Er du glad for e-mails?

Det er de kriminelle også.

Ondsindede e-mails florerer på internettet. Langt de fleste e-mails er junk, som bliver filteret fra, før de når modtageren. Det efterlader stadig en stor mængde af uopfordrede mails, og en hel del af dem er lavet for at snyde modtageren til at udlevere loginoplysninger, bankoplysninger eller inficere computere og andet hardware.

Dato: 26.06.2020 - Forfatter: Morten Bo Nielsen

Når teknikken ikke er nok

I IT-sikkerhed har vi længe vidst, at teknik kun var halvdelen af at sikre systemer og data. Den anden halvdel er brugerne.

Det er meget nemmere at ringe til en bruger og bede om deres password end at hacke sig ind i systemerne. Det kaldes social engineering og er en angrebsform helt på niveau med de teknisk mest avancerede angreb.

I relation til e-mails viser det sig, ved at man får tilsendt en mail fra en, man kender, fra et kendt site, fra virksomheden eller fra en anden kilde, som man forventer at få mail fra. Den mail indeholder så enten dårlig kode eller links, som brugeren klikker på. Det er helt normalt, at brugere klikker på noget, som de ikke burde – nogle falder i altid, alle falder i en gang i mellem – og så har de kriminelle installeret noget snavs, stjålet passwords, misbrugt betalingsoplysninger, eller hvad deres mål er.

Vi er nået til et punkt, hvor teknikken ikke er det svageste led mere. I stedet er det brugeren. Det betyder, at brugeren skal trænes til at tage bedre beslutninger i øjeblikket. I fagsproget kaldet man det for ”security awareness”, og den træner man ved selv at sende falske mails.

Usikkert fundament

E-mails har længe været en stærkt integreret del af den digitale kommunikation på arbejdsmarkedet og udenfor. Måden vi sender mails rundt på internettet er grundliggende den samme som udgangspunktet fra 1981 – det var dengang, at arbejdet gik på at få protokoller og teknikken til at virke.

Nu er den udbredt overalt og gennemsyrer vores samfund. Fokus er ved at skifte, fra at det skal virke, til at det også skal være sikkert. Standarden for at sende mails er løbende blevet justeret, men den grundlæggende arkitektur er ikke sikker.

Et eksempel er, at når man sender en mail via en server, så kan man selv vælge, hvem der skal stå som afsender. Dette betyder, at man ikke kan regne med, at en mail sendt fra facebook.com rent faktisk er sendt fra facebook.com. Det er den slags detaljer, som de kriminelle er blevet gode til at udnytte.

Der er kommet en hel del støtteprotokoller, som gør e-mails mere sikre end for 35 år siden, men mange hjemmesider og domæner implementerer ikke selv de mest basale forsvarsværker. Og hvorfor så ikke?

Check spamfolderen

Hver gang man indfører ny sikkerhed, koster det noget – enten i form af tid eller penge, og den efterfølgende vedligeholdelse koster også. Systemet bliver mere komplekst, og det giver altid problemer. Når man laver et system sikkert efter alle kunstens regler, så vil det ikke være brugervenligt, eller det kan ikke det, som man ønsker af systemet.

I relation til e-mails kan IT-afdelingen beslutte at afvise alle mails, som ikke scorer højt nok på alle parametre. Det ville betyde, at brugerne ikke ser en stor del af de legitime mails, så der vil komme et pres for at løsne lidt op.

Næste skridt er at ”grå”-liste visse e-mails. Brugerne opdager dette, ved at mange skriver: ”hvis du ikke modtager mailen, så tjek spamfolderen.” Billedet bliver endnu mere forplumret af, at spam ikke er veldefineret, og f.eks. marketingmails måske/måske ikke er uønsket mail.

Så IT-afdelingen gør, hvad de kan for at blokere de ”dårlige” mails og kun lade de ”gode” mails blive leveret – men som beskrevet ovenfor, så er der den grå zone, som bliver bredere af veldesignede svindelmails og dårlige firmamails. Konklusion bliver hurtigt, at det ikke er nok med tekniske tiltag.

Brugeren i centrum

Når nu brugeren er det svageste led, hvad kan man så gøre? Det korte svar er, at man skal gentage igen og igen, at brugerne skal være opmærksomme.

I dagligdagen vil gode basisspørgsmål være:

  • Forventede du den mail?
  • Er timingen underlig?
  • Beder ”afsenderen” dig om noget usædvanligt?
  • Lyder domænenavne forkerte?
  • Passer afsenderen med indholdet?
  • Passer sprog og formatering med din forventning?

Mennesker er meget forudsigelige, især når det kommer til tilspidsede situationer. Så tidspunkter med vigtige deadlines eller perioder med højt stressniveau er typiske tidspunkter, at brugeren falder i.

Phishing-kampagner

UCL er en undervisningsinstitution, og undervisere kender kun alt for godt, at læring foregår, når man stopper op og tænker over ens handlinger. Hvis det er for nemt, så lærer man ikke særligt hurtigt, og når det samme bliver gentaget igen og igen, holder man op med at høre efter.

Det er grundtanken, når en virksomhed selv begynder at sende falske mails til de ansatte. Det er ikke for at håne eller at straffe – det er for at lære dem om problemerne.

Der er forskellige metoder, og det kan gøres mere eller mindre avanceret. Fælles er, at når brugeren modtager en mail med et link, så peger linket ikke over på en dårlig side, men over på en ”Ups”-side. Det er sådan, vi foretrækker det i vores undervisning, nemlig at der er en umiddelbar feedback på en handling. Det får brugeren til at stoppe op og tænke.

UCL’s IT-afdeling og bachelorstuderende fra IT-sikkerhed vil i den kommende tid lave en phishing kampagne. Det er godt for skolen som helhed, det er godt for de studerende, og det er godt for den ansatte, både på arbejdet og hjemme.

Hvad er phishing?

De fleste kender til spammails, hvor man modtager uopfordrede mails ofte om datingsider, medikamenter og lign. Phishing er mere ondsindet.

Ved phishing modtager man også uopfordrede mails, men denne gang prøver de at få dig til at oplyse passwords, overføre penge eller installere ting på computeren eller telefonen. Praktisk set plejer det at være mails med et links, som sender en hen til ens ”bank” eller til en loginside, som ligner den almindelige loginside for google eller den virksomhed, man arbejder for.

 

 

Morten Bo Nielsen Lektor

Er indholdet brugbart?