Börjar med phishing-mejl
Häromveckan fick vi in ett phishing-mejl till en av våra delade brevlådor här på Cuebid. I mejlet förklarades att vi hade blivit hackade och anfallaren hade kommit över allt ”fuffens” vi suttit med under senaste tiden, inklusive bilder från vår servers icke existerande webbkamera.
Mejlet har gått några varv på kontoret och vi är överens om att vi tar risken med att inte betala in Bitcoin summan som vår hacker bett om.
Det som jag finner kanske mest intressant med mejlet är ett Post scriptum.
Råd från en hacker?
”Åh, en sista sak…det är bäst att du inte involverar dig själv i liknande situationer mer i framtiden!
Ett sista råd ifrån mig – ändra alla dina lösenord på alla konton regelbundet. ”
Vi fick alltså lite råd om IT-säkerhet från vår hacker.
På det stora hela var denna attack kanske inte något vi får läsa om i pressen den kommande veckan. Däremot så har phishing ökat markant under de senaste åren och brukar ligga som grund i en klar majoritet av alla intrång och läckor.
Så vad gör vi för att skydda oss? Jag vill såklart inte trampa vår gode hacker på tårna, men det där med att ändra sina lösenord regelbundet är kanske inte ens en bra början.
Starka lösenord – minst 12 tecken!
Ett bra lösenord idag är minst 12 karaktärer långt, slumpmässigt, unikt och bestående av gemener, versaler, siffror och specialtecken. Just längden är folk lite oense om, men om lösenordet är slumpat på riktigt ska 12 tecken, enligt vissa beräkningar, hålla i 3000 år. Detta innebär även att den gamla standarden att byta lösenord ofta inte är så relevant. Bättre ett ”millenielösenord” än att växla mellan Sommar2022! och Vinter2022! några gånger per år.
Vi kan inte hålla alla dessa krångliga lösenord i huvudet och lösenordshanterare är kryckan som håller konceptet lösenord på benen.
Men vad händer när vi faller för ett phishing mejl? Det spelar trots allt ingen roll hur starkt vårt lösenord är om vi berättar vad det är för någon annan.
MFA är svaret
Svaret är MFA eller Flerfaktorsautentisering. Även om du inte känner till begreppet har du säkert använt dig av det otaliga gånger. BankID, Windows Hello, bankkort med pinkod (just denna har försvunnit lite under de senaste åren) och massor av andra exempel de flesta av oss stött på och använder dagligen är skyddade av just MFA.
För att logga in på din bank behöver du något du har (din enhet med BankID installerat), något du vet (din pinkod) och/eller något du är (fingeravtryck). Alltså om någon vill logga in som dig måste de ta reda på vilken bank du har, ta reda på ditt personnummer, sno din telefon, knäcka din telefonpin och knäcka din BankID kod. Allt detta före du märkt att telefonen är borta och avaktiverar BankID på enheten.
Inte så komplicerat för dig, rätt så jobbigt för vår hacker. MFA dyker upp som alternativ på fler och fler platser. Rekommendationen är att använda det där det går, men framför allt på viktiga och länkande tjänster, exempel på dessa är din mejl då den kan användas för att återställa andra konton och sociala medier då de ofta kan användas för Single Sign On (att du t.ex. kan logga in på olika hemsidor med ditt Facebook konto).
Autenticera med MFA bara på eget initiativ
Ingen lösning är perfekt och det krävs att folk lär sig nya tumregler. För lösenord var det ”Dela aldrig ut ditt lösenord”. För MFA kan det vara ”Använd aldrig MFA i en konversation/situation som du inte inlett” alltså använd inte MFA när du blir uppringd av banken eller om du loggar in någonstans via en länk du fått av någon annan.
Summering kring MFA
Så vad är slutklämmen? Att personerna som skickar ut phishingmail inte alltid har de bästa säkerhetstipsen är en sak, men å andra sidan är det kanske något de flesta redan viste. Det viktigaste är att vi måste börja lägga fokus på autentisering. MFA på alla platser det går, lösenordshanterare och Single Sign On där det inte gör det.
– Felix Kullberg