Kriminelle spiller ofte på fire strenger

Slik unngår din bedrift dataangrep

- Angrepsmetodene er ofte enkle, men effektive. Det er ett sikkerhetstiltak det er svært viktig å innføre.

VIKTIGSTE SIKKERHETSTILTAK: – Bruk totrinnsverifisering. Det er det viktigste sikkerhetstiltaket å innføre, sier Hans Marius Tessem i NorSIS. Foto: NorSIS
Lesetid 4 min lesetid
Publisert 12. okt. 2020
Artikkelen er flere år gammel

Mannen som sier dette er Hans Marius Tessem, seniorrådgiver i NorSIS, Norsk senter for informasjonssikring.

Ofte brukes sosial manipulering for å lure deg, enten til å gi fra deg penger, gi fra deg påloggingsinformasjon eller få deg til å installere virus som blir brukt for å presse deg for penger.

Med disse enkle tiltakene kan din bedrift unngå dataangrep og svindel:

1. Kjenn igjen svindelen 

- Kriminelle spiller ofte på fire strenger. Fristelser, frykt, falsk tillit og tidspress, sier Tessem.

En fristelse kan for eksempel være at du får en e-post der det fristes med en lottopremie, du må bare betale litt for å få den tilsendt og du blir samtidig bedt om å klikke på en lenke. E-poster med trusler er også vanlig, samt at avsender vil be deg oppgi ditt brukernavn og passord. Kriminelle bruker tidspress – slik at du blir presset til å svare med én gang.

- Vi ser stadig at forsøkene blir bedre, og i mange tilfeller blir de tilpasset til akkurat deg. Da kan det være vanskeligere å stå imot.

Bruk totrinnsverifisering
Hans Marius Tessem

2. Plukk opp telefonen

– Ofte sender svindlerne en e-post til bedriften og utgir seg for å være din leverandør, og forteller at de har endret kontonummeret, sier Tessem. I andre tilfeller utgir de seg for å være sjefen din og ber deg gjennomføre en betaling.

Ved at de kriminelle får endret kontonummeret går betalingene til svindlere i stedet for til leverandøren.

Tessems beste råd er at dersom du får en slik e-post må du ringe din leverandør eller sjefen din og dobbeltsjekke. Da får du avklart med én gang om dette er en falsk melding eller ikke.

Hvis du kommer inn med tullepassord og tullebrukernavn – da er det svindel
Hans Marius Tessem

3. Bruk totrinnsverifisering

Tessem er klar på at det er noen helt konkrete tiltak alle bedrifter bør ta for å sikre seg mot datakriminalitet.

– Bruk totrinnsverifisering. Det betyr at dersom kriminelle får tak i passordet, kommer ikke de kriminelle inn i systemene, for i tillegg må det også brukes en kode. Dette er det viktigste sikkerhetstiltaket å innføre.

Sikkerhetseksperten anbefaler å stille krav til dine leverandører om at de leverer sikre tjenester.

– Spør alltid om totrinnsverifisering. Tjenester som lagring o.l. bruker skyløsninger, og da er det påloggingen som er det sårbare. Hackerne er ute etter brukernavn og passord. Det er enklere å logge seg inn enn å hacke seg inn. Har du totrinnsverifisering gjør du det mye vanskeligere for de kriminelle.

Kontroller alltid at fakturaen gjelder noe bedriften faktisk har bestilt
Hans Marius Tessem

4. Pass opp for lenker

Sikkerhetseksperten forteller at trenden er at de kriminelle bruker flere virkemidler.

- Den tradisjonelle hackingen er ikke lenger vanlig. Det enkleste nå for tiden er å bruke uoppmerksomme ansatte, sier Tessem.

Det vanligste er at man får tilsendt en e-post eller melding der mottaker blir bedt om å åpne en lenke som fører til at du må logge inn et sted. Dette er som regel falske nettsider som ligner på en ekte påloggingsside til en tjeneste du vanligvis bruker. Da kan de kriminelle få tilgang til alt fra brukernavn og passord. 

- Sjekk først om lenken ser rimelig ut. Dersom du blir bedt om å logge inn med brukernavn og passord, bruk tullepassord. Hvis du kommer inn med tullepassord og tullebrukernavn – da er det svindel.

Hvis du blir bedt om å legge igjen personlig informasjon, bankkortinformasjon eller brukernavn og passord, anbefales det at du skriver inn den riktige adressen til det du skal i nettleseren din. Da vet du at du er på riktig sted.

5. Etablér gode rutiner

Tessem forteller at mange bedrifter har solide rutiner for å unngå datakriminalitet, mens det fortsatt er en del som har mangelfulle rutiner.

- Det er viktig med bra rutiner for faktura og regnskap. Kontroller alltid at fakturaen som mottas er for noe bedriften faktisk har bestilt. På denne måten kan man oppdage svindel.

6. Sørg for opplæring

Sikkerhet er alltid et lederansvar, mener Tessem.

- Pass på at de ansatte får muligheten til å være sikre ansatte. Alle ansatte er kontaktpunkter mot omverdenen, og opplæring er viktig, sier han.

Det er viktig å innse at man kan være utsatt for IT-svindel.

- Tilgang til datasystemer har en stor verdi. Det er derfor viktig å ha en god bedriftskultur som gjør at ansatte vil si i fra om noe skjer, avslutter Tessem.

Oktober er nasjonal sikkerhetsmåned, og NorSIS gir gratis opplæring til bedrifter med færre enn 20 ansatte. 

OPPLÆRING ER VIKTIG: Pass på at de ansatte får muligheten til å være sikre ansatte, sier Hans Marius Tessem, sikkerhetsekspert i NorSIS. Foto: NorSIS