torsdag den 27. december 2018

Myndigheders anmodninger om udlevering af brugerdata fra store IT-selskaber

I min bog er der et længere kapitel om digitalt selvforsvar. Her kan du finde oplysninger om, hvad de store IT-selskaber som Apple, Microsoft, Google og Facebook gemmer af personlige oplysninger om dig. Det vil måske forskrække dig, hvor meget de egentligt ved om dig. 

De har dine brugerkontooplysninger, som identificerer dine elektroniske internetkapable apparater, dit navn, adresse, e-mailadresse, login-tidspunkter med registrering af IP-adressen, backup af dine fotos, e-mails, kontaktpersoner, adgangskoder til både internettjenester og trådløse netværk og lokationsdata over hvor du har været.  

Du kan også i bogen finde oplysninger om, hvordan du minimerer denne indsamling af oplysninger, og hvordan du kan anonymisere dig på nettet.

Politi- og efterretningsmyndigheder verden over kan have brug for at få brugerkontooplysninger fra e-mailtjenester og styresystemleverandører. I en årrække har Apple, Microsoft, Google og Facebook leveret sådanne oplysninger på anmodning. I de fleste tilfælde giver disse selskaber oplysningerne videre.

Anmodninger fra politimyndigheder

To gange om året publiceres antallet af juridiske anmodninger om kundedata, som disse selskaber modtager fra politimyndigheder verden over. Mens disse rapporter kun dækker politimyndighedernes anmodninger, følger selskaberne de samme principper for at reagere på (efterretnings)myndigheders anmodninger om kundedata.

Anmodninger om kundedata

Myndighedernes anmodninger om kundedata skal opfylde gældende amerikanske love. En stævning eller tilsvarende i det pågældende land kan anmode om ikke-indholdsdata, og en retskendelse, ransagningskendelse eller tilsvarende kræves for indholdsdata.

Ikke-indholdsdata er navn, adresse, e-mailadresse, ip-adresse, enhedsoplysninger, registreringsoplysninger om Google- eller YouTube-konti samt tidligere login-IP-adresser og tilknyttede tidsstempler. Indholdsdata kan være e-mails, iCloud/Google Drev-indhold såsom lagrede fotos, backupper, kontakter og kalenderdata. Det kan også være lokationsdata, søgninger, og hvad du klikkede på.

Selskaberne kræver ofte, at en udenlandsk stats henvendelse skal ske via en amerikansk domstol. Selskaberne forbeholder sig desuden ret til at kræve dokumentation for kravet, og at det ikke er for bredt. En grund til at afvise et krav kan være, at selskabet ikke har oplysninger om en brugerkonto, eller at det ikke er dokumenteret godt nok. 

En grund til, at selskaberne udleverer oplysninger om brugerne til myndigheder over hele verden, er bl.a. for at forhindre, at disse installerer bagdøre og andre former for malware i IT-firmaernes datacentre til at udtrække data om personer, de efterforsker. Så hellere gøre det frivilligt. 

Du kan læse hvert selskabs egen såkaldte transparensrapport om disse anmodninger fra politimyndigheder her:

Antallet af anmodninger fra hele verden i perioden januar til juni 2018

I rapporterne fra de tre selskaber oplyses tal for både hele verden, regioner og enkeltlande. Du kan herunder se tallene for antallet af anmodninger fra hele verden til selskaberne.

Selskab
Antal anmodninger
Antal brugerkonti
Godkendte anmodninger
Apple
32.342
163.823
80 %
Microsoft
23.222
46.488
84 %
Google
57.868
126.581
67 %
Facebook
69.000
115.000
74 %
I alt:
182.432
451.892
74 %


Antallet af anmodninger fra Danmark i perioden januar til juni 2018

Her ser du kun tallene for Danmark.

Selskab
Antal anmodninger
Antal brugerkonti
Godkendte anmodninger
Apple
84
133
82 %
Microsoft
48
72
73 %
Google
28
27
29 %
Facebook
52
87
60 %
I alt:
212
319
68 %


Få mere at vide

Du kan læse mere om emnet Digitalt Selvforsvar i bogen ”Bliv sikker på nettet”:

Side 409-430: Digitalt selvforsvar
Side 411: Anonymisering af søgninger på nettet
Side 412-415: Brugervenlighed, dit privatliv og store it-firmaers dataindsamling
Side 420-421: Midler til digitalt selvforsvar
Side 423-424: VPN – Virtual Private Network – slør hvem og hvor du er

Med venlig hilsen

Lars Laursen, forfatter til bogen ”Bliv sikker på nettet”.

onsdag den 19. december 2018

Regeringens brug af den nye databeskyttelseslov - er friheden truet?

Hvordan benyttes den nye persondataforordning egentligt af den danske regering? Foto: Colourbox.
Et frihedselskende Danmark er under pres. Skal regeringen blot stå for at fastlægge de overordnede rammer for borgere og virksomheder eller skal den også medvirke til total- og mikrostyring af samfundet? Skal myndighederne være Big Brother, som det kendes fra den britiske forfatter George Orwells dystopi ”1984” om overvågningssamfundet, der er skrevet i 1949?

Hvis du er af lidt ældre årgang, husker du måske den debat, der har været i tidens løb om myndigheders samkøring af registre. Det blev forsvaret med, at så kunne man fange de sociale bedragere, der modtog ydelser fra stat og kommune uden at være berettiget til det. Efter at debatten havde kørt på sit højeste i presse og tv, blev man forsigtig med samkøringer.

Lad os lige se på om myndigheder har ret til registersamkøringer ifølge den nye persondataforordning - også kaldet GDPR - Eus General Data Protection Regulation. Idéen med denne lov er at beskytte personers personlige data mod salg og udnyttelse, ud over hvad der er legitimt samt at sikre regler for udveksling af disse data.

I denne databeskyttelseslov står der:
§ 5. Stk. 1.
Personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål.
Persondata må altså kun indsamles og behandles til et udtrykkeligt angivet formål og ikke andre. Et andet sted står der, at der skal afgives samtykke for, at data må gemmes og behandles til dette formål. Og skal data benyttes til andre formål end det oprindelige, skal der indhentes nyt samtykke for, at det kan ske.

Men i samme paragraf som ovenfor siger loven også:
§ 5. Stk. 3.
Uanset stk. 1 og 2 kan vedkommende minister efter forhandling med justitsministeren og inden for rammerne af databeskyttelsesforordningens artikel 23 fastsætte nærmere regler om, at personoplysninger af offentlige myndigheder må viderebehandles til andre formål, end de oprindelig var indsamlet til, uafhængigt af formålenes forenelighed.
Her står, at myndigheder faktisk kan benytte persondata til andre formål end oprindeligt tiltænkt. Men de skal da indhente samtykke til dette hos den enkelte borger, ikke sandt?

En privat organisation skal have fornyet samtykke til at benytte persondata på en ny måde. Det skal statslige myndigheder ikke. I Danmark er der dog nedsat to folketingsudvalg, der skal godkende ministeriers brug af data. Men borgerne informeres stadigt ikke om ny brug af deres data.

Fjernaflæste målerdata til nye formål

I december 2018 er der fremsat et lovforslag fra den danske regerings om brug af data fra fjernaflæste målere i boligen til at afgøre, om den er beboet - og det uden at skulle indhente et fornyet samtykke til brug af data fra borgerne. Ifølge lovforslaget skal disse data fra elmålere, varmemålere og vandmålere benyttes til at afgøre, om boligen er beboet hele året. I Danmark er der bopælspligt for visse borgere.

I marts 2018 var der et andet lovforslag oppe at vende om brug af fjernaflæste elmålere. Beskæftigelsesminister Troels Lund Poulsen (V) trak et forslag om at udvide overvågningen af borgernes elforbrug tilbage. Udbetaling Danmark skulle ifølge regeringsudkastet have adgang til at samkøre oplysninger om danskernes elforbrug fra den såkaldte DataHub med oplysninger om bopæl. Tanken med forslaget var at intensivere indsatsen mod socialt bedrageri, f.eks. om ledige faktisk var hjemme, ser fjernsyn, bruger komfuret og opvaskemaskinen og ikke er på ferie og dermed ikke til rådighed for arbejdsmarkedet:

”Men indsatsen mod snyd må ikke betyde, at vi begynder at overvåge alle landets borgere, og derfor kommer regeringen ikke til at gå videre med et forslag om at øge brugen af registersamkøringer i Udbetaling Danmark,” oplyste ministeren ifølge Jyllands-Posten.

Kun, hvis der er en helt konkret mistanke, kan data om elforbrug indgå i en undersøgelse for socialt bedrageri.

Hvad er DataHubben for noget?

DataHub er et centralt og uafhængigt it-system, som ejes og drives af Energinet. Udover at samle milliarder af oplysninger om kunder, forbrug og priser, håndterer DataHub al datakommunikation mellem aktørerne i elmarkedet. DataHub har til formål at sikre ensartet kommunikation og standardiserede processer for de professionelle aktører, der agerer på elmarkedet – alt sammen med henblik på at skabe bedre konkurrence og forbedre vilkårene for elkunderne. 

Alle oplysninger om danskernes elforbrug er samlet i DataHub, som derudover håndterer information om forbrug og forretningsprocesser som for eksempel flytninger, skift af elleverandør osv. Dermed håndterer DataHub alle måledata og forretningsprocesser for de ca. 3,3 mio. danske elforbrugere. Dette sker for eksempel, når netvirksomhederne indsender måledata på et målepunkt til DataHub, der så videresender til den relevante elleverandør, som derpå kan afregne kunden. De danske elkunder har mulighed for at se egne data i DataHub via deres elleverandørs hjemmeside eller www.eloverblik.dk.

Gladsaxe-modellen

Gladsaxe Kommune var i marts 2018 i færd med at udvikle en algoritme, der ud fra oplysninger fra flere registre forsøgte intelligent at afgøre om børn i 0-6-årsalderen er i risiko for at være udsatte. Det kan afgøres ud fra en række parametre såsom forældrenes (manglende) beskæftigelse, bopæl, etnicitet, misbrugsdata, sundhedshistorik, udeblevende tandlægebesøg, m.m. Idéen er, at med en tidlig indsats kan sociale tilfælde afværges blandt børnene. Ifølge lovgivningen måtte kommunen ikke samkøre registrene og ønskede derfor lovgivning, der muliggjorde dette. Regeringen tog til at begynde med dette positivt op som en del af ghettoudspillet i 2018. Det er dog blevet udskudt. 

Debattøren Lisbeth Zornig, der selv kender til at være socialt udsat, synes, at kommunerne skal gå endnu videre ved også at inddrage psykiatrijournaler for familierne for at gøre algoritmen endnu bedre.

Hvad er vi oppe mod?

Andre steder i verden såsom USA og Kina, hvor der er slappere databeskyttelseslove, udvikles der i disse år nye overvågningsteknologier.

Kina udvikler et landsdækkende ansigtsgenkendelsessystem til overvågningskameraer, som på 2-3 sekunder kan genkende en person. Dermed kan myndighederne via overvågningskameraer på gader og stræder og butikscentre kortlægge visse personers færden automatisk efterhånden, som de bevæger sig gennem byen.

Kina har desuden skabt et socialt pointsystem (ry-system), der giver eller fratager privilegier for borgere og virksomheder. Hvis man opfører sig godt, får man øgede privilegier, mens personer, der opfører sig dårligt i myndighedernes øjne, straffes med fratagelse af visse privilegier. I 2018 havdeKina endnu ikke bestemt sig for om det skal være et enkelt eller flere systemer.

I USA benytter politiet visse steder digitale algoritmer til at vurdere, om politiet skal opsøge tidligere straffede personer med henblik på at efterforske, om deres involvering i ny kriminalitet. Her er faktorerne hvor man bor, etnicitet, om politiet allerede kender én og for hvilke typer kriminalitet. I USA bliver algoritmen kritiseret for at have såkaldt bias - ”sort” slagside. Firmaet Palantir er involveret i udvikling og indsættelse af IT-systemer i USA til netop dette formål. Det danske Rigspoliti har indkøbt et IT-system fra samme firma til at bedre at efterforske kriminalitet.

Ønsker vi at gøre som Kina og USA i Danmark?

Det skal dog bemærkes, at i Danmark registrerer myndighederne rigtigt meget om borgerne, mens de amerikanske myndigheder ikke registrerer i nær samme omfang og samkører heller registre i samme omfang. Til gengæld er man i Danmark mere kritiske over for private firmaers registrering af data med f.eks. CPR-nr. I USA har man af historiske grunde et mere afslappet forhold til registrering hos private firmaer.

Det etiske og tillidsvækkende samfund

Danmark er kendt for at være et samfund, hvor der er en høj grad af tillid borgerne imellem og til myndigheder. Nogle vil måske føle det krænkende, at data bruges uden samtykke, og at de er meget nærgående og private. Med de sociale medier har især dem yngre generation åbnet porten på vid gab for offentlig deling af private oplysninger. De ældre generationer har ikke gjort det i samme omfang. De unge har ikke været vant til at have privatliv i samme omfang som de ældre. 

Betyder det så, at de unge er villige til at acceptere et digitalt overvågningssamfund - uden kamp? Tør vi stole på myndigheder, de store IT-firmaer og deres behandling af data? Vi er godt nok med tiden kommet længere, hvad angår frihed og respekten for individet, men vi har også en fortid i Europa, hvor registre er blevet misbrugt i alvorlig grad. Tør vi overlade styringen af databeskyttelse/datadeling/samkøring af persondata til politikerne alene?

Du kan læse mere disse emner i bogen Bliv sikker på nettet - PC- og onlinesikkerhed:

Side 390-391: Rigspolitiet køber kontroversielt overvågningssystem hos NSA-leverandøren Palantir
Side 428-430: Hvad går EU's nye persondataforordning ud på?

Med venlig hilsen

Lars Laursen, forfatter til bogen Bliv sikker på nettet - PC- og onlinesikkerhed.

tirsdag den 18. december 2018

Muligt datalæk hos Gladsaxe Kommune, og hvad du kan gøre for at sikre dig

Selvom man har været udsat for at få lækket fortrolige oplysninger som sit CPR-nr., kan man stadig gøre noget for at undgå et muligt identitetstyveri. Man kan få "kreditadvarsel" i CPR-registret. 

Indbruddet

I december 2018 blev Gladsaxe Kommune ramt af et indbrud på Rådhuset. Fire bærbare computere blev stjålet på et kontor. På en af computerne havde en medarbejder imod Gladsaxe Kommunes retningslinjer for databeskyttelsespolitik gemt en lokal kopi af et regneark med ca. 20.000 personers CPR-numre, navne, adresser, og hvilke ydelser de modtog. Indbruddet skete i en weekend. De sikkerhedsansvarlige hos Gladsaxe Kommune mener ud fra tegn og spor efter tyveriet, at det nok er et brugstyveri, hvor tyven vil rense pc'erne og derefter sælge dem videre. 

Alle de berørte borgere i Gladsaxe Kommune har modtaget et brev enten i e-Boks eller med posten om dette indbrud. Indbruddet er også indrapporteret til Datatilsynet, som kommunen skal efter den nye persondataforordning, GDPR, der trådte i kraft den 25. maj 2018. 

Du kan læse Gladsaxe Kommunes pressemeddelelse om indbruddet her

Risikoen

Harddiskene på pc'erne var ikke krypterede. Det vil sige, at det i princippet er muligt at tage den ud af den bærbare pc og tilslutte den til en anden pc, hvorved der kan opnås adgang til filen. 

I tilfælde af, at tyven har fisket regnearket ud af pc'en, hvad kan der så ske for de borgere, der har fået deres oplysninger lækket på denne måde?

Når nogen har adgang til både CPR-nummer, navn og adresse, kan vedkommende i princippet optage lån i borgernes navn. Du har sikkert set tv-reklamerne for hurtige lån. Man sender oplysninger ind via mobiltelefonen og får straks at vide, om lånet kan bevilges. Det er muligt for en person med adgang til disse oplysninger. Dette kaldes også identitetstyveri.

Hvordan kan du sikre dig?

En tredjedel af borgerne i Gladsaxe Kommune har således modtaget et brev om indbruddet og det mulige datalæk. Hvis det viser sig, at tyven har fået fat på de følsomme oplysninger, hvad kan du så selv gøre for at sikre dig mod, at andre optager lån i dit navn, som du kommer til at hænge på?

Der findes faktisk en sikring mod dette, som du selv skal tilmelde dig. Den kaldes kreditadvarsel

Man kan blive markeret i CPR-registret med en kreditadvarsel. Alle finansielle institutioner og firmaer, der udbyder lån og kreditter, kan trække på denne oplysning i CPR-registret. Det betyder, at hvis nogen vil købe en mobiltelefon på afbetaling, kan vedkommende blive afvist, hvis CPR-nummeret, kørekortnummeret eller pasnummeret er mærket dér med kreditadvarsel. 

Sådan gør du

Det er ret let at blive markeret med kreditadvarsel i CPR-registret. Du kan selv gøre det enten via www.borger.dk eller ved at møde op i borgerservice hos kommunen. 

På www.borger.dk kan du søge efter kreditadvarsel i søgefeltet i øverste, højre hjørne og vælge det første punkt blandt de fire søgeresultater. Eller du kan klikke på linket herunder, som fører dig direkte dertil: 

https://www.borger.dk/internet-og-sikkerhed/identitetstyveri/kreditadvarsel

Her kan læse mere om, hvad kreditadvarsel medfører, og du kan markere kreditadvarsel for dig selv dér. Du skal være klar over, at er du markeret med kreditadvarsel i CPR-registret, kan du få meget svært ved at optage lån selv. Men du vil altid forud for låntagning selv kunne fjerne markeringen kreditadvarsel igen. Det er lige så let at fjerne den igen som at oprette den. 

Hvis du vil vide mere om IT-sikkerhed for den almindelige borgere, kan jeg henvise til bogen "Bliv sikker på nettet", der udkom i november 2018. 

Med venlig hilsen

Lars Laursen, forfatter til bogen "Bliv sikker på nettet".

mandag den 17. december 2018

Eksempler på phishing-mails

Hvis du har haft en e-mailadresse i adskillige år og anvendt den i flere forskellige sammenhænge på nettet, kan du komme ud for ofte at modtage mails uopfordret, som beder dig indtaste eller uploade oplysninger.

Her er nogle eksempler. 


FedEx

Den første er angiveligt fra det amerikanske FedEx pakketransportfirma. Modtageren skal oplyse en adresse, som pakken skal sendes til. Der står ikke noget om, hvem pakken er fra. Modtageren kender ikke til en pakke, der skal sendes fra USA... 

Angiveligt er e-mailen sendt fra Fedex@help-desk.your-server.de - en tysk e-mailadresse, der ikke lyder som en FedEx-firmaadresse. 

Hvis man peger på den violette knap Update my address, vises i den røde firkant nederst i billedet noget af den handling, der sker, når der trykkes på knappen. Man kan se, at der står "mailto:". Det betyder, at der står en eller flere e-mailadresser. Ved klik på knappen vil e-mailprogrammet starte med en blank e-mail med disse e-mailadresser tilføjet som modtagere:


Det er godt nok mange modtagere! Hvordan kan det være? FedEx har vel kun én e-mailadresse, som skal have besked om adressen? Man ville forvente en adresse, der ender på noget med fedex.com, men ingen af disse gør dette. Det er alle sammen e-mailadresser med domænenavne efter @'et, som ikke synes at have noget med FedEx at gøre. 

Det ligner phishing. Der er sandsynligvis en af e-mailadresserne, som hackeren gemmer sig bag - f.eks. s87069c@timeweb.ru - en russisk tjeneste. 

Man kan lægge mærke til, at:
  • Mailen er sendt uopfordret;
  • Der ikke står, hvem pakken er fra;
  • Der ikke er angivet et firmadomænenavn for FedEx i e-mailadressen - f.eks. service@fedex.com;
  • Der er angivet mere end én e-mailadresse som modtager.
Konklusion: det er en phishing-mail.

To andre eksempler med e-Boks og NemID



Firmaet bag e-Boks har angiveligt sendt disse to mails om, at NemID'et er ved at udløbe. Godt nok skal et NemID fornys hvert tredje år, men kan det være rigtigt i disse tilfælde?

Når et NemID skal fornys, udsender firmaet bag NemID, Nets DanID A/S besked om dette per e-mail. Her er det ikke Nets DanID, der har udsendt mailen, men angiveligt e-Boks - eller boks@eboks.dk og eboks@id.boks.dk, som der står. Der er ingen bindestreg i eboks.dk, så det er nok ikke firmaet bag e-Boks, der har udsendt den. I domænenavnet id.boks.dk er det boks.dk, der skal lægges mærke til. Boks.dk er IKKE e-boks! Det er noget andet. id i id.boks.dk er et underdomæne til boks.dk. Det er der for at snyde dig. 

Firmaet bag e-Boks og Nets DanID A/S har i nogen tid sikret sig hos mange e-mailudbydere, at de tjekker for om afsenderen er korrekt. Det har fanget rigtigt mange tilfælde af phishing, hvor modtageren er blevet opfordret til at uploade et billede af sit nøglekort. De udsendes næsten ikke mere. 

Ved at pege på det blå link vises i den røde firkant nederst i billedet herover en webadresse på det websted, du føres hen til ved klik. Det er angiveligt zbdigitalmedia.com og avantshop.de, som ikke lyder som noget, der har med e-Boks eller NemID at gøre. Klikker du alligevel på linket, bliver du sikkert videredirigeret flere gange ad forskellige webadresser, som hurtigt skifter i webbrowserens adresselinje, før du lander på den faktiske webadresse, Det er typisk phishing-adfærd, der skal sløre, hvor du føres hen. 

Hvis du ser en tvivlsom mail på din mobiltelefon, kan du holde fingeren nede ovenpå linket for at få vist webadressen - ligesom i den røde firkant herover. Så kan du bedre afgøre om det er en ægte mail eller et phishing-forsøg.


Strandet i et fremmed land uden pas eller penge

En mandag morgen i december modtog jeg en mail fra en ven. Min ven, der er pensionist, rejser flere gange om året rundt i Europa sammen med sin kone. Han var denne gang angiveligt strandet i Odessa i Ukraine efter, at penge og pas var blevet stjålet. Han havde brug for over 20.000 kr. og lagde op til at bede mig om dem. 

Var det virkeligt en mail fra min ven?

Man kan lægge mærke til nogle detaljer i mailen:
  • I "Til:"-feltet står der slet ingenting - jeg forventede, at min e-mailadresse skulle stå der.
  • Desuden står der i mailen, at han af den danske ambassade i Ukraine har fået lov til at rejse hjem med fly igen uden pas! Det er meget usædvanligt. Sædvanligvis får man udstedt om ikke andet et midlertidigt pas, men at rejse uden pas - kan man det?
  • Endeligt er sproget ikke helt korrekt dansk. Man kan godt forvente, at en mail fra en ven måske ikke er stavet helt rigtigt, men i det mindste er der anvendt de rigtige danske vendinger og artikler. Det er der ikke i alle tilfælde her. Der er desuden benyttet engelsk tegnsætning, ikke dansk. Det gælder kommatering og brug af komma som tusindeseparator. Der er heller intet mellemrum mellem beløbet og "kr". Det gør man ikke på engelsk, men derimod på dansk.Den bærer præg af at være maskinoversat eller dårligt manuelt oversat til dansk.
Jeg skulle samme morgen i klub med min ven, så jeg ringede til ham, og han var da hjemme i Danmark og skulle nok komme forbi og hente mig, så vi kunne køre sammen. Så han var slet ikke i Ukraine! I løbet af formiddagen fik han at vide, at flere andre af hans bekendte har modtaget samme e-mail. 

Hans e-mailkonto er en hotmail.com-konto hos Microsofts e-mailtjeneste. Jeg undersøgte hans e-mailkonto og kunne ikke umiddelbart se, at der var afsendt en mail, som den jeg havde modtaget. Nu har Microsoft lavet deres e-mailtjeneste således, at der i grunden ikke er noget, der hedder slettet post i betydningen fuldstændigt slettet. Man kan altid få fat i slettet post - også selvom mappen med slettet post er tømt. Derfor kunne jeg også få ovenstående mail frem igen. Så der var faktisk sendt en mail - ikke kun til mig, men til alle i hans kontaktbog - og den var sendt til dem som Bcc, så modtagerne ikke kunne ses. Den IT-kriminelle har ønsket at lokke penge ud af så mange som muligt. 

Mailen var således sendt fra min vens e-mailkonto. Hvordan havde den IT-kriminelle fået adgang til den?

Vi undersøgte om min vens e-mailadresse var blev kompromitteret i et af de store datalæk, som IT-kriminelle har foretaget i tidens løb. Vi gik ind på hjemmesiden haveibeenpwned.com, hvor man ud fra en e-mailadresse kan få oplysninger om, hvilke kendte databrud den er blevet afsløret i. I 2013 havde min ven købt Adobe Photoshop Elements, og netop i 2013 havde der været et datalæk, hvor 153 millioner brugerkontooplysninger hos Adobe var blevet stjålet. Og min ven havde ikke ændret adgangskoden for sin e-mailkonto nogensinde. Så det var synderen!

Vi klarede problemet (troede vi!) ved at skifte adgangskoden og sende en besked ud til alle i kontaktbogen om, at en mail fra min ven var et phishing-forsøg. 

Den følgende fredag ringede min ven så til mig og fortalte, at han ikke havde modtaget e-mails i en dags tid. Han plejer altid at modtage et antal hver dag. Efter en inspektion af indstillingerne for hotmail-kontoen fandt vi ud af, at der var sat en regel op for flytning af mail. Der stod, at alle mails fra indbakken skulle kopieres til Arkiv-postmappen og også sendes til en angivet e-mailadresse, som min ven ikke kendte. Så den IT-kriminelle modtog alle e-mails, som kom ind i min vens indbakke og kunne reagere på dem - uden at min ven kunne se dem. 

Hvad der så var årsagen til, at den IT-kriminelle denne morgen ikke flyttede mails, han ikke interesserede sig for, tilbage til indbakken, er et godt spørgsmål. Er det, fordi det var den 22. december og lørdag? Sov han længe? Var han ude for at købe julegaver i sidste øjeblik? Vi ved det ikke, men vi fjernede reglen og ændrede endnu engang adgangskoden til e-mailkontoen. Så var det klaret.


Direktør-e-mailsvindel - CEO-fraud - for foreninger

Det er i stigende grad blevet almindeligt i firmaer og hos offentlige myndigheder, at chefen angiveligt sender en presserende anmodning til bogholderen om at betale et større beløb til en udenlandsk bankkonto. Det kan være en faktura, der skal betales i ferieperioden. Den ser ud til at komme fra chefens e-mailkonto, og bogholderen betaler den af og til uden først lige at ringe til chefen. Der har af og til været tale om en falsk faktura, og pengene er gået tabt. Det kaldes direktør-e-mailsvindel eller på engelsk CEO fraud

I Danmark oplever foreninger og klubber i stigende grad tilsvarende svindelnumre. Jeg er selv formand for en klub og har oplevet, at klubbens kasserer angiveligt havde modtaget en mail med anmodning om overførsel af et beløb til en britisk bankkonto. 
Klubbens kasserer, der er dansk gift schweizer og tidligere programmør i en dansk bank, troede først, at formanden (mig) ønskede oplysninger om, hvordan man overfører penge til en udenlandsk bankkonto. Kassereren besvarede den ved at sende oplysninger om, hvordan man overfører til en udenlandsk bank med IBAN- og BIC-numre og fik dermed sendt svaret tilbage til den IT-kriminelles indbakke og ikke min, som han troede. Som svar fik han besked på at overføre pengene til denne britiske bankkonto:
Her ses e-mailadressen, kassereren svarede på: voorzitterden@mail.com - det er ikke formandens e-mailadresse! Voorzitterden er hollandsk for formand. Og der var tale om, at han skulle overføre €4.770 til én, han aldrig havde hørt om. Nu fattede kassereren mistanke og ringede til mig. Jeg kunne afkræfte, at jeg havde bedt om denne overførsel. Dermed var svindelen afværget. 

Problemet er jo, at en formand af og til beder kassereren i en forening om at betale en regning eller faktura. Det kan se tilforladeligt ud for en kasserer. Det benyttede den IT-kriminelle sig af, og håbede, at kassereren ville gå i fælden. 

Man kan se, at den danske tekst i de to mails ikke er helt korrekt og perfekt dansk. Det har den schweiziske kasserer måske ikke helt fanget, men der er så andre ting, der springer i øjnene. Men vær opmærksom på, at en sådan mail fra "direktøren" eller "formanden" kan være formuleret på formfuldendt dansk, og personerne bag kan være ret dygtige og snedige. Metoden kaldes også på engelsk for social engineering. På dansk kan man kalde det sociale narreteknikker

Det er efter sigende ret let at oprette en bankkonto i Storbritannien. Det er sikkert derfor, Ovigwe har benyttet en britisk bank til svindelnummeret. 

Det er ikke engang sikkert, at bagmanden bærer navnet Ovigwe Eniye Egboboyen, der er af nigeriansk oprindelse. Ovigwe kan være gået med på at være hvidvasker af penge for bagmanden. Du har måske oplevet at modtage en e-mail med et jobtilbud, hvor du blot skal have en bankkonto, modtage penge og sende dem videre via Western Union eller en tilsvarende anonymiserende pengeoverførselstjeneste mod selv at beholde f.eks. 15 % af beløbet. Det er et job, som en studerende eller en husmor kan klare med en indsats på 1-2 timer om dagen. Men politiet fanger altid disse muldyr, som de undertiden kaldes, fordi modtagere af bankoverførsler kan spores. Så muldyret kommer i fængsel, mens bagmanden går fri. 

Et godt råd til kasserere i foreninger er derfor altid at kontakte formanden ved betalinger, enten ved at skrive en ny mail til hans/hendes e-mailadresse (ikke ved at besvare den!) eller at telefonere. Derved kan undgås at miste en af del af foreningens formue, kassererens omdømme overfor medlemmerne ved at være gået med på overførslen, og undgåelse af en konfrontation med bestyrelsen om mistede penge.


Få mere at vide

Du kan læse meget mere om phishing-mails i bogen "Bliv sikker på nettet":

Side 153-203: E-mail-svindel og phishing
Side 182-184: Job- og beskæftigelsesbedrag
Side 185-186: Svindel med e-mails fra administrerende direktører
Side 195-198: Sådan kan du se om et link i en e-mail er ægte
Side 198-201: Social engineering - sociale narreteknikker
Side 364-365: Tjek om dit bruger-id og adgangskode er blevet hacket
Med venlig hilsen

Lars Laursen, forfatter til bogen "Bliv sikker på nettet".