Netsvindli hefur vaxið fiskur um hrygg á síð­ustu miss­erum og reglu­lega ber­ast til­kynn­ingar af nýrri teg­und svika­pósta í umferð sem fólk ber að var­ast. Það er engin til­viljun að til­kynn­ing­arnar séu orðnar svona margar og frétt­irnar sömu­leið­is, fjöldi til­vika sem til­kynnt voru til CERT-IS, net­ör­ygg­is­sveitar Fjar­skipta­stofu, nam 598 á síð­asta ári sam­an­borið við 266 árið áður. Fjölgun varð í nán­ast öllum teg­undum til­kynn­inga en flestar snú­ast til­kynn­ing­arnar að svindli. Á síð­asta ári bár­ust 446 til­kynn­ingar til CERT-IS vegna svindls en árið áður voru þær 181 tals­ins.

Það er því sann­ar­lega margt að var­ast á net­inu en það er einnig margt hægt að gera til þess að auka net­ör­yggi sitt og stunda ábyrga nethegð­un. Kjarn­inn hafði sam­band við Guð­mund Arnar Sig­munds­son, fram­kvæmda­stjóra CERT-IS til þess að ræða til hvaða ráð­staf­ana fólk getur gripið á net­inu og hann gaf mörg gagn­leg ráð í þeim efn­um.

Not­aðu lengri, flókn­ari og ein­stök lyk­il­orð

Eitt elsta og sígildasta ráðið í nethegðun er það að nota löng og flókin lyk­il­orð sem erfitt er að giska á. Til þess að lág­marka hætti á að ein­hver kom­ist inn á aðgang­inn þinn er mælt með því að nota ein­stök lyk­il­orð fyrir hvern og einn aðgang sem þú notar á net­inu. Þannig er hægt að koma í veg fyrir að gagna­leki á einum stað hafi áhrif á öryggi ann­arra reikn­inga en reglu­lega verða stórir gagna­lekar þar sem not­enda­upp­lýs­ingar fjölda not­enda verða aðgengi­leg­ar.

Það þarf ekki nema einn gagna­leka til þess að stefna öryggi reikn­inga þess sem notar aðeins eitt lyk­il­orð í hættu. „Það eru alltaf að koma gagna­lekar hér og þar,“ segir Guð­mundur og nefnir hug­bún­að­ar­fyr­ir­tækið Adobe sem dæmi en það býr til dæmis for­rit á borð við Photos­hop og Lightroom. „Það var gagna­leki hjá þeim fyrir nokkrum árum. Þau lyk­il­orð eru komin út og allir geta náð í þau sem hafa ein­hvern áhuga á þessum bransa og þar af leið­andi er lyk­il­orðið þitt orðið ónýtt.“

Settu upp tveggja þátta (eða fjöl­þátta) auð­kenn­ingu

Hægt er að setja upp svo­kall­aða tveggja þátta auð­kenn­ingu sem er í raun og veru auka þrep í inn­skrán­ingu. Nokkrar teg­undir tveggja þátta auð­kenn­ingar en algengt er að stilla tveggja þátta auð­kenn­ingu þannig að not­endur fái kóða í sms-skila­boðum eftir að þeir eru búnir að skrá sig inn með not­enda­nafni og lyk­il­orði eða þá að not­endur sæki kóða úr smá­forritum á borð við Google Aut­hent­icator eða Duo. 

Þetta getur komið í veg fyrir að ein­hver kom­ist inn á reikn­ing manns í kjöl­far gagna­leka eða vegna þess að lyk­il­orð er ekki nógu sterkt. „Lík­urnar á því að ein­hver nái að yfir­taka tvær boð­leiðir eru bara stjarn­fræði­lega miklu minni en að ein­hver nái að troða sér inn í eina boð­leið. Svo er hægt að bæta við boð­leið­um. Það að virkja fjöl­þátta­kenn­ingu er rosa­lega mik­il­vægt,“ segir Guð­mundur Arnar um þetta örygg­is­at­riði.

Not­aðu lyk­il­orða­banka

Til þessa að auð­velda notkun á löng­um, flóknum og ein­stökum lyk­il­orðum er hægt að nýta sér þjón­ustu svo­kall­aðra lyk­il­orða­banka (e. Password Mana­ger).

„Það er í raun­inni stór pen­inga­hvelf­ing á net­inu sem geymir öll lyk­il­orðin þín og ekki nóg með það, heldur býr hún til gíf­ur­lega flók­in, löng lyk­il­orð í hvert skipti sem þú býrð til aðgang inn á nýja síðu. Þessi lyk­il­orð eru svo löng og flókin að það er ekki í mann­legu valdi að muna þau en þú þarft ekki að muna þau. Þú þarft bara að muna eitt „rík­is­lyk­il­orð“ inn í lyk­il­orða­bank­ann,“ segir Guð­mundur Arnar um lyk­il­orða­banka. 

Hann bætir því við að nú sé hægt að sækja við­bætur (e. plug-ins) í flestum vöfrum frá lyk­il­orða­bönk­unum sem bjóði upp á frekar saum­lausa not­enda­upp­lif­un. Best sé svo að virkja tveggja þátta auð­kenn­ingu fyrir inn­skrán­ingu í lyk­il­orða­bank­ann.

Ekki opna hlekki

Að mati Guð­mundar Arn­ars er það „tíma­laust ráð“ að mæla gegn því að fólk opni hlekki sem það þekkir ekki. „Hlekkir sem koma jafn­vel frá fólki sem þú treyst­ir. Ef þú ert í vafa, ekki ýta á þá. Þeir sem eru þokka­lega tölvu­læs­ir, þeir geta svo sem alveg lesið hlekk­ina eða séð hvert þeir vísa og metið það hvort þeir treysti því eða ekki. En svona heilt yfir ekki ýta á hlekki,“ segir hann.

Á vef­síð­unni net­ör­ygg­i.is, sem haldið er úti af Fjar­skipta­stofu, segir að ein algeng­asta dreifi­leið vírusa og ann­arrar sam­bæri­legrar óværu séu við­hengi og hlekk­ir. Við­hengi geti fylgt tölvu­póstum sem inni­haldi vírusa og það sama á við um hlekki. Á bak við hlekki sem sendir eru í skila­boðum á net­inu eða í tölvu­póstum geti leynst vírus­ar. „Varastu að opna slík við­hengi eða smella á hlekki nema þú þekkir send­and­ann og eigir von á gögnum frá hon­um. Mælt er með að setja upp góða enda­bún­aðs­vörn (víru­svörn) á tölv­unni þinni og halda henni upp­færðri eins og öllum hug­bún­að­i,“ segir á síð­unni.

Kann­aðu skrár

Til eru þjón­ustur á net­inu sem kanna það hvort skrá inni­haldi ein­hverja vírusa, síður eins og Norton og Viru­sTotal. „Ef það er ein­hver skrá sem þú treystir ekki þá get­urðu bara hent henni inn á Viru­sTotal. Þá ertu reyndar að gefa Viru­sTotal afrit af skránni, þannig ef þetta eru ein­hver per­sónu­leg gögn þá mæli ég gegn þessu en ef það er ein­hver að senda þér ein­hverja skrá sem er hvort eð er á net­inu og allir geta séð þá er fínt að henda henni þarna inn og síðan segir þér hvort hún sé laus við vírusa og ef það er vírus í henni þá segir hún þér nákvæm­lega hvernig hann er,“ bendir Guð­mundur á.

Hann segir einnig að á net­inu séu til síður sem kanni hvort í lagi sé að opna hlekki eða ekki, ein slík er síðan urlsc­an.io. Einnig sé hægt að Goog­le-a hlekki til þess að afla upp­lýs­inga um hvað leyn­ist að baki þeim.

Tor­tryggni í sam­skiptum á net­inu

„Svo er það bara gamla góða tor­tryggn­in, í alvöru. Ef ein­hver, meira að segja ein­hver nátengdur þér, nálg­ast þig í gegnum spjall­rásir eða tölvu­póst og biður um meiri­háttar milli­færslu eða eitt­hvað fjár­mála­tengt, þá er fínt að vera tor­trygg­inn, taka upp sím­ann og hringja í við­kom­andi og spyrja ein­fald­lega: „Varstu að biðja um þetta?“,“ segir Guð­mundur Arn­ar. 

Hann segir að svika­póstar séu orðnir „fág­aðri“ en áður. Þýð­ing­ar­tól séu orðin betri og sjálf­virk­ari en áður og nú sé minna mál að laga svika­póst að við­tak­and­an­um. Svika­póst­arnir séu því orðnir mun trú­verð­ugri en áður.

Ekki senda fjár­mála- eða per­sónu­grein­an­legar upp­lýs­ingar

Guð­mundur Arnar mælir sterk­lega gegn því að fólk sendi upp­lýs­ingar sem geta verið not­aðar til að taka út fjár­muni, upp­lýs­ingar á borð við kredit­korta­núm­er. Það sama gildir um per­sónu­grein­an­legar upp­lýs­ingar líkt og myndir af vega­bréfum eða öku­skír­tein­um. Þegar öllu er á botn­inn hvolft snú­ast net­glæpir fyrst og fremst um pen­inga, bendir hann á.

„Það eru nátt­úr­lega allir að reyna að fá þig til að milli­færa pen­inga, allt annað bliknar í sam­an­burði við það. Hitt er auð­kennis­þjófn­að­ur, þar sem er verið að reyna að stela per­sónu­ein­kennum þín­um. Þar er reynt að fá fólk til að taka mynd af kredit­kort­inu sínu eða öku­skír­teini eða vega­bréfi og svo gengur það kaupum og sölum erlendis og getur valdið fólki fullt af vand­ræðum og skaða þar sem glæpir eru fram­kvæmdir í þeirra nafni til að fela slóð. Allt í einu ertu kom­inn á ein­hvern svartan lista ein­hvers staðar og veist ekki einu sinni af því.“

Ef þú þarft nauð­syn­lega að senda slíkar upp­lýs­ingar yfir netið segir Guð­mundur það vera gott ráð að hringja í við­kom­andi til að athuga hvort þú sért ekki örugg­lega að senda upp­lýs­ing­arnar á rétta mann­eskju.