”Det er Peter fra ServiceDesken. Vi har et problem med din bruger-konto. Vi kan hurtigt løse problemet, men det kræver dit password. Kan du lige læse det højt for mig?”. Hvad ville du gøre, hvis du fik et sådan opkald? De fleste ville svare den flinke unge mand. Der med sikkerhed er en forbyder, som får fuld adgang til brugerens konto. Tænkt eksempel? Nej, ikke mere: Moderne internetbanditter finder hele tiden nye teknikker, men de baserer sig alle på, at it-brugerne er lige så lette at fuppe, som de altid har været.

I september skete det, alle havde håbet ikke ville ske: Sikkerheden i NemID blev brudt. Ikke ved hjælp af smarte teknikker, men fordi brugerne er for naive. Ikke bare én men hele otte gange lykkedes det kriminelle bagmænd at få bankkunder til at udlevere deres generelle bruger-id og kodeord til NemID samt den engangskode fra papkortet, der er nødvendig for at kunne overføre penge.

Teknikken er efterhånden velkendt. Sikkerhedsfirmaet CSIS beskriver den således: Man modtager en mail, der ser ud som om den kommer fra eksempelvis Nordea. Her bliver man bedt om at bekræfte sin konto ved at trykke på et link. Ellers bliver den spærret, siger teksten. De frygtsomme, der klikker på linket, bliver mødt af en vellignende side, som endda har et gyldigt sikkerhedscertifikat. Først lokker banditterne det almindelige bruger-id og password fra ofrene. Derefter er den falske hjemmeside således indrettet, at den også narrer nøglekorts-koderne fra ofrene.

Inden de danske ofte havde set sig om, var der overført penge fra deres konto. DanID, som står bag NemID, vil ikke afsløre hvordan selve pengeoverførslen er foregået. Men andre gange er det sket via godtroende personer. Muldyr som de kaldes. De har reageret på annoncer, som lover god løn uden særlig indsats. Jobbet består i at modtage penge i en overførsel, og derefter sende broderparten videre til en udenlandsk konto. Man beholder lidt selv for sin ulejlighed, naturligvis.
Når Politiet banker på døren, og spørger hvad der skete med pengene, er bagmændene bag det generøse tilbud og de udenlandske konti sporløst forsvundet. Men penge-overførslen er ulovlig, og man hænger selv på straffen. Det er ikke kun de direkte ofre, som er naive.

Helt tilbage i 2006 påviste forskere ved Berkeley Universitetet at ”standard sikkerheds indikatorerne [i web-browserne] ikke er effektive for en væsentlig del af brugerne, og vi foreslår, at alternative tilgange er nødvendige”. Siden da, har brugerne fået – lidt – bedre mekanismer til at skelne venlige fra fjendtlige hjemmesider.

Men stadigvæk kræver det, at brugerne anvender disse. Hvad amerikanernes forskning for lang tid siden mere end antydede, de ikke gør. Samtidig har sociale netværk som LinkedIn og Facebook gjort det lettere for banditterne at målrette deres angreb.

Skurkene kan eksempelvis finde ud af, hvem en toplederes medarbejdere er, og hvad de foretager sig lige nu. Derefter kan de sammenstykke en mail eller en telefonbesked, der er så troværdig, at ingen vil undre sig over den. Eksempelvis at ringe til ServiceDesken med denne besked: ”Jeg står nede i Barcelona sammen med , og hans konto virker ikke. Kan du – lige nu – ændre hans password?”

En anden, meget brugt metode, er at sende et helt plausibelt dokument (fx en præsentation til seminaret), som udnytter svagheder på modtagerens pc.

Spear-phishing (engelsk for spydfiskeri) kalder man denne type målrettede angreb. Metoden er så effektiv, at ingen kan føle sig sikre, med mindre man hele tiden tænker sig om. Senest rapporterede magasinet Wired om et ekstremt eksempel: De amerikanske ubemandede drone-fly er alle blevet ramt af en ukendt virus, som optager alle tastetryk og kommandoer. Flyenes elektronik skal helt nulstilles for at få den væk. Selv om dronerne – naturligvis – ikke er forbundet til internettet er der andre digitale smuthuller. Eksempelvis via spændende USB-nøgler eller DVD-skiver.

Derfor er det eneste forsvar mod digitale listetyve sund fornuft (giv eksempelvis ALDRIG dit kodeord til andre) og sunde vaner (brug ALTID opdaterede programmer og brug altid antivirus).

Derfor træner virksomheder, som har meget at tabe ved den slags indbrud, medarbejdernes sunde fornuft. Medicinalvirksomheden Lundbeck træner eksempelvis jævnligt deres medarbejderes reaktion på skumle henvendelser. Af frygt for at miste forretningshemmeligheder, som er milliarder værd. Virksomhedens it-direktør Michael Skånstrøm erkendte for nylig overfor Computerworld, at medarbejdere i sådanne tests ikke altid har handlet som de skulle. Men ”så kan vi jo være glade for, at det var en test”, som han fornuftigt tilføjede.

Lundbecks brugere er sandsynligvis ikke mere uforsigtige end medarbejdere i andre virksomheder. Derfor er der kun én vej tilbage for alle virksomheder, hvor sikkerhed er afgørende: Korrekt reaktion under angreb skal trænes. Igen og igen. For selvom mange it-brugere ikke er idioter, kan de let komme til at gøre noget, som er idiotisk. Både privat og på arbejde.

Bragt som kommentar i Morgenavisen Jyllands-Posten d. 18. oktober 2011