Aron Friðrik Georgsson skrifar:

Þú hefur örugglega fengið tölvupóst með stafsetningarvillum sem segir þér að reikningurinn þinn á samfélagsmiðli sé í hættu staddur. Það eina sem gæti bjargað honum er að þú farir á síðuna og sláir inn notandanafn og lykilorð til þess að tryggja að þú sért eini notandinn. Þetta er auðvitað svindl til að komast yfir lykilorðið þitt.

Svona tilraunir eru kallaðar vefveiðar (e. phishing).Vefveiðar eru til á ýmiss konar formi, t.d. virðast þetta oft við fyrstu sýn vera skilaboð frá bönkum, kortafyrirtækjum eða netþjónustuaðilum. Sumir tölvuþrjótar beita svonefndum  spjótvefveiðum en munurinn liggur í því að þeim er vísvitandi beint að einstaklingum. Þessari aðferð var beitt árið 2014 þegar myndum sem voru geymdar í skýi iCloud þjónustu Apple var stolið. Tölvuþrjótarnir beindu spjótum sínum að frægu fólki, einkum konum, og sendu þeim tölvupóst sem sagði að brotist hefði verið inn á reikning þeirra og með var tengill á svikaútgáfu af iCloud síðunni. Þannig fengu þrjótarnir lykilorð fórnarlambanna í hendur og fullan aðgang að öllum þeim ljósmyndum sem geymdar voru í iCloud skýi þeirra.

Skv. upplýsingum frá netfyrirtækinu Symantec eru um 55% af öllum tölvupósti ruslpóstur og að meðaltali fær fólk 16 svikapósta í mánuði. Stórar póstþjónustur eins og Gmail frá Google hafa komið upp þróuðum síum sem passa að svona póstar hreinlega berist ekki notendum þeirra. Minni póstþjónustur búa ekki yfir sömu tækni og Gmail og því líklegra að þar komist svikapóstar í gegnum síuna.

Besta leiðin til að forðast árás af þessu tagi er að skoða tölvupóstinn vel. Oft er pósturinn sendur frá netfangi sem líkist alvöru sendanda, t.d. support@gnail.com í stað support@gmail.com. Fljótt á litið sér viðtakandi ekkert misjafnt en gott er að lesa tölvupóstinn vel og skoða hvort ítrekaðar stafsetningarvillur eru í honum. Mörg minna þróuð ríki hafa ekki framkvæmdavald eða löggjöf til að eltast við tölvuþrjóta og því þrífst þannig starfssemi þar. Oft er enska ekki fyrsta mál og því slæðast inn stafsetningar- og málvillur hjá þrjótunum. Sérstaklega skal varast tölvupóst þar sem lesandanum er skipað að bregðast strax við, annars fari allt á versta veg. Ef málið væri virkilega alvarlegt væri best að sjá um það í eigin persónu, ekki á vefsíðu.

Önnur góð regla er að opna ekki tengla úr grunsamlegum tölvupósti. Ef fólk er áskrifendur að tiltekinni þjónustu á netinu og fær tölvupóst um að skrá sig inn á tiltekna vefsíðu er góð regla að slá inn rétta vefslóð fremur en að elta tengil í tölvupósti.

Öruggar vefsíður hafa https: í upphafi vefslóðarinnar í stað http:. S-ið stendur fyrir „secure“ og þýðir að allt sem slegið er inn á síðuna er dulkóðað. Öruggar vefsíður hafa fengið vottun frá þriðja aðila um að þessi síða sé virkilega í eigu þess sem segist eiga hana.

Miklu skiptir að fara varlega. Fáir þú tölvupóst sem segir að nú sé þitt síðasta tækifæri til að bjarga bankareikningi skaltu ekki hafa áhyggjur og ekkert gera. Í raunverulegu tilviki myndi bankinn örugglega hringja og biðja þig um að mæta í næsta útibú.

Höfundur er viðskiptafræðingur og ráðgjafi í upplýsingaöryggismálum hjá Stika ehf. aron@stiki.eu

Þessi grein birtist fyrst í Morgunblaðinu 23. feb. 2019