Fra lommetyv til IT-kriminel

IT-kriminalitet er en voksende industri, som i 2018 er estimeret til at få en omsætning på 1,5 billioner dollars. Hvis vi vil undgå at bidrage til denne omsætning, bliver vi nødt til at holde os opdateret på hvordan denne industri udvikler sig. Dette inkluderer selvfølgelig de tekniske aspekter af IT-sikkerhed, men også at forstå, hvem der står bag truslen. I denne blogpost vil vi undersøge denne trussel og hvem bagmændene er.


Den klassiske stereotyp om den isolerede hårdkogte hacker, som vi kender fra film, passer ikke længere, hvis den nogensinde har, på nutidens IT-kriminelle. Det er blevet muligt for enhver med en smule teknisk snilde at blive en del af den voksende industri, hvilket er en stor faktor i industriens vækst. Disse kriminelle betaler for services, der gør det muligt for dem at køre f.eks. phishing- eller ransomware-kampagner, som de ellers ikke ville have den tekniske kunnen til at eksekvere.


Den lette adgang til disse services er en af grundene til at mange småkriminelle, som før beskæftigede sig med f.eks. lommetyveri, er skiftet til IT-kriminalitet. IT-kriminalitet appellerer til disse mennesker på grund af at det er:

  • Nemt 

  • Lukrativt 

  • Relativt risikofrit


Desværre er det nemlig sådan at IT-kriminelle meget sjældent bliver fanget eller dømt, selvom at de svindler for store mængder penge. På samme tid kan den kriminelle også undgå at se deres ofre i øjnene, hvilket gør det lettere på samvittigheden. Det er altså ikke hårdkogte hackere, men  simple forbrydere, som vil tjene hurtige penge. Denne type IT-kriminel bruger oftest en af tre metoder:

  • Phishing
     

  • Passwordtyveri 

  • Ransomware


Langt de fleste af disse IT-kriminelles forsøg på svindel kan undgås, så længe man forholder sig skeptisk overfor det man møder i det digitale, og man holder sig opdateret på truslernes udvikling. Dette skaber et behov for kontinuerlig træning, som også derfor er et krav i personforordningen, og det kan f.eks. opnås igennem awareness-træning.


Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.  

 

Malware anno 2018

Malware kom igen i fokus i 2017 da over 200.000 systemer blev inficeret med det effektive ransomware WannaCry. Det er estimeret at angrebet kostede de inficerede over 100 millioner dollars, og fastlåste flere store institutioner og firmaer. Dette angreb blev et eksempel på, hvordan malware udvikler sig, og hvor vigtigt det er, at vi holder os opdaterede på aktuelle trusler indenfor IT-sikkerhed.  


I sidste blogpost havde vi fokus på den største aktuelle trussel indenfor IT-sikkerhed: Phishing. I denne blogpost vil vi fokusere på en af de potentielle konsekvenser phishing kan have: Malware. Begrebet malware over en bred vifte af skadelige typer software. Et par eksempler på dette er ransomware, adware og spyware. 


Det er ikke længere kun hardcore IT-kriminelle, som har adgang til malware, men nu også småkriminelle ved hjælp af programmer som Cerber. Cerber er et eksempel på programmer man kalder ”Ransomware as a Service” (RaaS), der gør det let for enhver at sende ransomware-angreb afsted. RaaS har gjort at mængden af ransomware er steget støt, hvilket gør det vigtigt, at jeres medarbejdere er opmærksomme på de få der kommer igennem jeres antivirusprogrammer.  


Det er ikke kun computere der er i fare, men også smartphones. Mængden af malware på Google Play fordoblede i 2017 og man bliver derfor også nødt til at være kritisk overfor hvilke apps, man downloader til sin telefon. Generelt har Mac-computere og iPhones været mindre udsatte i forhold til Malware. I 2017 så man dog en stigning i forsøg på at inficere disse systemer, men antallet af reelle Malware angreb var stadig færre end på Windows-systemer.  

Der er altså intet der tyder på at malware fremadrettet bliver et mindre problem, så hvordan beskytter vi os imod det? Her kommer fem huskeregler jeres medarbejdere kan bruge til at undgå malware: 

  • Brug et antivirusprogram på alt IT-udstyr, der tillader det.  

  • Hent eller åbn aldrig filer fra folk, du ikke kender eller har tiltro til.
     
     

  • Indlæs aldrig CD’er eller USB-nøgler, som du ikke ved, hvor kommer fra.  

  • Hold alle dine systemer og programmer opdateret på smartphone, computer og andet IT-udstyr.  

  • Vær varsom med at klikke på pop-ups, reklamer, tilbud, konkurrencer og lignende.  

Huskeregler som disse kan hjælpe med at undgå langt størstedelen af malware, men som man så med WannaCry udvikler truslen sig. Dette gør det nødvendigt, at vi kontinuerligt holder alle dele af vores IT-sikkerhed opdateret. Sikker IT involverer selvfølgelig at have styr på de tekniske aspekter af IT-sikkerheden, men medarbejdernes viden er mindst lige så vigtigt, da det kun kræver at én medarbejder falder i fælden, for at konsekvenserne mærkes.
 

  

Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.  

Se her for mere information omkring vores awareness-træning.