Kalastelua vastaan kovilla lääkkeillä – liinat kiinni
Kalastelu jatkuu ja uhreiksi päätyy myös tietotekniikan kanssa sinunkaupat tehneitä konkarikäyttäjiä – No niin, heille sitten voikin olla sitä suurempi kynnys raportoida jymäytetyksi joutumisestaan.
Taas kerran aloitamme tietoturvan perusasioista. Kirjautuessa verkkopankkiin tai muuhun transaktiot mahdollistavaan palveluun tarkistetaan ensimmäisenä, että yhteydessä on verkkoliikennettä salaava SSL-protokolla käytössä – sekä siihen liittyen löytyy myös kaksivaiheinen tunnistus. Tämän lisäksi nykyisin yhteys on hyvä lisä varmentaa VPN-putkella. Verkkopankkisession jälkeen selaushistoria tyhjenee yhdellä klikkauksella.
Miksi?
Jos kakku väliaikaistiedostoja jää selainmuistiin, tulee mahdolliseksi ”cache poisoning”. Tämä vaikeasti torjuttava haavoittuvuus taas saastuttaa selaimen. Se on välimuisti, jonka kautta voidaan varastaa kriittistä tietoa. On muutenkin syytä suhtautua suurella varauksella selainmuistin kanssa pelaamiseen.
Google mainostaa Chrome-laajennuksena toimivaa Docsin offline-tilaa. Siinä voi ”työskennellä offline-tilassa Google Docs -tuoteperheen avulla”. On totta, että Google Drive –tiedostoja voi käyttää tämän laajennuksen avulla ilman nettiyhteyttä – esimerkiksi lentokoneessa. Näppärää, mutta kun löytyy haavoittuvuus, joka suosii tätä offline-toimintoa, ei vastaa tarkoitustaan. Hyökkääjä kehottaa offline-tilassa suorittamaan Google-sovellusten komentosarjan, joka sitten noutaa Google Driveen tallennetut haittaohjelmat, kertoo Trendmicro. Infektioketju muistuttaa vanhaa Office-asiakirjojen makro-haittaohjelmahyökkäystä. Bravo, polkupyörä on keksitty uudelleen!
Älkää silti langetko, hyvät ihmiset:
Pääsemme säätöihin oikean yläkulman Chrome-valikosta.
Muokkaaminen ja hallinta -> lisää työkaluja ->laajennukset.
Melkein kaikki härpäkkeet kiinni kiitos, jos emme tiedä niitä tarvitsevamme – eritoten No Coin, jos ei ole suuntautunut selainpohjaiseen kaivostoimintaan. Louhinta tietty voi kiehtoa, mutta ei sitä voi suositella maallikoille, riskibisnestä.
Lisää peruskauraa:
Emme avaa sähköpostiin tulleita linkkejä, joissa kehotetaan vaihtamaan salasana, ellemme ole itse nimenomaisesti pyytäneet kyseiseltä verkkopalvelulta salasanan vaihtoa (silloinkin e-mailiin tulee vain varmistus salasanan vaihtumisesta). Jos taas sähköpostiviestissä pyydetään kirjautumaan asiakastilille, emme vahingossakaan klikkaa sähköpostitse tullutta linkkiä. Luotetun verkkosivun domain kirjoitetaan selaimeen ja kirjaudutaan normaalisti palveluun. Hyperlinkki ehkä näyttää aidolta, mutta asiantilan voi tarkistaa helposti, onko html-koodiin piilotettukin toinen nettisoite; viemme hiiren osoittimen hyperlinkin päälle ja alapalkissa näkyy websivu, minne klikkaus on johtamassa. Tämä on tunnettu netin alkuaikojen huijausmetodi, mutta nyt näköjään polkupyörä on taas kerran keksitty uudelleen.
Sähköpostipalvelun asetuksista voi kääntää viestit toimimaan vain tekstimuodossa, jolloin viruksia ja huijauslinkkejä ei voi olla tekstikentässä, liitetiedostoissa yhä kylläkin entiseen tapaan. Tarvittaessa, sivun voi kääntää asetuksista näyttämään grafiikka ja muotoilut.
Tässä voidaan puhua tietoturvakulttuurista – asiat tehdään, tai opetallaan tekemään turvallisuusrutiinin mukaan, vaikka tietty aikaa siinä palaa. Kärsivällisyyden kehittäminen taas luetaan elämäntaitoihin, joilla on leikkauspinta osaamiseen.
Pojat demonstroivat perinteistä tapaa urkkia pankkitunnuksia
