Ålandstidningen kontaktade Kim Halavakoski, cybersäkerhetsexpert, för att djupdyka i privat cybersäkerhet.
Vad jobbar du med?
– Allt mellan himmel och jord så länge det berör cybersäkerhet på något sätt.
Halavakoski berättar att den största faran för en privatperson överlag är nätfiske, så kallad ”phishing”.
– Det största hotet är nog att man blir lurad på något sätt. Du får ett mejl, chattmeddelande eller sms som erbjuder något relevant eller intressant. Det kan handla om ett meddelanden från posten om något paket eller ett erbjudande som låter för bra för att vara sant.
– Du väljer att tro på det och går in och klickar på en länk, öppnar en bilaga eller bara gör något som leder till att bedragaren får tillgång till dina personliga uppgifter, kreditkort, lösenord eller liknande.
Mejl av dessa slag kan variera i trovärdighet och kvalitet. Vissa fastnar direkt i ditt skräppostfilter, andra inte. Det kan i nuläget också dyka upp som meddelanden på sociala medier – kanske ett meddelande på Facebook om någon som vill ge dig en gåva, eller att du vunnit ett pris.
– Dessa typer av meddelanden skickas stup i kvarten av angripare, vi har alla säkert fått dem i våra mejlkorgar och chattar. Risken är att man inte är medveten om dessa typer av attacker om faller för dem.
Bedragarna blir allt mer trovärdiga
Halavakoski menar att man i många fall kan se att det är något fuffens på gång, men att metoderna börjar bli allt mer sofistikerade.
– Ofta kan det komma mejl eller meddelanden från något som ser ut som ett trovärdigt bolag. Dessa mejl har med tiden blivit alltmer trovärdiga och svårare att identifiera då de är välgjorda och använder i dag ofta bra språklig svenska eller finska.
Du kanske har beställt något på internet och får ett mejl från posten, DHL eller annan leverantörstjänst där det står ”klicka här”. Om du inte tänker efter kan du råka ladda ner ett virus genom att klicka.
– Du kan också hamna på en sida där bedragarna begär dina uppgifter: ”hej ditt paket har kommit, du behöver bara betala en liten summa”.
Om du tror på det och fyller i dina kortuppgifter har du lämnat all kontroll över ditt kreditkort till bedragaren.
Hur skyddar man sig mot detta?
– På en övergripande nivå gäller det att använda sunt förnuft. Klicka inte på e-post som säger något som verkar för bra för att vara sant. Kolla alltid källorna och lita inte på länkar som kommer via mejl. Gå i stället in på ursprungskällan, till exempel postens egna hemsidor och klicka fram spårningslänkar för paket via dessa, i stället för att klicka på länkar i mejl.
Bedragarna konstruerar ofta fejklänkar som ska se ut som och efterlikna riktiga länkar. Webbadressen kanske innehåller postens eller bankens namn, men är trots detta inte den riktiga – även om det liknar på det.
– Ha som vana att dubbelkolla. Om du får ett mejl av någon bekant som verkar lite skumt: ring upp och fråga ”Hej, vad är det här mejlet du skickade mig nyss”.
En guide till säkra lösenord
• Ha alltid olika lösenord. Det händer att sidor blir attackerade och uppgifterna läcker. Ifall du har samma lösenord på flera hemsidor kan en läcka innebära att alla konton med samma lösenord blir hackade.
• Skapa lösenord av hög kvalitet, minst åtta tecken, helst över tjugo tecken.
• Använd en lösenordshanterare som 1Password eller Lastpass. Då kan du spara alla lösenord på samma ställe och du kan generera säkra och automatiska lösenord som kan vara hur långa som helst. Detta gör det enkelt att ha olika lösenord på olika hemsidor: det enda du behöver komma ihåg är lösenordet till själva lösenordshanteraren. Halavakoski rekommenderar detta både för privatpersoner och företag.
• Aktivera fler-steg-verifiering där det är möjligt. Det kan innebära att du till exempel behöver komplettera lösenordet med en kod du får via SMS när du loggar in på en ny enhet.
• Om man absolut inte vill använda en lösenordshanterare och envisas med att vilja hitta på dem själv: använd helst inte några ord som finns i ordlistan, blanda stora och små bokstäver, siffror och specialtecken och kombinera olika ord. Sommarblomma kan bli SommaR-blommA_augusti#2022. Då är det mycket bättre lösenord än bara ”augusti” eller ”sommarblomma”.
• Du kan kolla huruvida din egen e-post har varit med på en stulen lista via hemsidan: https://haveibeenpwned.com.
Håll din utrustning uppdaterad
– Se till att uppdatera operativsystemet på datorer, mobiler och programvara på annan elektronik. Uppdaterar också de applikationer du använder. Via buggar som finns kan angripare ta sig in på din dator.
Uppdateringarnas syfte är alltså att täcka igen säkerhetshål som utvecklarna av produkterna upptäcker.
– Många lämnar sin dator ouppdaterad, man kanske inte förstår sig på en dator eller inte förstår hur viktigt det är. Det är oftast bara att klicka på en knapp och sedan vänta på att datorn startar om. Sånt får man gärna göra.
Antivirusprogram då. Är det bra att ha?
– Det ger inte fullt skydd, men det är ett bra grundskydd för datorn.
Vad är en VPN-tjänst?
– VPN är en så kallad krypterad förbindelse – via den kan man koppla upp sig till en specifik server som maskerar din data. Din trafik, från din dator till servern blir då krypterad, och på ett sätt skyddar det din trafik från att bli avlyssnad.
På Åland är det vanligaste användningsområdet av VPN-verktyg dock att komma åt videotjänster som har geografiska blockeringar. Genom en VPN så kan det se ut som att du surfar i Sverige, och på så vis kan du komma åt svenska tv-kanaler.
Hur farligt är det att logga in på hemsidor via offentliga nätverk?
– Här kommer VPN-frågan in igen. En VPN-uppkoppling skyddar normalt inte om du sitter hemma. Men, om du är på Viking Lines eller Eckerölinjens offentliga wifi kan det spela roll. I det skedet är din data inte krypterad när den går ut på nätverket.
När din data är okrypterad innebär det att angripare kan avlyssna det offentliga nätverket och följa det du gör på din dator – och de uppgifter du anger. De flesta seriösa webbsidor har dock en egen kryptering och säkerhet. Dessa kan du identifiera genom en webbadress som inleds med ”https”. Till exempel banker, sociala medier och myndighetstjänster är alla färdigt krypterade.
– De tjänster som inte kör krypterat innebär då att användarnamn och lösenord går i klartext över nätverket – och folk som avlyssnar det kan då se dina uppgifter och göra något fuffens. Om man vill skydda sig lite kan en VPN vara bra, men det beror på vilka tjänster du använder.
Ifall olyckan är framme: vad gör man då?
– Det beror på vad du har gjort. Vad är det för uppgifter du har lämnat ut? Ifall det är kreditkortsuppgifter behöver du kontakta banken och spärra kortet. Har du gett andra uppgifter som e-post kan du inte göra så mycket mera. Så fort det handlar om en tjänst med e-post eller användarnamn och lösenord behöver du byta lösenord på den tjänsten så snabbt som möjligt, för att hindra att de som stulit ditt lösenord ska komma åt tjänsten
Halavakoski lyfter att det ofta blir allt mer komplicerat om man råkat få virus installerat på sin dator. Han rekommenderar då att ta kontakt med en lokal it-tjänstleverantör.
Avslutningsvis är en bra lösenordshantering A och O för en trygg internetnärvaro.
– När jag håller utbildningar om cybersäkerhet brukar jag som exempel lyfta en del åländska lösenord. Om man vet var man ska söka kan man publikt ladda ner långa listor på användarnamn och lösenord som hackers stulit. Största delen av de knäckta åländska lösenorden är inte så bra. Exempel på dåliga lösenord är "sommarblomma" eller "ålandbäst". De lösenorden är inte så svåra att knäcka om man vill det.
