Hvordan træner du andre til at undgå at blive ofre for online kriminalitet? Det handler om menneskelig adfærd.
For det sidstnævnte publikum bliver computersikkerhed ofte til magisk tænkning. Det er ærgerligt, for virkeligheden er, at de fleste ting, du kan gøre for at beskytte dig selv online, handler om simpel psykologi og grundlæggende menneskelig adfærd. Når en virksomhedsnetværk bliver kompromitteret af ransomware, er synderen sjældent en ondskabsfuld genial hacker. Kilden til problemet er normalt langt mere banal: Nogen blev narret af en snedig form for social manipulation.
For alle, der har ansvaret for at træne andre til at undgå at blive online ofre, er hemmeligheden ikke at forklare, hvordan bufferoverløb og kodeinjektion fungerer. Hjælp i stedet disse mennesker med at fokusere på, hvordan de skal nærme sig computere med en sund dosis skepsis og opbygge en grundlæggende situationsbevidsthed. Jeg har reduceret lektieplanen til seks simple regler, alle skrevet i almindeligt sprog.
1. Gå ikke i panik
En garvet veteran fra computersikkerhedsindustrien delte engang en uvurderlig visdom med mig: "Gør ikke bare noget. Stå stille."
Åh, vent. Det var ikke en sikkerhedsekspert, det var Den Hvide Kanin i Disneys animerede produktion af Alice i Eventyrland fra 1951. Men det er stadig en god rådgivning. Den naturlige menneskelige reaktion, når du ser en potentiel trussel, er at gå i panik og straks forsøge at gøre noget for at løse den. Hvis du får en e-mail-advarsel om, at dit kreditkort snart bliver opkrævet 480 dollars for at forny din ikke-eksisterende Geek Squad-abonnement, eller at din computer er inficeret med ransomware, kan du fristes til at ringe til det gratis nummer i den e-mail. Det vil selvfølgelig forbinde dig til et callcenter betjent af skurke, der gladeligt vil tage dine kreditkortoplysninger og behandle nogle reelle afgifter.
Svindlere trives ved at få folk til at gå i panik. Tag den tid, du har brug for, for at finde ud af, hvad den virkelige trussel er, før du gør noget.
2. Åbn ikke ukendte vedhæftede filer
Mange potentielle sikkerhedstrusler kommer i form af e-mail-vedhæftede filer. Nogle gange er det eksekverbare filer, men i dag er de lige så sandsynligt at være Word-dokumenter, PDF'er eller HTML-filer. De kan være i stand til at køre udnyttelseskode, eller de kan simpelthen forsøge at overbevise dig om at indtaste legitimationsoplysninger til en e-mail- eller bankkonto.
Hvis du modtager en vedhæftet fil fra nogen, du ikke kender, er det sidste, du bør gøre, at åbne den. Selv hvis vedhæftningen ser ud til at komme fra nogen, du kender, betaler det sig at være forsigtig, især hvis beskeden er uventet. Afsenderens kontoinformation kan være forfalsket, eller deres konto kan være kompromitteret. Hvis du mistænker, at en vedhæftet fil er ondsindet, eller hvis en besked indeholder et link til et mistænkeligt websted, bør du overveje at uploade den til VirusTotal. Denne gratis og betroede side (ejet af et datterselskab af Google) scanner dit bidrag mod 70 antivirusmotorer og en række andre sikkerhedsrelaterede tjenester og kan advare dig, hvis det er kendt for at være ondsindet eller hvis det er en falsk positiv.
3. Klik ikke på uanmodede links
Social manipulation fungerer ved at udnytte menneskers tillid. En svindler, der lægger bare minimal indsats i et phishing-forsøg, kan gøre et acceptabelt arbejde med at efterligne en legitim e-mail og udforme links, der ser tæt nok ud på den rigtige ting til at narre dig.
Hvis du modtager en e-mail, der får dig til at tænke, "Hmmm, det ser ikke rigtigt ud," så fungerer din mistanke.
Og selv hvis beskeden ikke har nogen åbenlyse advarselsflag, er det stadig okay at være mistænksom, især hvis du bliver bedt om at klikke på et link for at gøre noget, du ikke har bedt om. Når i tvivl, så klik ikke på det link; brug i stedet et bogmærke, du har gemt til det pågældende websted, eller skriv URL'en direkte for at gøre, hvad du har brug for.
4. Du behøver ikke betale for sikkerhedssoftware
Sikkerhedssoftwareindustrien vil have dig til at være bange. Som led i den indsats forsøger de deres bedste for at overbevise dig om, at de grundlæggende beskyttelser, der er indbygget i din PC, Mac eller mobile enhed, ikke kan være lige så gode som det produkt, de sælger.
Det kunne have været sandt for to årtier siden, men det er bestemt ikke sandt i dag. De fleste tredjeparts sikkerhedsprogrammer, der er udviklet til forbrugere, tilbyder kun marginal ekstra beskyttelse, hvis overhovedet. Dette gælder især for populære funktioner som "Over
vågning af Dark Web". Hvis du er en netværksadministrator for en virksomhed, kan du sandsynligvis have gavn af software og tjenester, der giver dig større indsigt i, hvad dine brugere laver, samt hvad der sker i periferien af dit netværk. Men til din personlige PC, spar dine penge.
5. Hvis det ikke er i stykker, så ødelæg det ikke
Når det kommer til at holde din computer sikker, har jeg en lidt anderledes tilgang til den klassiske ledelsesrådgivning: "If it aint broke, dont fix it"
Store forkromede cyberangreb får måske alle avis overskrifterne, men den triste kendsgerning er, at de fleste malware ender på din PC, fordi nogen villigt, ja endda ivrigt, valgte at installere det.
Måske hentede de et cracked program fra en tvivlsom downloadside, eller måske fulgte de et sponsoreret link fra en søgemaskine og fik fat i et program, der inkluderede en pakke med adware eller endda malware ud over den app, de ledte efter. Den åbenlyse løsning? Installer ikke tilfældige apps.
6. Windows Sandbox
Hvis du skal tjekke et program, og du har Windows 11 Pro eller Enterprise, skal du prøve at køre det i Windows Sandbox. Hvis du aldrig har hørt om denne funktion, så her er, hvordan jeg beskrev den, da Windows 11 blev frigivet:
Den tillader dig at øjeblikkeligt oprette en sikker virtuel maskine uden nogen kompliceret opsætning. VM'en er helt isoleret fra dit primære system, så du kan besøge et mistænkeligt websted eller teste en ukendt app uden risiko. Når du er færdig, lukker du sandboxen, og den forsvinder helt og fjerner alle spor af dit eksperiment.
Det er en fantastisk funktion, og en du bør kende til.
7. Brug en adgangskodemanager
Jeg har argumenteret for brugen af adgangskodemanagers i årevis, så jeg vil ikke gentage de argumenter her. (Hvis du har brug for en opfrisker, så læs dette: "Glemt adgangskode? Fem grunde til, at du har brug for en adgangskodemanager.")
Men fakta er uomtvistelige: Mennesker er elendige til at generere tilfældige adgangskoder, og det er bogstaveligt talt umuligt at huske de stærke, unikke legitimationsoplysninger, der vil holde dig sikker. Faktisk gør brugen af en adgangskodemanager det lettere at færdes på den moderne internet og holder dig sikrere. Hvis du har udskudt denne opgave, fordi du tror, at det er for svært, så prøv mit tretrinsprogram, som du kan implementere på 30 minutter eller mindre.
Åh, og mens du er i gang, så aktiver også tofaktorgodkendelse.