Så enkelt fikk eksperten tilgang til Benedictes kontoer
Vi tok med oss en etisk hacker hjem til Benedicte Hustad og ba ham om å angripe kontoene hennes. Heldigvis kan du enkelt sikre deg mot digitale kjeltringer.
Vi tok med oss en etisk hacker hjem til Benedicte Hustad og ba ham om å angripe kontoene hennes. Heldigvis kan du enkelt sikre deg mot digitale kjeltringer.
Hvor viktig er egentlig kontoene dine for deg? Har du tenkt over hva som skjer om noen tar kontroll over e-posten din, Instagram-kontoen eller noe annet du bruker hver eneste dag?
For å vise hvor sårbare mange av oss er, tok vi med oss den etiske hackeren Juan J. Güelfo hjem til Benedicte Hustad. Vi ba ham om å bruke de samme teknikkene som de kriminelle bruker for å ta kontroll over kontoer. Da tok det ikke lang tid før han hadde kontroll over hele det digitale livet hennes.
Juan driver selskapet Encripto AS, og jobber til vanlig med å teste sikkerheten hos bedrifter. Da er ofte sikkerhetsmekanismene flere, men mange av teknikkene er akkurat de samme som blir brukt mot privatpersoner.
– Jeg har et ganske avslappet forhold til digital sikkerhet, men jeg vet jo at det er mulig å bli lurt, sier Benedicte.
Hun er en typisk bruker, og er mest redd for å miste tilgangen til Instagram-kontoen sin.
– Det hadde faktisk vært litt krise, sier hun.
Det første Juan gjør når han skal prøve å skaffe seg tilgang til en konto, er å se om brukernavn og passord har blitt lekket på nettet fra før.
– En tjeneste som Firefox Monitor lar deg søke opp hvilken som helst mailadresse og se om den er funnet i noen kjente datalekkasjer. Det kan være lurt å sjekke seg selv her fra tid til annen, sier han.
Heldigvis for Benedictes del er ikke innloggingsinformasjonen hennes lekket, men det stopper ikke Juan. Noen tastetrykk senere dukker det opp en SMS på telefonen til Benedicte som tilsynelatende er fra Facebook.
– Her står det at jeg må bekrefte kontoen min. Jeg er nok litt mer skeptisk nå som jeg har en hacker i stua, men det ser jo ganske troverdig ut. Det er ikke utenkelig at jeg hadde latt meg lure av denne hvis jeg satt på bussen, sier Benedicte.
Når hun klikker på lenken i SMS-en kommer hun rett inn på en side som er en blåkopi av Facebook. Det eneste som skiller den er en liten forskjell i nettadressen – som kan være vanskelig å oppdage.
Når Benedicte har fylt inn brukernavn og passord får hun en melding hvor det står “Takk for bekreftelsen!” og den klassiske Facebook-tommelen.
– Jeg føler meg egentlig ikke lurt i det hele tatt nå. Alt ser veldig ekte ut, sier hun.
Tofaktor-innlogging, tofaktor-autentisering eller 2FA er en sikkerhetsmekanisme for de digitale tjenestene dine. Det gjør at du må godkjenne nye enheter som logger inn med brukernavn og passord.
Som regel bruker du telefonen din til å godkjenne. Det kan enten gjøres med en egen app (som Google Authenticator) eller ved å få en kode på SMS.
Du bruker sannsynligvis allerede tofaktor på minst én tjeneste: Nettbanken. Her må du godkjenne innlogginger med BankID på mobil eller kodebrikke – i tillegg til brukernavn og passord.
Men lurt har hun definitivt blitt. For selv om siden ser helt lik ut, går ikke innloggingsinformasjonen til Facebook. Den går rett i fanget på Juan.
Da kan han enkelt og greit logge inn på Facebook-kontoen hennes – og styre den som han vil.
– Nå kan vi også prøve det samme brukernavnet og passordet på andre tjenester, for veldig mange bruker det samme passordet overalt, sier den erfarne sikkerhetseksperten.
Og Benedicte er ikke noe unntak her. Når Juan prøver å logge seg inn på mailen hennes, får han tilgang med én gang.
– Dette gikk jo veldig bra for Juan – og veldig dårlig for meg, ler hun idet sikkerhetsekspert Roy André Tungland Knudsen fra ice kommer inn i rommet.
De aller fleste tjenester hvor det er viktig at andre ikke får tilgang (sosiale medier, epost, skylagring og lignende) støtter tofaktor-innlogging.
Det må aktiveres i innstillingene på de ulike tjenestene. Her velger du også om du vil bruke en egen app (for eksempel Google Authenticator) eller SMS.
Hvis du velger SMS og har registrert telefonnummeret ditt hos tjenesten fra før, er det ikke mer du trenger å gjøre. Da vil du få en SMS og beskjed om å skrive inn en engangskode neste gang du logger inn. Da er det bare å taste inn tallrekken du fikk på melding for å logge inn.
Hvis du vil bruke en app, må du først laste den ned. Deretter velger du “Godkjenning med app” eller tilsvarende i innstillingene hos for eksempel Facebook. Da får du en egen tallkode som du må lime inn i appen du akkurat lastet ned. Når du har gjort dette, er appen og Facebook koblet sammen slik at du kan godkjenne nye innlogginger.
Benedicte er ikke alene om å la seg lure av frekke svindlere som prøver å få tak i brukernavn og passord.
– Dessverre blir de stadig flinkere, så det blir vanskeligere og vanskeligere å skille svindel fra det som er reelle e-poster og SMS-er, sier Roy.
Heldigvis finnes det en enkel måte å beskytte seg mot disse angrepene på.
– Hvis du aktiverer tofaktor-innlogging på de viktige tjenestene dine, sørger du for at svindlerne ikke kommer inn med bare brukernavn og passord, forklarer eksperten til Benedicte.
I løpet av to minutter har han aktivert tofaktor-innlogging på både Facebook-kontoen og e-posten til Benedicte – og ber Juan om å prøve å logge inn på nytt.
– Nå går det ikke. Jeg får beskjed om å skrive inn en kode, sier Juan når han prøver.
I tillegg sørger Roy for at Benedicte lager et nytt og sikkert passord på tjenestene sine.
– Hvis du har mistanke om at noen har fått tak i passordet ditt, så er det alltid lurt å bytte – selv om du har tofaktor-innlogging aktivert, avslutter han.