2006 blev præget af svindel

Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen ITinnovation om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Vi slap for de store katastrofer på it-sikkerhedsområdet. I stedet blev 2006 præget af, at angrebene nu handler om penge.

Når jeg ser tilbage på det år, der nu snart er gået, er en af de klareste tendenser den kolossale vækst i phishing. Det er en form for svindel, hvor bagmænd lokker deres ofre ind på falske websider. Der narres de til at afgive personlig information såsom kreditkortnumre og adgangskoder.

Lavteknologisk svindel
Som it-sikkerhedsfænomen er phishing interessant, fordi det er en særdeles lavteknologisk form for svindel. Bagmændene hacker sig ikke ind på offerets computer med avancerede metoder. De udnytter ikke sårbarheder i it-systemerne.

Derimod udnytter de den form for sårbarhed, der ligger i, at de fleste af os som udgangspunkt tror på det, når nogen fortæller os noget. I hackerverdenen har metoden i mange år været kendt som "social engineering".

Jagt på penge
Et andet kendetegn er, at phishing er et forsøg på at få fat i noget, der er penge værd. Dermed er phishing typisk for udviklingen i år: Vi har ikke set de store ormeangreb, der udnytter en sårbarhed til at ramme millioner af pc'er. Derimod har vi set en stigning i angreb, der forsøger at få penge fra folk.

Foruden phishing handler det om spyware, der tvinger ofrene til at se på reklamer, de ikke har bedt om. En tredje metode er botnet, hvor ofrenes pc'er uden deres vidende udlejes til udsendelse af spam.

Umiddelbart lyder det måske som en selvfølge, at formålet med kriminalitet er at tjene penge. Men sådan var det ikke for nogle år siden, når vi taler om hackere. Dengang handlede det mere om at vise sig over for andre hackere: Se hvor dygtig jeg er, jeg har fået adgang til NASA's computere!

Så vi slap for de store katastrofer i år. Til gengæld var der masser af mindre trusler, der voldte rigeligt med problemer.

For nylig holdt jeg foredrag for en skare erhvervsledere fra små og mellemstore virksomheder. Da jeg spurgte, hvem der havde en it-sikkerhedspolitik, rakte kun halvdelen hånden op. Det lover ikke godt for sikkerheden.

Så her er mit forslag til et nytårsforsæt: Gå i gang med at udarbejde en sikkerhedspolitik, hvis I ikke allerede har en. God jul og godt nytår!

Oprindelig bragt i Børsen ITinnovation den 12. december 2006

 

Keywords: