Öryggisbrestur á persónuupplýsingum á Netinu

Hvers vegna kemur þetta mér við?

Persónuupplýsingar eru upplýsingar sem auðkenna okkur sem einstaklinga. Má þar nefna upplýsingar eins og nafn, símanúmer, heilsufarsupplýsingar, lykilorð og jafnvel ljósmynd. Við deilum persónuupplýsingum okkar með bönkum, fjarskiptafyrirtækjum, netverslunum, stjórnvöldum og í samskiptum við samstarfsmenn, vini og fjölskyldu.

Ef óprúttnir aðilar komast ólöglega yfir persónuupplýsingar okkar, stöndum við berskjölduð gagnvart árásum þeirra. Um leið og þeir hafa komist yfir einhverjar upplýsingar eiga þeir auðveldara með að blekkja okkur til að gefa upp meiri upplýsingar sem þeir geta nýtt sér enn frekar.

Eftirfarandi leiðbeiningar eiga að hjálpa þér við að þekkja og draga úr þessari áhættu og hvað þú átt að gera þegar þú kemst að því að þriðju aðilar nota persónuupplýsingar þínar í leyfisleysi.

Hvað er auðkennisþjófnaður?

Auðkennisþjófnaður er algeng leið óprúttinna einstaklinga til að nálgast persónuupplýsingar án leyfis. Þeir nýta þessar upplýsingar til að þykjast vera þú, eða til að búa til fölsuð auðkenni með því að nota hluta af persónuupplýsingunum þínum og láta þær virðast ósviknar. 

Til dæmis: 

• Óviðkomandi aðili kemst yfir aðgangsupplýsingar fyrir netbankaþjónustu þína. Hann skráir sig inn og millifærir peningana þína inn á eigin reikning eða tekur þá út.
• Óviðkomandi aðili kemst yfir notendanafn og lykilorð fyrir netverslun. Hann notar upplýsingarnar til að kaupa vörur eða gjafakort sem eru rukkaðar á kreditkortið sem þú skráðir á reikninginn þinn.
• Óviðkomandi aðili fær aðgang að launaseðlum þínum og rafmagnsreikningum. Hann notar upplýsingarnar til að sækja um lán í þínu nafni en lætur greiða það út á eigin reikning.
• Óviðkomandi aðili notar nafn þitt og ljósmynd til að búa til samfélagsmiðil í þínu nafni. Hann birtir síðan skaðlegar athugasemdir eða upplýsingar og lætur eins og þær komi frá þér.

Ekki gera glæpamönnunum auðveldara fyrir

Flestir þjónustuaðilar þekkja fjölda aðferða sem óprúttnir einstaklingar nota við að misnota stolnar persónuupplýsingar. Samkvæmt persónuverndarlögum ber þeim að gera allt sem í þeirra valdi stendur til að koma í veg fyrir að það takist og vernda persónuupplýsingar þínar. Hins vegar eru þessir aðilar þrálátir og leita sífellt nýrra leiða til að komast fyrir þær verndarráðstafanir sem gripið er til við að stöðva þá.  

Við öll, sem einstakir notendur, getum hjálpað til við að gera þessum óprúttnu einstaklingum erfiðara fyrir við að stela persónuupplýsingum. Hér eru nokkur atriði sem vert er að hafa í huga: 

• Ekki nota sama lykilorðið á fleiri en einni vefsíðu.
• Gakktu úr skugga um að lykilorðið að netfanginu þínu sé sérstaklega sterkt. Ef hægt er að komast í tölvupóstinn þinn gæti það opnað dyr að öðrum netreikningum. Hætta er á að aðgangsupplýsingar séu notaðar til að ná stjórn á aðgangi að hinum ýmsu þjónustum sem þú notar í daglegu lífi, svo sem tengingum við vinnustað, tölvupóst eða samfélagsmiðla.
• Ekki byggja lykilorðin þín á upplýsingum sem hægt er að finna á samfélagsmiðlum þínum (t.d. afmælinu þínu, fótboltaliði eða nafni gæludýrsins þíns). Notaðu eitthvað sem aðeins þú veist. Reynum að velja langt lykilorð (12 eða fleiri stafir eru góður upphafspunktur), en flækja það með tölum og sértáknum, eins og séríslenskum stöfum, kommum, bilum og punktum.
• Ef þér finnst erfitt að halda utan um lykilorðin þín skaltu íhuga að nota lykilorðaþjónustu sem býr til og geymir einstök lykilorð fyrir þig, valin af handahófi. Mörg stýrikerfi og vafrar hafa innbyggða lykilorðageymslu og einnig eru til sérstök lykilorðageymslu-öpp. Mikilvægt er að vernda aðgang að lykilorðageymslunni sjálfri með sterku lykilorði. Hér má finna dæmi um slíkar lykilorðaþjónustur.
• Aldrei deila lykilorðum með öðrum eða skrifa þau niður þar sem einhver getur séð þau.
• Notaðu, þar sem því verður við komið, margþætta auðkenningu (e. multi-factor authentication, MFA) til að staðfesta auðkenni þitt. MFA er það kallað þegar þjónustuaðili notar sérstakan miðil, svo sem kóða sendan með textaskilaboðum í símanúmer notanda, til að staðfesta að sá sem skráir sig inn sé sá sami og sá sem fékk kóðann.
• Breyttu lykilorði strax ef þig grunar að einhver gæti haft óheimilan aðgang að reikningnum þínum. Hafðu samband við þjónustuveituna þína til að fá aðstoð ef þú átt í erfiðleikum. Að auki, ef þú hefur notað sama lykilorð fyrir aðra netreikninga, breyttu því líka þar - líttu svo á að það sé ekki lengur öruggt, og verður það aldrei.
• Hugsaðu áður en þú birtir. Margar samfélagsmiðlaveitur leyfa þér að takmarka aðgengi að því sem þú birtir, og stýra því hvort þú viljir að hægt sé að deila því eða áframsenda það og þú getur jafnvel sett takmörk á hversu lengi efnið er aðgengilegt. Hugsaðu út í hver gæti séð eða deilt því sem þú birtir áður en þú birtir það. Er þér sama þó að allir geti séð það, líka eftir 5 ár?
• Aldrei birta mynd af persónuskilríkjunum þínum á netinu, þ.m.t. samfélagsmiðlum.
• Ekki geyma það sem ekki þarf að geyma. Það getur verið þægilegt að geyma kredit- eða debetkortaupplýsingar þínar á vefsíðu uppáhalds söluaðila þíns á netinu, en er það nauðsynlegt? Óprúttnir aðilar sem fá aðgang að reikningnum þínum gætu einfaldlega merkt við reit til að nota kortið.
• Kynntu þér leiðbeiningar netöryggissveitarinnar (CERT-IS) um öryggi á samfélagsmiðlum hér.

Vefveiðar (e. phishing)

Það er kallað vefveiðar þegar fólk er með blekkt með tölvupósti, símtali eða textaskilaboðum frá „þekktum“ sendanda.  

Með vefveiðunum reyna óprúttnir aðilar að fá þig til að senda upplýsingar til baka með því að svara póstinum/skilaboðunum eða hringja til baka. Það eru greiðslukortaupplýsingar, notendanafn eða lykilorð sem þessir aðilar eru á höttunum eftir. 

Oft er hlekkur eða hnappur í póstinum sem leiðir þig á falska vefsíðu þar sem aðilinn reynir að fá þig til að slá inn upplýsingarnar. Falska vefsíðan gæti litið alveg eins út og vefsíðan sem þú heldur að þú sért að fara inn á, t.d. bankans þíns, en er í raun bara eftirlíking sem afritar upplýsingarnar sem þú slærð inn. 

Í sumum tilfellum gætir þú verið beðinn um að hala niður skjali. Skjalið getur innihaldið spilliforrit sem skemmir gögn í tölvunni þinni eða veitir sendandanum aðgang að henni. Þú getur einnig fengið símtal úr leyninúmeri þar sem hringjandinn reynir að fá PayPal númerið þitt, eða hann þykist vera starfsmaður tölvufyrirtækis sem ætlar að laga villu í tölvunni þinni. Markmiðið er ávallt að komast yfir leyninúmerin þín og/eða greiðslukortaupplýsingar. 

Vefveiðapóstar eru oftast raunverulegir og erfitt að bera kennsl á þá. Einnig eru falskar vefsíður yfirleitt mjög vel gerðar og nánast alveg eins og raunverulegar skráningarsíður fyrirtækjanna sem notaðar eru sem agn. Til að greina á milli réttrar heimasíðu og falskrar getur þú skoðað slóðina áður en þú smellir með því að setja músina yfir hlekkinn eða takkann í póstinum. Ef slóðin er mjög löng eða lén lítur ekki út fyrir að tilheyra meintum sendanda (eins og t.d. uppFundid.fYrirtaeki.org) er best að sleppa því að smella. Stundum er líka hægt að sjá að um svik er að ræða ef slóðin er örlítið frábrugðin réttu vefslóðinni, t.d. í staðinn fyrir landspitali.is er notað landspitali.com. 

Samskiptablekking (e. social engineering) 

Samskiptablekking er sú aðferð kölluð sem byggist á því að notfæra sér traust fólks til að fá upplýsingar eða gera eitthvað sem það myndi annars ekki samþykkja.

Tölvupósturinn virðist koma frá þekktum aðilum eins og bönkum eða stjórnvöldum. Hann getur verið mjög sannfærandi í útliti, með merki stofnunarinnar og á viðeigandi tungumáli. Ef óprúttnu aðilarnir eru þegar með einhverjar persónuupplýsingar um þig geta þeir vísað til nafns þíns eða nýlegra kaupa eða athafna. Tölvupósturinn þarf þó ekki að vera persónulegur í öllum tilfellum en virðist öllu jafna vera ósvikinn við fyrstu sýn. 

Þá getur svikatölvupóstur frá einstaklingi sem þú þekkir og treystir birst í pósthólfinu þínu. Í þeim tilfellum hafa óprúttnir aðilar komist yfir netfang viðkomandi og sent póstinn í hans nafni. Ef þú færð óvenjulega/undarlega beiðni frá einhverjum sem þú treystir, t.d. yfirmanni, eða ef stafsetning eða orðalag póstsins er furðulegt, reyndu þá að hafa samband við aðilann á öðrum vettvangi, svo sem með símtali, til að staðfesta að þetta hafi í raun verið hann. 

„Phishing“ textaskilaboð og símasvik

„Phishing“ textaskilaboð (einnig þekkt sem „Smishing“) eru svipuð og geta jafnvel virst vera svar við fyrra spjalli við stofnunina sem skilaboðin eiga að koma frá.

Símasvik eða Raddveiðar ( e. Voice Phishing eða vishing) er það kallað þegar óprúttnir aðilar hringja í þig og sannfæra þig um að þú sért að tala við raunverulegt fyrirtæki eða stofnun. Oft fylgir hringjandinn vandlega undirbúnu handriti í tilraun til að blekkja þig til að borga peninga, veita sér aðgang að tölvunni þinni eða bankareikningi eða birta trúnaðarupplýsingar. Þeir eru færir í blekkingarleiknum, eru sannfærandi og eiga oft auðvelt með að vinna sér inn traust þess sem þeir hringja í. Aðilinn sem hringir gæti t.d. þóst vera frá Microsoft og vill fá þig til að veita sér aðgang að tölvunni þinni til að laga hugbúnaðarvillu. Einnig er algengt að símtölin hefjist á að þér er boðin endurgreiðsla í þeirri von að þú gefir þeim upp banka- eða kortaupplýsingar þínar. Stundum eru símtölin handahófskennd en oft á tíðum hafa svikararnir nú þegar einhverjar upplýsingar um þig, svo sem nafnið þitt, sem gerir símtalið persónulegra og trúverðugra. 

Ef þú efast um trúverðugleika símtalsins skaltu skella á. Þú getur alltaf sannreynt símanúmerið á vefsíðu fyrirtækisins sem sá sem hringir segist vinna hjá eða hjá ja.is/1819.is eða með því að senda þeim tölvupóst á netfang sem þú finnur á vefsíðu fyrirtækisins. Raunveruleg fyrirtæki hringja ekki í þig upp úr þurru til að biðja þig um persónuupplýsingar eða lykilorð.  

Hvað ætti ég að gera varðandi vefveiðar?

Í flestum tilfellum er einfaldast að eyða tölvupóstinum eða textaskilaboðum. Áður en þú gerir það skaltu athuga hvort tölvupósthugbúnaðurinn eða síminn þinn leyfir þér að merkja skilaboðin sem „ruslpóst“ svo að þú haldir ekki áfram að fá endurtekin skilaboð eða símtöl frá því númeri. 

Vefveiðar í formi tölvupósts, skilaboða eða símtala geta byggt á einhverjum upplýsingum, eins og nýlegum kaupum frá netverslun eða ferð sem þú birtir á samfélagsmiðlum. Í þeim tilfellum getur það bent til þess að brot á persónuverndarlögum hafi átt sér stað. 

Í því tilfelli ættir þú í fyrsta lagi að tilkynna viðkomandi fyrirtæki um brotið og nota til þess símanúmer eða tölvupóst sem fyrirtækið birtir á vefsíðu sinni. Þú ættir einnig að breyta lykilorðinu þínu á síðunni og fara yfir persónuverndarstillingar þínar. 

Ef þú hefur orðið fyrir svikum, þjófnaði eða öðrum glæpum vegna vefveiða, ættir þú að tilkynna brotið til lögreglunnar eða senda þeim tölvupóst á netfangið: abendingar@lrh.is

Fjárkúgun með netsvindli

Ein af aðferðum óprúttinna aðila er að nota hótanir til að kúga út fé eða upplýsingar. Þú gætir til að mynda fengið tölvupóst þar sem þér er tjáð að brotist hafi verið inn í tölvuna þína eða tölvupóst og fylgst með því sem þú hefur verið að gera og jafnvel tekið af þér myndskeið í gegnum vefmyndavél. Ef þú greiðir ekki ákveðna fjárhæð verði myndskeiðið áframsent á tengiliðina þína. 

 Þeir geta einnig sagst hafa fengið aðgang að heilsufarsskrám, einkasamskiptum eða annars konar trúnaðarupplýsingum og hóta að afhjúpa viðkvæmar upplýsingar nema gegn peningagreiðslu eða verðmætum upplýsingum. 

Oft er haus tölvupóstsins falsaður til að láta líta út fyrir að hann hafi verið sendur úr tölvupósthólfi þínu eða notandanafn og lykilorð þitt birt í tölvupóstinum. Þessar upplýsingar eru yfirleitt teknar úr gagnalekum þar sem upplýsingum er stolið úr vefþjónustum. Þar sem algengt er að fólk noti sömu notandanöfn og lykilorð á mismunandi vefþjónustum gæti viðtakandinn trúað því að brotist hafi verið inn í tölvu hans eða tölvupóst. Til að verjast þeirri hættu að óprúttnir aðilar komist inn í þinn tölvupóst er nauðsynlegt að halda vel utan um lykilorð og virkja tvíþætta auðkenningu ef mögulegt.

Ef þú færð hótanir um að upplýsingar um þig verði birtar á samfélagsmiðlum ættir þú að tilkynna brotið til lögreglunnar eða senda þeim tölvupóst á netfangið: abendingar@lrh.is. 

Athuga skal þó að sjaldnast er um raunverulegar hótanir að ræða. 

Hvernig get ég varið mig?

Þú getur varið þig með því að vera meðvitaður um eftirfarandi: 

• Ef þú færð símtal frá fyrirtæki ættir þú aldrei að gefa upp upplýsingar sem það ætti nú þegar að hafa. Til dæmis, ef banki hringir í þig, ættu þeir ekki að þurfa að biðja um reikningsnúmerið þitt, þeir eru með það á skrá ásamt kennitölunni þinni.
• Ef þér finnst símtalið grunsamlegt skaltu skella á. Þú getur alltaf hringt aftur til að athuga hvort þau hafi hringt í þig.
• Aldrei leyfa þriðja aðila að taka stjórn á tölvunni þinni eða hlaða niður hugbúnaði.
• Aldrei stytta þér leið framhjá öryggisstefnum eða verklagsreglum.
• Ekki smella á tengla í grunsamlegum tölvupósti. Þú verður aldrei beðinn um persónulegar upplýsingar eða að staðfesta reikningsupplýsingar án tilefnis og mjög ólíklega í tölvupósti.
• Mundu að í öllum tilfellum, þegar haft er samband við þig með tölvupósti, símtali eða SMS, ert það þú sem hefur stjórn á því hvaða persónuupplýsingar þú veitir og til hvaða aðgerða þú grípur, óháð því sem sendandinn segir. Vefveiðitækni snýst um að öðlast traust þitt og/eða láta þig halda að þú þurfir að bregðast hratt við. Staðfestu hlutina áður en þú gefur nokkuð upp og taktu þér tíma. Þetta er aldrei mínútuspursmál hjá raunverulegum fyrirtækjum.

Það sem þú ættir að gera ef brestur hefur orðið á öryggi persónuupplýsinga þinna: 

• Vertu á varðbergi: Líklegt er að fyrirtækið sem hefur orðið fyrir öryggisbresti hafi samband við þig. Staðfestu við hlutaðeigandi fyrirtæki hvaða áhrif bresturinn hefur á gögnin þín og hvaða gögn urðu fyrir brestinum. Þú gætir þurft að vita hvort þriðji aðili (og þá hver) hafði aðgang að gögnunum sem þetta gæti einnig haft áhrif á.
• Fylgdu öllum skrefum sem fyrirtækið leggur til til að draga úr hugsanlegri áhættu. Sum fyrirtæki bjóða upp á aðstoð við vernd og það er ráðlagt að þiggja þá aðstoð sem boðin er þar sem sérfræðingar munu hafa eftirlit með gögnum þínum.
• Fylgstu sjálfur með reikningum þínum. Tilkynntu bankanum þínum um brestinn ef fjárhagsleg gögn eru í hættu. Þú getur líka látið loka kortunum þínum og óskað eftir nýjum.
• Tilkynntu brotið til Cert.is, cert@cert.is
• Breyttu og styrktu lykilorðin þín, öryggisspurningum og svörum við þeim og innskráningu þinni á netinu. Ef lykilorð þitt varð fyrir bresti, þá ættir þú að breyta lykilorðinu þínu á öllum reikningum með sama lykilorðinu.
• Ef þú hefur ekki innleitt MFA, gerðu það.
• Vertu vakandi!