellt privat nät) på din mobila enhet. VPN krypterar all trafik och skickar den till en säker server.
  • Om du är inloggad på ett offentligt Wi-Fi-nät utan att ha VPN installerat bör du undvika arbetsrelaterade och ekonomiska transaktioner.
  • Rensa regelbundet listan med offentliga nätverk på din enhet: ta bort nätverket om du inte planerar att återvända till den platsen.
  • Installera alltid omedelbart tillgängliga uppdateringar av dina program.
  • Installera virusskydd.
  • Lämna inte ut dina verkliga uppgifter på vilka webbplatser som helst.

Förbjud USB-fickminnen

Otroligt lätta att köpa på nätet: Rubber Ducky-minnen. Du känner inte igen en Rubber Ducky, vilket innebär att alla fickminnen som har packats upp ur sin förseglade förpackning potentiellt är farliga.

Vad gör en Rubber Ducky? Minnesenheten ger sig ut för att vara ett tangentbord. När du ansluter enheten till en USB-port installeras den som ett virtuellt tangentbord och börjar skriva förprogrammerad kod i otrolig hastighet. Via det virtuella tangentbordet kommer skadlig programvara in direkt och upptäcks därför inte av säkerhetsprogramvaran.

En annan farlig typ av USB är KeySweeper. En KeySweeper kan logga tangenttryckningar på vissa typer av trådlösa tangentbord och samla in personuppgifter och lösenord. Mer information om KeySweeper finns på http://www.americanbar.org/content/dam/aba/administrative/cyberalert/keysweeper.authcheckdam.pdf
Tips: Förbjud minnesenheter som du själv inte har packat upp ur den förseglade förpackningen. Om du hittar ett fickminne, använd det inte! Även fickminnen med en leverantörspresentation kan potentiellt vara farliga eftersom leverantören kanske inte heller vet var den kommer ifrån!

Ett par avslutande anmärkningar

De möjligheter som är tillgängliga för kriminella, hacktivister, och i synnerhet regeringar, är ändlösa och växer ständigt. Internet of Things ökar potentialen ännu mer. Ta en titt på vår tidigare blogg om bilhackning. Trots detta kan mycket förebyggas:

  • Välj lämpliga lösenord.
  • Använd inte offentliga Wi-Fi-nät utan att ha en VPN-app installerad.
  • Installera annonsblockerare och andra säkerhetsprogram (t.ex. antivirusprogram).
  • Installera alltid omedelbart alla tillgängliga uppdateringar på dina enheter och webbläsare (både på mobila och stationära enheter) – om din enhet använder Windows, installera alltid dess uppdateringar!
  • Förbjud använda/upphittade minnesenheter.
  • Lämna inte ut dina verkliga uppgifter på vilka webbplatser som helst.
  • Öppna inte länkar och bilagor i mejl om du tvivlar på vem som är avsändaren.

Ansvarsfriskrivning
Alla tips och all information i den här bloggen lämnas för att öka medvetenheten och ge hjälp, men ingenting är 100 % säkert. Van Ameyde och bloggförfattaren åtar sig inget ansvar för dataläckage och säkerhetsbrott.

Data breach and hacking: what you can do

Share This