It-kriminelle retter i disse år i stigende grad indsatsen mod den enkelte slutbruger. Redskabet er som oftest en sms eller en e-mail, som udgiver sig for at være andet og komme fra andre, end de i virkeligheden gør.
Men med en enkel og billig national indsats bør vi sammen kunne smække døren i for de it-kriminelle, lyder det i nyt konkret forslag fra Finans Danmark i forbindelse med Tænketanken Ret & Sikkerheds konference ”Truslen fra cyberkriminelle – hvordan forebygger vi den?”
”Vi foreslår, at vi som nation går sammen om at lykkes med den ambition, at falske mails og sms, der giver sig ud for at være fra en anden afsender, ikke når frem til danskernes indbakker. En sådan indsats vil styrke tilliden til hele det digitale Danmark,” siger Ulrik Nødgaard, adm.dir i Finans Danmark
Falske sms’er og mails er desværre en kilde til kriminalitet, hvor det alene handler om at frarøve borgere penge. Problemet med de mange falske sms’er, opkald og e-mails er, at når man klikker på det vedhæftede link eller det vedlagte dokument, bliver man ramt af social engineering (phishing og smishing), såkaldt ransomware, eller anden ondsindet software med kriminelle hensigter.
”I bankerne kender vi desværre alt for godt til angreb på fx netbanker. Her forsøger de kriminelle at lokke brugerne til at udlevere bruger-id, password og koder fra især NemID-nøglekortet. Truslen kommer både fra via e-mail, SMS og telefonopkald, og den er desværre også kraftigt stigende, fortæller Ulrik Nødgaard fra Finans Danmark.
For kigger man på tallene som opsamles af Finans Danmark ser man den hastige stigning gennem hele 2016. Og intet tyder på at angrebene vil stilne af. Tværtimod.
Hvad kan vi gøre?
Allerede i dag har banker og myndigheder fokus på at advare danskerne om denne type angreb. Vi gennemfører opmærksomhedskampagner både sammen og hver for sig. Men hvis vi for alvor skal gøre noget ved problemet, så er det ikke nok at advare om, at fælden er der. Vi skal gøre det meget sværere for de kriminelle at lægge fælden ud.
Foruden traditionelle antispam-filtre, findes der i dag effektive værktøjer til at filtrere de kriminelles falske mails fra – den såkaldte DMARC-teknologi. Værktøjet har vist sig særdeles effektivt i Storbritannien, hvor mere end 100 offentlige domæner benytter sig af det, og hvor det har stoppet over 300 mio. suspekte mails.
Bankerne, Digitaliseringsstyrelsen og Nets har allerede taget en beslutning om at implementere en DMARC-løsning i NemID. Teknologien er ikke nødvendigvis kompleks eller særlig dyr. Det handler først og fremmest om viljen til at etablere denne beskyttelse.
Derfor bør man overveje at stille krav om, at leverandører af samfundskritisk digital infrastruktur som udgangspunkt skal gå efter denne beskyttelse.
Man kunne fx starte med de offentlige myndigheder, der har megen digital borger- og virksomhedskontakt, og med de leverandører, der leverer denne infrastruktur. Ligesom man kunne sætte det som betingelse ved anskaffelse af ny offentlig samfundskritisk digital infrastruktur.
På den måde ville danskerne i større omfang kunne stole på, at de mails, de får fra det offentlige, kommer fra en troværdig afsender.
Og samtidig bør man undersøge mulighederne for et stærkere samarbejde på teleområdet, så vi også der får en løsning, der kan fange suspekte sms-beskeder, så de ikke ukritisk glider gennem telenetværket.