– De fleste vil la seg lure, sier Vidar Sandland i Norsk sikkerhetsmyndighet (Norsis) om et nytt og utbredt svindelforsøk der Dropbox spiller en viktig rolle.
Med stadig mer sofistikerte phishing-forsøk, er verken opplæring av brukerne eller sikkerhetsmekanismer i egen e-post nok.
– Det finnes ikke lenger noen unnskyldning for ikke å sette på totrinnsverifisering, sier Sandland.
Ikke god nok kompetanse i IT-sikkerhet
I undersøkelsen IT i praksis måler rådgivningsselskapet Rambøll utviklingen innen en rekke IT-temaer, deriblant sikkerhet. Undersøkelsen går ut til ansvarlige for IT og digitalisering i hele offentlig sektor.
– Enhver kjede har et svakt ledd, og her har vi nok funnet det, sier Lars van Marion i Rambøll om undersøkelsen.
Selv om 73 prosent av virksomhetene svarer de har god oversikt over sikkerheten i IT-systemene sine, er det kun 37 prosent som bekrefter at de har tilstrekkelig kompetanse om IT-sikkerhet blant sine ansatte. Det tyder på en potensielt stor sårbarhet knyttet til den menneskelige faktoren, mener van Marion.
Også Tekna mener kompetansen på cybersikkerhet må økes kraftig.
Men høyere kompetanse hos brukerne er ikke lenger nok. Norsis advarer nå mot et svært sofistikert svindelforsøk der Dropbox misbrukes til å få kontroll over Microsoft-kontoer.
Lett å gå på limpinnen
Ved å skaffe seg kontroll over en e-postadresse, har svindlerne fått tak i allerede etablerte kontakter som de deler et pdf-dokument med via Dropbox.
Påloggingen til Dropbox skjer på vanlig måte. Når mottakeren åpner pdf-dokumentet, får han beskjed om å logge på sin egen Microsoft-konto.
Svindlerne er altså ikke interessert i Dropbox-kontoen, men i å komme inn på arbeidsnettet ditt.
Sikkerhetsmekanismene du har på plass i e-post-systemet, kommer ikke til å plukke opp dette. E-posten kommer som en helt ordinær melding om et delt dokument fra Dropbox.
Dette, sammen med en smart feilmelding om at passordet er feil, gjør forsøket spesielt vanskelig å avsløre.
Tidligere har Norsis anbefalt å bruke såkalt tullepålogging for å avsløre phishing-forsøk. Kommer du til en påloggingsside du mistenker ikke er riktig, prøv et tulle-passord. Kommer du likevel inn, kan du være sikker på at dette er svindel.
Men i denne varianten får brukeren en feilmelding om feil passord. Bruker risikerer dermed å gi fra seg ikke bare ett, men en rekke passord før han oppdager svindelen.
Store økonomiske konsekvenser
– Har svindlerne først fått tilgang til en e-postkonto, er det egentlig bare fantasien som setter grenser for hva de kan gjøre av skade, skriver Norsis i en pressemelding.
Når svindlerne har fått tilgang til en e-postkonto i en bedrift, kan de spre løsepengevirus eller spionprogramvare i bedriften.
Svindlerne kan i det stille endre kontonummer i månedlige fakturaer eller sende overbevisende, falske fakturaer. Norsis kjenner til virksomheter som på den måten har blitt fralurt hundretusenvis av kroner.
Totrinnspålogging eneste sikring
– Brukernavn og passord vil komme på avveie, du vet bare ikke når, sier Sandland.
Har du ikke satt på totrinnsverifisering, er det bare et spørsmål om tid før svindlere har kontroll i nettverket ditt, forklarer Sandmel.
Ifølge Norsis oppgir 53 prosent av nordmenn at de bruker totrinnspålogging på alle kontoer det er mulig å bruke det.
Fortsatt er det ikke uvanlig med manglende totrinnsverifisering på norske arbeidsplasser.
Angrep av denne typen vil ikke bare ramme deg selv, men spre seg til kollegaer, kunder og leverandører, forklarer Sandland.
– Det viser hvor viktig det er med totrinnspålogging på alle kontoer, både i sosiale medier, på e-post og alle andre steder hvor det er mulig, sier Sandland.
Microsoft går rettens vei i kampen mot ny svindeltrend