RSS
Innlegg
Kommentarer

Phising – biter du på kroken?

16.03.2015 av

Phishing er en form for sosial hacking, som har til hensikt å få offeret til frivillig å gi fra seg informasjon om f.eks. brukernavn/passord eller kredittkort til angriperen. Denne typen angrep har blitt veldig populære og er i stadig utvikling, og metodene som benyttes blir stadig mer sofistikerte.
Den vanligste formen for slike angrep skjer via epost. Den samme eposten sendes ut til en rekke tilfeldige adresser. Eposten utgir seg gjerne for å være fra en bank eller liknende, og ber mottakeren foreta en pålogging for å hindre at tilgangen til tjenesten blokkeres. I eposten finner man en lenke som fører en til en falsk side, som ser helt lik ut som den virkelige nettsiden til banken. Forskjellen er at nettsiden driftes av kriminelle nettverk og dermed lagrer f.eks. kontoinformasjon og passord – slik at ID-tyverier, digitalt misbruk av kortinformasjon kan finne sted.
Angriperne kan også ha laget en automatisert funksjon, som både åpner den reelle bankens nettsider, men i tillegg også åpner en kobling til sin egen server, og på den måten imiterer de bankens sider, mens informasjonen i realiteten sendes til de kriminelles servere.

 

Slik angrep kan man sammenlikne med å fiske med garn. De kriminelle kaster garnet uti, snurper det sammen og drar opp de fiskene som ikke slipper gjennom maskene. Dette medfører at få lar seg lure, men nettopp fordi man har så mange potensielle ofre er det likevel lønnsomt.

 

En mer avansert metode er såkalt «spear phishing» eller spydfiske. I slike angrep retter de kriminelle seg gjerne mot bedrifter eller kundemassen til en bedrift. De innhenter informasjon om bedriften, fra hjemmesidene og andre mer eller mindre offentlige ressurser og på den måten kan bygge langt mer troverdige og skreddersydde scenarioer; gjerne ved bruk av navn de potensielle ofrene kjenner og bedriftens logo.
NTNU har vært utsatt for slike angrep, og vil også i fremtiden oppleve at våre ansatte er målskiver for kriminelle. Siden vi vet at vi jevnlig utsettes for slike angrep, ønsker vi å bidra til å redusere risikoen for at våre ansatte utnyttes av kriminelle, ved å gi noen tips til hvordan man unngår å bli offer for slik svindel.

 

Noen viktige tips å ta med seg videre:

  • Hverken banken eller andre, vil be deg om å oppgi kortinformasjon eller brukernavn og passord på epost – og heller ikke be deg følge en lenke i en epost, for å bekrefte slike opplysninger. Man vil heller aldri bli avkrevd slike opplysninger over telefon.
  • Er du usikker på om eposten kommer fra en reell kilde? Ta direkte kontakt med angivelig avsender via en allerede kjent kanal.

 

Hvordan oppdage og avsløre forsøk på svindel; hva bør få varsellampene til å blinke?

 

  1. Språk og grammatikk!
    Slike eposter kommer ofte, men ikke alltid, fra utlandet. Det innebærer selvsagt at de kriminelle bruker automatiske oversettelsesverktøy, for å tilpasse eposten til norsk. Selv om slike verktøy er blitt bedre, så har de fortsatt flere svakheter. I tillegg bruker svindlere bevisst dårlig språk, fordi erfaring tilsier at om de først får svar på en dårlig formulert og skrevet epost – så har de enklere målskiver å utnytte.
  2. Krav om å oppgi/bekrefte personlig informasjon!
    Enten man snoker etter passord, kredittkortinformasjon eller annen personlig informasjon som kan utnyttes til ID-tyverier, så er det enkleste å be offeret om å gi deg denne informasjonen frivillig. En god regel er derfor å aldri oppgi slik informasjon – det vil nemlig aldri være nødvendig; enten det er til oss på lokal IT eller til banken.
  3. Vær skeptisk til lenker i epost!
    Hvis man holder muspekeren over en hyperlenke, så vil man se hvor denne lenken egentlig ender opp. Her har jeg fått en epost med noe som tilsynelatende er til VG. Som vi ser, så er sannheten derimot en annen:
    fake_url
    Et godt tips er derfor å ikke følge lenker fra epost, men alltid skrive inn adressen manuelt, eller ved å bruke en snarvei man allerede har opprettet.
  4. Trusler!
    Hvis eposten truer med sletting av data og brukerkonto, er det store sjanser for at dette er svindel. Truende språk benytter svindlere seg av for å få impulsive og ikke minst usikre ofre på kroken. Ofte er det de med lav teknisk kompetanse og eldre som havner i denne kategorien. Igjen er det de svakeste som svarer på eposten, som igjen gjør dem til et lettere bytte når svindlerne får kontakt.

 

NTNUs systemer beskytter oss og sletter mange tusen slike angrepsforsøk, før de når frem til oss som sluttbrukere. Dessverre er ikke den automatiske beskyttelsen perfekt, og det er derfor oss som sitter foran skjermene som er siste forsvarsskanse. Er du usikker? Ta kontakt med oss på IT – vi svarer heller på én telefon for mye enn én for lite, og jobben med å rydde opp og begrense skaden når uhellet først er ute, krever langt mer enn en kort telefonsamtale.

 

Postet i Sikkerhet | Ingen har kommentert »

Hvordan lage gode passord!?

12.12.2014 av

Hvordan klarer du å huske et SÅ langt passord?! Må jeg bytte passord NÅ igjen?

Tradisjonelt sett så har man blitt opplært til å sette sammen en tilfeldig blanding av tall, store og små bokstaver og spesialtegn – slik at man blir sittende med noe slikt som dette: “$jiK8Wr(9”. Utfordringen med en slikt tilnærming er at det er omtrent umulig å huske. I tillegg til at det er håpløst å huske, noe som gjerne fører til at man bruker det samme passordet på flere steder, er at et slikt passord gjerne gir forholdsvis dårlig beskyttelse. For å forklare dette, må vi se på noen klassiske metoder for å knekke, eller på annen måte få tak i en brukers passord.

1. a) Brute force

Det er flere underkategorier av denne typen angrep, men i sin enkleste form, så innebærer det at man tester alle mulige kombinasjoner av tegn, mot ett gitt brukernavn. Det finnes programvare, som automatisk forsøker å logge inn med et gitt brukernavn, og endrer passordet: Først prøver man “a” som passord, deretter “b”, “c”, “d” osv. Når man så har gått gjennom hele alfabetet og alle tall, så legges det til ett tegn til: “aa”. Før eller siden vil programmet finne den riktige kombinasjonen. Det er flere sikkerhetsmekanismer i systemet, som er ment å ta seg av denne typen angrep, men det skal vi ikke gå inn på her. Det beste trikset man som sluttbruker kan bruke, er å lage et langt passord, desto lengre desto bedre.

b) Ordliste

Ordlisteangrep, er en underkategori av “brute force”, som i korte trekk innebærer at angriperen har en stor ordbok og tester ordene i lista, mot ett eller flere brukernavn. Det finnes uttømmende lister både på norsk og de fleste andre språk i verden. Det vil si at om du bruker “sykkelreperatør” som passord, så vil et slikt program avsløre passordet på sekunder. Det er også skremmende mange som bruker “Test1234”, “123456789”, “Passord”, “Password”, “987654321” eller liknende som passord.

3. Social engineering/phishing

Trykk på denne lenken og logg deg inn, det er problemer med nettbanken din. Trykk på denne lenken for å bekrefte din identitet, ellers vil din brukerkonto bli stengt. Høres dette kjent ut?

Denne typen angrep baserer seg på at man rett og slett lurer brukeren, til å gi fra seg brukernavn og passord. Vi vet av erfaring at dette er en svært effektiv metode å benytte seg av, om man har onde hensikter. Angriperne spiller her på flere psykologiske faktorer, bl.a. at vi stort sett tror godt om folk eller at vi ikke ønsker å miste tilgang på de tjenestene vi har tilgang på. Vi kommer til å ta for oss dette punktet spesielt ved en senere anledning, så følg med!

Hva kan vi gjøre!?

Når angripere bruker ordlister og automatiserte programmer for å angripe oss – hvordan skal vi kunne beskytte oss mot en slik fiende?

Trikset er å få til en kombinasjon av lengde på passordet, men samtidig gjøre det enkelt å huske.

Her er to eksempler på hvordan man kan lage en slik setning, og hva som er tanken bak.
1. Nårjegsp1serBanksågjørjegdetmedsaft1glasset!
2. Nårjegsp1serePostsågjørjegdetmedsaft1glasset!

Begge disse passordene er over 40 tegn! Men de er mye lettere å huske, enn “$jiK8r(9” og “(7drTasw” – ikke sant? Jeg er sikker på at du husker dem begge, bare etter å ha lest dem én gang. Jeg har puttet tjenesten jeg ønsker å logge på, inn etter ordet spiser, brukt stor forbokstav i navnet på tjenesten og byttet ut alle i-er med et 1-tall – i tillegg har jeg lagt på et utropstegn på slutten. Et slikt passord vil ta svært lang tid for et automatisert program å knekke. Og ved at man bruker samme passord over alt, bortsett fra at man bytter ut navnet på tjenesten, så slipper man i realiteten å huske mer enn ett passord.

Nå sier jeg ikke at alle skal lage seg passord på over 40 tegn, men det er lov å bruke huet.

Vi avslutter med litt humor og lar den geniale tegneserieskaperen Randall Munroe, illustrere hvordan man kan lage gode passord.
http://xkcd.com/936/

Postet i Sikkerhet | Ingen har kommentert »

Shake IT up!

28.10.2014 av

IT-gutta ved NTNU Vitenskapsmuseet har tatt steget! Vi har snørt på oss sjumilsstøvlene og kastet oss ut i bloggosfæren. HURRA!

Vi har på mange måter følt at vi ikke har en god måte å nå ut til brukermassen på. Vi har diskutert dette innad i gruppa, og vi ønsker å prøve denne bloggen som en form for lettbent og uhøytidelig kommunikasjon. Bloggen vil inneholde alt fra; tips og triks som kan gjøre IT-hverdagen enklere, til mer teknisk utfordrende artikler. Kanskje får du svar på noe du ikke visste du lurte på? Vi har aldri gjort dette før, så historien blir til mens vi skriver den.

Vi håper dette stedet kan være nyttig og lærerikt både for deg som leser og for oss som skriver. Ris og ros, samt tips til tema du ønsker vi skal ta opp – mottas med takk! Legg inn en kommentar eller send oss en epost på vår fellesadresse: vm-orakel@vm.ntnu.no.

Postet i Uncategorized | Ingen har kommentert »

Follow

Get every new post on this blog delivered to your Inbox.

Join other followers: