Gå til hovedinnhold
0
Hopp til hovedinnhold

Phiskere, virus, SPAM og crypto-locker-flom over UiA

I løpet av én time – fra 06 til 07 om morgenen den 9. oktober – flommet 20.585 e-poster ned i UiAs store søppelbøtte. Bare 949 meldinger slapp gjennom.

Av Tor Martin Lien

Publisert: 17. oktober 2017

Artikkelen er mer enn to år gammel, og kan inneholde utdatert informasjon.

Sikkerhet Uke-3-pklakat Phishing - stopp - tenk - klikk. (Illustrasjon: Thomas Andersen)

(Illustrasjon: Thomas Andersen)

Tallene sier noe om mengden søppelpost som suser avgårde i cyber-space. Samtidig sier det noe om hvor viktig det er å ha oppdaterte filtre som stanser flommen. Og – noen av de 949 meldingene som slapp gjennom UiA-filtrene den morgenen, var også søppelpost.

Søppelpost og skumle klikk gjør UiA mer for å stoppe – nå slår vi opp paraplyen som heter «Cisco Umbrella». Mer om det senere.

Spam@uia.no

- Så det gjelder å være oppmerksom. Stopp og tenk før du klikker, sier sikkerhetsrådgiver i IT-avdelingen Anette Thorkildsen Osaland.

Skulle du få e-poster som du tror er forsøk på phishing eller har virus eller annet ubehagelig, så kan du videresende meldingen til e-postadressen SPAM@uia.no. Der blir meldingen sjekket, og eventuelt blir spam-filteret oppdatert.

- UiA samarbeider med Universitetet i Oslo om antispam-systemer og oppdateringer av filter, sier teamleder for UiAs datasenter, Helge Høynes.

Grafen viser innkommende e-poster til UiAs hovedserver, og hvor mange som slapp gjennom filterne (grønn strek) og alle som ble filtrert bort (blå strek). (Screenshot: Helge Høynes)

Grafen viser innkommende e-poster til UiAs hovedserver, og hvor mange som slapp gjennom filterne (grønn strek) og alle som ble filtrert bort (blå strek). (Screenshot: Helge Høynes)

- Figuren viser antall meldinger per time – den grønne linjen viser antall meldinger som er levert til mottaker, den blå linjen viser antall meldinger som er avvist på grunn av spam, phishing eller virus – og som derfor ikke er levert til mottaker, sier Høynes.

Phishing-forsøk i dag

På ettermiddagstid 17. oktober fikk undertegnede en phishing-e-post som viser at uansett hvor gode filterne er, så slipper noe gjennom. Flere har meldt samme phishing-forsøk til spam@uia.no.

Dette er ferskvare - den kom i ettermiddag 17. oktober: Ta vekk de røde markeringene - og den ser relativt tilforlatelig ut. Men avsenderadressen (øverste markering) er høyst tvilsom ved nærmere ettersyn, selv om det står Universitetet i Agder og admin.support@uia.no i den. E-postadressen (midterste markering) er satt inn for å øke troverdigheten, det samme er www.uia.no (nederste markering). Når jeg la musepekeren over www.uia.no kom en adresse som startet med yesinc.org opp. Det er en kjent phishing-adresse. Test alltid adresser med å legge musepekeren over, og sjekk oppgitt og funnet adresse. er du i tvil - la være. Stopp - tenk - klikk. (Skjermdump av phishing-e-post)

Dette er ferskvare - den kom i ettermiddag 17. oktober: Ta vekk de røde markeringene - og den ser relativt tilforlatelig ut. Men avsenderadressen (øverste markering) er høyst tvilsom ved nærmere ettersyn, selv om det står Universitetet i Agder og admin.support@uia.no i den. E-postadressen (midterste markering) er satt inn for å øke troverdigheten, det samme er www.uia.no (nederste markering). Når jeg la musepekeren over www.uia.no kom en adresse som startet med yesinc.org opp. Det er en kjent phishing-adresse. Test alltid adresser med å legge musepekeren over, og sjekk oppgitt og funnet adresse. Er du i tvil - la være. Stopp - tenk - klikk.

Outlook formidler advarselen mot adressen (i rød ring) fra nettleseren Chrome. En av UiAs brukere som ikke så tilsvarende advarsel ved en tidligere phishing-sak, men fylte ut og trykket "Sign in", fikk øyeblikkelig en stormflo av "ukjent mottaker"-e-poster som sprengte inn-boksen. Årsaken var at de som hadde sendt phishing-e-posten tok i bruk e-posten til vedkommende i samme øyeblikk for å sende ut phishing-e-poster i et enormt omfang, og for alle mottakerne med stengt e-post sendte postmasteren "ikke funnet"-svar. Som på UiA når noen slutter - etter kort tid blir e-postkontoen stengt og e-postsendere får svar om "ukjent mottaker" fra UiAs postmaster. Men husk: Advarselen forutsetter at Outlook kjenner til at det er en phishing-adresse. Så får du en ukjent e-post: Stopp - tenk - klikk.

Outlook formidler advarselen mot adressen (i rød ring) fra nettleseren Chrome. Alle nettlesere har ikke denne funksjonen, eller den er mindre aktiv. En av UiAs brukere som ikke så tilsvarende advarsel ved en tidligere phishing-sak, men fylte ut og trykket "Sign in", fikk øyeblikkelig en stormflo av "ukjent mottaker"-e-poster som sprengte inn-boksen. Årsaken var at de som hadde sendt phishing-e-posten tok i bruk e-posten til vedkommende i samme øyeblikk for å sende ut phishing-e-poster i et enormt omfang, og for alle mottakerne med stengt e-post sendte postmasteren "ikke funnet"-svar. Som på UiA når noen slutter - etter kort tid blir e-postkontoen stengt og e-postsendere får svar om "ukjent mottaker" fra UiAs postmaster. Men husk: Advarselen forutsetter at Outlook kjenner til at det er en phishing-adresse. Så får du en ukjent e-post: Stopp - tenk - klikk.

Denne advarselen dukket opp på min maskin, fordi Chrome har lagt inn at yesinc.org er en phishing-avsender. Men det kan ta tid før Chrome får advarselen inn i sitt systen, så gjør som alltid: Stopp - tenk - klikk.

Denne advarselen dukket opp på min maskin, fordi Chrome har lagt inn at yesinc.org er en phishing-avsender. Men det kan ta tid før Chrome får advarselen inn i sitt systen, så gjør som alltid: Stopp - tenk - klikk.

UiAs nye system - som nettopp er innført - blokkerer nå yesinc.org etter at teamleder Helge Høynes la inn at dette er en tvilsom adresse. Dette er siden du får opp om du prøver å gå inn på adressen.

UiAs nye system - som nettopp er innført - blokkerer nå yesinc.org etter at teamleder Helge Høynes la inn at dette er en tvilsom adresse. Dette er siden du får opp om du prøver å gå inn på adressen.

Berget fra løsepenge-betaling

I løpet det siste året er det fem på UiA som har blitt lurt av Crypto-locker-virus. Det er fort gjort i et ubetenksomt øyeblikk, selv om det øyeblikket har flere muligheter for stopp – tenk – klikk.

Det er slett ikke sikkert at de som står bak programmet som låser maskinen og forlanger penger for å låse opp, virkelig gjør det når penger er sendt. Så regelen er: Ta kontakt med IT jo før jo heller om du har vært så uheldig at du får låst ned maskinen. Ikke betal!

Men ta forholdsregler. Konsekvensen kan være store, særlig hvis den som får låst ned maskinen ikke har sørget for å lagre filene sine på et sikkert sted – som i UiAs sky-lager. Der har UiA backup av filene – og dermed er det gode muligheter for at maskinen din kan bli renset – nullstilt – og filene dine bli lastet om bord igjen.

En årsak til innføringen av sky-lagring er UiA-folket nå kan hente ned dokumentene og lagre på vanlig måte også når de er langt borte fra UiA og kontoret eller leseplassen.

- Det er kjempeviktig at alle lagrer på riktig sted slik at man har backup av filene. Om man er uheldig og blir utsatt for dette, så gjelder det å gi beskjed så fort som mulig til IT-hjelp, selv om det kan være pinlig. Det er det viktig at vi kommer i gang så fort som mulig med gjenoppretting av filene, sier Helge Høynes.

Phishing – sjekk før du klikker

Eksempel på svindel fra i vinter. Denne fikk temmelig stort omfang. Det er Telenor som blir misbrukt:

Dette ser ut absolutt ut som en Telenor-faktura, ikke sant? (Screenshot: Helge Høynes)

Dette ser ut absolutt ut som en Telenor-faktura, ikke sant? (Screenshot: Helge Høynes)

Hvis du lot musemarkøren hvile over lenken i meldingen, så du at lenken ikke går til www.telenor.no, men til http://tf4.telnor1.net/i80u.php?id=am9ybi5hLmNydWlja3NoYW5rQGFnZGVyZm9yc2tuaW5nLm5v

- som er noe helt annet.

Men når du gjør som du bør - kikker på avsenderadressen før du åpner - så gjør du forhåpentligvis ikke det. (Screenshot: Helge Høynes)

Men når du gjør som du bør - kikker på avsenderadressen før du åpner - så gjør du forhåpentligvis ikke det. (Screenshot: Helge Høynes)

Her er adressen gulet ut – og den oppmerksomme ser at landkoden er .pl – det vil si Polen – og det burde vekke oppmerksomheten. Så derfor: Sjekk alltid avsenderadressen før du åpner.

Hvis du likevel åpnet kom dette bildet opp.

E-faktura - sjekk avsenderadressen! Men ellers ser den helt ekte ut... (Screenshot: Helge Høynes)

E-faktura - sjekk avsenderadressen! Men ellers ser den helt ekte ut... (Screenshot: Helge Høynes)

Hvis du fortsatte ble en zip-fil lastet ned. Startet du innholdet i zip-fila ble filene dine låst og du ble avkrevd løsepenger - såkalt Crypto-locker-virus. Og da var det huttetu!

UiA slår opp paraplyen

«Cisco Umbrella» heter en ny sikkerhetsløsning som UiA nå innfører. Paraplyen hjelper ytterligere mot å bli utsatt for uheldig fangst når man klikker på adresser eller url’er.

Her er IT-sikkerhetsrådgiver Anette Thorkildsen Osalands beskrivelse av UiAs nye paraply:

Dagens utfordring er å sikre oss mot ondsinnet programvare, phishing-angrep og løsepengevirus. Vi er alle avhengig av digitale løsninger og digitaliseringen er i rask vekst. Mange tenker kanskje at cyberkriminalitet ikke er noe som angår dem selv, men det er et faktum at de digitale truslene angår oss alle.

Datakriminelle benytter seg av mer avanserte og sofistikerte metoder enn det vi har sett tidligere og de opererer meget profesjonelt.

De som angriper går gjerne etter det svakeste leddet, nemlig oss mennesker. Det kan derfor være vanskelig å skille mellom hva som er reelt og hva som faktisk er et angrepsforsøk.

Vi forsøker å beskytte datamaskiner med tekniske løsninger, men det viktigste er likevel at vi som brukere viser årvåkenhet. Det handler om å beskytte oss selv ved å oppdage og blokkere truslene før skaden har skjedd. UiA har derfor besluttet å ta i bruk en løsning som hjelper oss med nettopp dette.

Produktet «Cisco Umbrella» er enkelt forklart en løsning der adresser man klikker på blir sjekket mot en stor database. Tilgangen blir sperret dersom det er kjente phishing/malware sider. Dette øker datasikkerheten og gir en bedre beskyttelse for ansatte og studenter ved UiA.

Det er viktig å presisere i denne sammenheng at personvernet er ivaretatt og at loggingen ikke spores tilbake til enkeltindivider.

Cisco Umbrella gir oss:

  • Sikring mot skadelig programvare uten innvirkning på brukervennlighet
  • Redusert antall infeksjoner/vellykkede dataangrep/kryptering av data
  • Raskere respons på hendelser
  • Sikkerhet i dybden – flere lag med sikkerhet

Spørsmål om Umbrella? Henvend deg til IT-hjelp om du lurer på noe.

Sikkerhetsmåned - Rapporter sikerhetsbrudd (Illustrasjon: Thomas Andersen)

(Illustrasjon: Thomas Andersen)

(Illustrasjon: Thomas Andersen)

- Ingen må være redde for å rapportere sikkerhetsbrudd, vi er absolutt ikke ute etter å "ta noen", sier UiAs IT-sikkerhetsrådgiver, Anette Thorkildsen Osaland. ­- Rapportene hjelper oss til å få en oversikt over sikkerhetstilstanden ved UiA, samtidig hjelper det oss i det forebyggende sikkerhetsarbeidet.

Sikkerheten ved UiA er ikke sterkere enn det svakeste leddet. Så da gjelder det å finne det så vi blir stadig sterkere sammen.

- Og der er rapporter om sikkerhetsbrudd et viktig verktøy, sier IT-sikkerhetsrådgiveren.

Sjekk at du følger UiAs IT-reglement som ivaretar informasjonssikkerheten.

Fjernsletting – og fjernlagring

- Alle telefoner med UiA-e-post skal kunne slettes fra Outlook hvis krisa er ute. Men det kan jo ta tid før man oppdager at mobilen er vekk, sier fagsjefen for UiAs datasenter, Helge Høynes.

Skylagring, fjernlagring eller synkroniseringstjenester – en god ting kan ha mange navn. Det er tjenester av typen iCloud, Dropbox, One Drive og andre det handler om. «Skyen» med lagerplass er for øvrig slike datalagringsanlegg som nå blir bygd på Støleheia i Vennesla.

- Uansett er det særdeles nyttig å ha lagret en oppdatert kopi av innholdet i mobilen, nettbrettet eller PC-en om en er så uheldig at enheten forsvinner, sier Høynes.

Ved UiA er One Drive tatt i bruk som skylagringstjeneste, både for brukere av Windows10 og Mac-brukere. Det betyr at PC-en automatisk lagrer innholdet i skyen. Men andre mobile enheter må klargjøres for skylagring – det vil si at de må synkroniseres med skyen.

Les mer om skylagring på Aftenposten.no: (Vær obs på at her kan betingelsene ofte endrer seg.)

Se Telenors nettsted for fjernsletting av mobiler: Slik fjernsletter du mobilen din:

Eller for Apple-produkter: Se iCloud: Slett enheten din:

På den sikre siden - er laget spesielt for sikkerhet i universiteter og høyskoler. Den er helt fersk - åpnet mandag 2. oktober - og er tilgjengelig med mange gode råd og tips.

Sikkerhetsmåneden oktober:

Oktober er sikkerhetsmåneden for alle statlige etater – det vil si at da blir det satt et ekstra søkelys på sikkerhet. Det betyr slett ikke at sikkerhet er noe en skal tenke på i oktober – men denne måneden bør hver enkelt bruke til å innarbeide gode sikkerhetsrutiner i hverdagen. Og de skal praktiseres hver dag hele året.

Nasjonal sikkerhetsmåned arrangeres i år for 7. gang. Kampanjen koordineres av Norsk senter for informasjonssikring (NorSIS), som er en del av regjeringens helhetlige satsing på informasjonssikkerhet i Norge. NorSIS er faglig underlagt Justis- og beredskapsdepartementet.

Andre gode nettsteder for trygghet på nettet:

NorSiS driver Slettmeg.no - med gratis råd– og veiledningstjeneste for deg som føler deg krenket på nett.

Nettvett.no - Informasjon, råd og veiledning om sikrere bruk av Internett og sosiale medier. Gir også veiledning om å sikre mobil og datamaskiner mm.

Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og objektsikkerhet, og er det nasjonale fagmiljøet for IKT-sikkerhet. Direktoratet er nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser.