Slik unngår du å bli lurt av GDPR-svindlere

Norsk senter for informasjonssikring (NorSIS) advarer mot meldinger som utgir seg for å være samtykke-forespørsler knyttet til EUs nye personvernregler, GDPR.

I Europa har allerede falske e-poster fra Apple og Airbnb blitt sendt ut i et forsøk på å stjele og selge personopplysninger eller misbruke dem til annen kriminalitet.

– Dette er en ideell anledning for såkalt phishing-svindel, som vi må være ekstra oppmerksomme på nå om dagen, sier seniorrådgiver og datasikkerhetsekspert hos NorSIS, Hans Marius Tessem.

 

Virksomhet med færre enn 20 ansatte? Bestill gratis sikkerhetsopplæring her

 

Perfekt anledning for kriminelle

25. mai ble EUs nye personvernforordning innført i EU. I Norge blir de nye reglene innført tidligst i juli i år. I dette regelverket stilles det nye og strengere krav til at virksomheter trenger samtykke for å lagre og bruke personopplysningene dine. De mange e-postene er et spørsmål om et slikt samtykke.

– Fra en kriminells ståsted er dette en perfekt anledning til å bedrive phishing. I både Apple- og Airbnb-tilfellene har brukeren blitt bedt om å oppgi personlig informasjon. Det høres nokså tilforlatelig ut for mange i disse GDPR-tider, med alt pratet om samtykke og fokus på personopplysninger, sier NorSIS’ datasikkerhetsekspert.

 

Slik blir du lurt

Apple-svindelen ble de nye personvernforordningene brukt som grunn til at mottakere av e-posten burde oppdatere sin Apple-profil. Brukerne la igjen sin nåværende Apple-ID, kredittkortinformasjon og lignende. Dette kan senere utnyttes av de kriminelle. Airbnb-svindelen var også en e-post med forespørsel om oppdatering av den personlige informasjonen til brukerne av tjenesten.

 

Advarer mot å bidra med mer data

Ifølge Tessem er det imidlertid ytterst sjelden at disse e-postene om samtykke ber om ny informasjon om deg som privatperson.

– Hele poenget med GDPR er å minimere datainnsamlingen. Det betyr at du vil få spørsmål om å bekrefte bruk av data som virksomhetene allerede har om deg, ikke at de ber om ny informasjon. Får du e-poster med slike forespørsler, bør varsellampene lyse.

 

Økning i phishing-angrep i Norge

Ifølge Finanstilsynets ferske rapport Risiko- og sårbarhetsanalysen 2017 observerer norske virksomheter en stadig økning i phishing-angrep. En ny rapport fra FBI omtaler phishing som en av de tre vanligste formene for datakriminalitet.

I samarbeid med blant andre Nasjonal sikkerhetsmyndighet arrangerer NorSIS til høsten Nasjonal sikkerhetsmåned. Et av hovedtemaene er de stadig vanligere angrepene mot norske virksomheter via falske e-poster.

 

Norske virksomheter kan spare enorme beløp

I forbindelse med Nasjonal sikkerhetsmåned lanserer NorSIS i samarbeid med en rekke private og offentlige instanser et opplæringsprogram som skal minimere risikoen for potensielt svært dyre angrep mot norske virksomheter.

– Har du et system som fanger opp den falske e-posten eller medarbeidere som greier å se tegnene på at den er falsk, vil antall cyberangrep bli dramatisk redusert, sier Tessem. – Det er faktisk ofte langt lettere enn det høres ut å luke ut de potensielt svært skadelige e-postene. Nå må virksomhetene ta dette økende problemet på alvor og lære opp sine ansatte.

 

Lite bekymret for e-postsvindel

Ifølge den store og delvis offentlig finansierte NorSIS-rapporten The Norwegian Cyber Security Culture, er bare en av fem nordmenn bekymret og knytter risiko til bruk av e-post.

Mer enn halvparten av de drøyt 8000 nordmennene som ble intervjuet om risikooppfatningen ved forskjellige nettaktiviteter, var ikke bekymret i det hele tatt for risiko ved e-postbruk.

 

Slik avslører du falsk e-post

  • Sjekk avsender i e-posten – er adressen feilstavet?
  • Mange falske e-poster oppgir ikke det fullstendige navnet ditt, men bruker «kjære kunde» eller lignende.
  • Avsendere av falske e-poster vil gjerne ha deg til å gjøre noe umiddelbart. Vær derfor skeptisk dersom du får en slik e-post.
  • E-postsvindlere spiller gjerne på følelser som grådighet, lyst, frykt eller sosial samvittighet. Vær derfor ekstra varsom med denne typen e-poster.
  • Husk at det ikke er det å åpne en e-post som infiserer datamaskinen din. Det skjer først når du klikker på en lenke i e-posten og foretar deg noe mer, som å takke ja til å laste ned et program eller oppgi sensitiv informasjon.
  • Hvis du får beskjed om å oppdatere personopplysninger eller oppgi andre sensitive data per e-post – ikke gjør det! Ingen seriøse virksomheter vil be deg om dette via e-post.
  • Sjekk hvor lenken i e-posten tar deg. Ved å holde musepekeren over lenken, kommer webadressen opp.
  • Ikke klikk på lenker i en e-post for å logge deg på kontoer. Skriv heller inn adressen i nettleseren din.

Bestill sikkerhetsopplæring fra NorSIS her.

 

Les også:

Nettvett.no: Verdt å vite om personvern

Datatilsynet: De fem vanligste personvernfeilene bedrifter må unngå

Publisert: 7. juni 2018

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.