„Vefveiðar eru ekki tæknivandamál, þær eru mann­legt vanda­mál“

„Þetta er ekki tölfræði tekin af netinu, þetta eru raunveruleg íslensk fyrirtæki sem hafa orðið fyrir árás og þurfa aðstoð við að lágmarka skaðann,“ segir Arnar.

Lögreglan á höfuðborgarsvæðinu hefur reglulega varað við vefveiðurum. Fyrir nokkrum mánuðum var varað við síðum sem líktust Skattinum en Arnar segir það algengasta í dag að fólk fái tölvupóst sem ber heitið „Invoice“ eða reikningur á íslensku. Það hafi verið viðstöðulaust síðustu sex mánuði og starfsfólk Ok hafi aðstoðað fyrirtæki, stofnanir og sveitarfélög sem hafi lent í þessu.

„Þessi mál eru mjög mörg og misalvarleg. Það helsta sem hefur verið í gangi hér heima nýlega sem tengist Íslandi sérstaklega eru þessi „Invoice“-eða „reiknings“-mál. Þá var bæði í upphafi árs og í þessari viku verið að herma eftir Island.is og reyna að fá fólk til að auðkenna sig þar inn. Í desember og janúar voru mál þar sem að leit út fyrir póstur frá skattinum og þegar fólk auðkenndi sig var tekið út af kortunum þeirra allt frá 40 til 180 þúsund krónur,“ segir Arnar.

Herferðir sem komi í bylgjum

Arnar segir starfsfólk aðstoða í um fjórum til sex alvarlegum vefveiðimálum í hverri viku og að sumar herferðir komi í bylgjum. Sem dæmi herferðin þar sem Skatturinn var notaður.

„Fólki var vísað á svikasíðu sem líkir eftir island.is. Síðan er nánast óaðgreinanleg frá þeirri raunverulegu en það sem sýnir svikin er að netslóðin segir „skaatturin.web.app“ í staðinn fyrir island.is, en það sést til dæmis ekki í síma. Ef þú skráir þig inn á svikasíðuna fer auðkenningin þín til þessara óprúttnu aðila sem nota þau til að skrá sig inn í heimabankann þinn, til dæmis,“ segir Arnar.

Hann segir dæmigert að slíkar herferðir hefjist á fimmtudegi eða föstudegi.

„Við bregðumst við og aðstoðum fyrirtæki en síðan koma starfsmenn annarra fyrirtækja til baka eftir langa helgi eða veikindadag og opna þá sama vefveiðapóstinn sem beið ólesinn og falla í sömu gryfju og önnur umferð hefst. Stundum erum við að bregðast við þremur til fjórum umferðum á sömu herferðinni,“ segir Arnar.

Excel-skjal með óværu

Hann segir „invoice“-herferðina síðustu mánuði hafa verið sérstaklega krefjandi.

„Þá berst svikapóstur með viðfangsefninu „Invoice“ eða „reikningur“. Póstarnir innihalda Excel-skjal með óværu sem getur sýkt tölvukerfi, stolið auðkennum og komist inn í samskipti og sent póst áfram í nafni fyrirtækisins sem smitar svo aðra. Þessi herferð hefur orðið þess valdandi að stofnanir og fyrirtæki hafa ítrekað orðið fyrir árás þar sem búið er að nota aðgang að einu fyrirtæki til að senda svikapósta á samstarfsfólk, viðskiptavini og birgja,“ segir Arnar og að það sé ekki spurning hvort þitt fyrirtæki verði fyrir slíkri árás.

„Spurningin er hvort þú og starfsfólkið þitt vitið hvað á að gera þegar það gerist.“

Hann segir málin auðvitað misalvarleg en alvarleiki vísi oftast til umfangs málsins.

„ Við fáum tíu til tuttugu vefveiðamál á viku stundum en oft eru þau lítil, einn starfsmaður ýtti á hlekk og gaf upp lykilorðið sitt en áttaði sig á því og lét vita strax og við náðum að loka, eða fyrirtæki voru þegar með varnir frá okkur sem stoppuðu málið strax,“ segir Arnar.

Senda afsökunarbeiðni

Hann segir alvarlegu málin þegar fyrirtæki lenda í svona vefveiðum og enda á því að senda út pósta á þúsundir viðskiptavina og sýkja þau.

„Þá þurfum við að fara að eyða miklum tíma hjá sérfræðingum í að rekja hverjir fengu þetta, vinna með fyrirtækjunum í að láta vita og hjálpa þeim hvernig þau hreinlega senda út afsökunarbeiðnir á sína viðskiptavini,“ segir Arnar og að það sé æ algengara að þörf sé á því.

Fleiri sem falla fyrir svikunum

Sem dæmi hafi yfir 82 prósent vefveiðapósta sem greindust á seinni hluta árs 2024 verið búnir til með gervigreind sem er 53 prósenta aukning á milli ára. Arnar bendir sömuleiðis á að vefveiðarar séu að verða snjallari og það megi þakka gervigreind.

Hann segir smellihlutfall, það er hlutfall fólks sem smellir á það sem það fær sent, aukast verulega við þetta. Um 54 prósenta smellihlutfall sé á gervigreindarveiðipóstum samanborið við aðeins tólf prósent á hefðbundnum vefveiðipóstum.

„Þannig gerir gervigreindin skilaboðin sannfærandi,“ segir Arnar og þarna spili í raun tvennt.

„Íslenskan er orðin mjög góð í gervigreindinni sem gerir þetta erfiðara en gervigreindin nær einnig að gera mun betri „hook“ sem fær fólk til að ýta á. Við erum öll orðin vön því að Benjamín prins í Sómalíu ætli ekki að gefa okkur pening en með gervigreindinni er fjöldinn af þemum sem er verið að nota gegn okkur orðinn mun fleiri en áður og betur gerðar til að grípa mannfólk. Hér áður voru þetta „hakkarar“ sem voru kannski ekki bestu aðilarnir til að smíða svona gylliboð eða skildu nóg í sálfræði til að vita hvernig ætti að sækja best að fólki, það veit hins vegar gervigreindin,“ segir Arnar.

Gervigreindin fljót að vinna

Hitt sé svo að áður hafi tekið marga daga að sníða svona pósta eða vefsíður en gervigreind geti gert það á mun styttri tíma í dag.

Þá segir hann meðaltíma frá innbroti og þar til það uppgötvast um átta mánuði. Á meðan hafi hakkarar aðgang að kerfum fyrirtækisins.

Hann segir lítil fyrirtæki, þar sem starfa færri en hundrað manns, verða fyrir 350 prósent fleiri vefveiðiárásum en stærri fyrirtæki.

„Þetta er því miður að mestu vegna þekkingar og skilningsleysis á hvernig nútíma öryggislandslagið er,“ segir hann og að flestir haldi eflaust að aðeins sé sótt í stóru fyrirtækin því þar sé meiri peningur til eða meira virði í gögnum. Það sé þó alls ekki reyndin.

„Ef þú sem „hakkari“ kemst inn í tölvukerfi hjá litlu ráðgjafarfyrirtæki, lögfræðistofu eða jafnvel innflytjanda eða verslun þá er ákveðið traust þar, þeir bíða svo þar og jafnvel nota sér notandann þinn til að komast inn í tölvukerfi hjá stærri fyrirtækjum og þá fram hjá þeirra vörnum jafnvel því að þú ert mögulega þeirra birgi eða viðskiptavinur og starfsmenn þar treysta þér. Ég hugsa þetta oft svona að gögn sem þú telur að séu lítils virði séu alltaf virði fyrir einhvern annan,“ segir Arnar.

Hann segir árásir á virðiskeðjuna alltaf verða algengari.

„Þær voru upphaflega sérstaklega gegn tölvu- og hugbúnaðarfyrirtækjum, til dæmis ráðast inn á OK til að komast í okkar viðskiptavini, eða í hugbúnaðarfyrirtæki til að koma sér í hugbúnaðinn þeirra og þannig til þeirra viðskiptavina, en það er í dag jafn mikils virði að komast inn hjá öðrum smærri birgjum og nýta sér þá. Því miður hafa þessi smærri fyrirtæki stundum hvorki bolmagn í fjárfestingar í vörnum gagnvart þessu né hreinlega tíma til að koma sér inn í af hverju þetta skiptir þau máli jafnmikið, eða meira, en stærri fyrirtækin.“

Tvíþætt vandamál

Arnar segir vandamálið flókið og í raun tvíþætt.

„Annars vegar getur verið um að ræða sýkingu í tölvu en einnig síðan sýkingu eða innbrot í auðkennið þitt á skýjalausn,“ segir Arnar og að fyrir almennan notanda sé í raun engin leið að sjá hvort „hakkari“ hafi komist inn.

„Helsta lausnin þar er að skipta um lykilorð, tryggja fjölþátta auðkenningu og ekki nota öpp í símanum sem eru „óþekkt“. Með tölvuna sjálfa er heldur ekki auðvelt að sjá þetta og engin ein leið, hér er helst vitundarvakning hjá notendum og hugsa að ef þú opnaðir viðhengi sem þú áttir ekki að opna eða náðir í hugbúnað sem þú áttir ekki að ná í þá eru auknar líkur á að þú sért með sýkta tölvu,“ segir hann og heldur áfram:

„Vefveiðar eru ekki tæknivandamál, þær eru mannlegt vandamál. Engin tæknileg lausn ein og sér stöðvar allar vefveiðar. Besta vörnin er samspil tækni og fólks: sterk grunnvörn byggð á tæknilegum útfærslum, stöðug öryggisfræðsla og viðbragðsáætlun sem allir þekkja. Óprúttnir aðilar þurfa aðeins einn smell. Þú þarft heilt fyrirtæki sem er á varðbergi,“ segir Arnar og að fyrirtæki geti stigið sjö skref sem hjálpi strax.

1. Virkjaðu tvíþátta auðkenningu (MFA) á öllu. MFA stöðvar langflestar tilraunir til að nota stolin auðkenni. Byrjaðu á tölvupósti og skýjaþjónustum.
2. Þjálfaðu starfsfólk stöðugt, ekki einu sinni á ári. Stöðug öryggismenntun er mun árangursríkari en árlegt námskeið og enn betri ef henni er fylgt eftir með hermiárásum. Hvert þjálfunartímabil lækkar líkur á smelli en aðeins ef þjálfunin er endurtekin.
3. Komdu á „staldraðu við og athugaðu“ menningu. Ein einföld regla: ef skilaboð krefjast tafarlausra aðgerða, staldraðu við. Hringdu í sendandann í þekkt símanúmer. Farðu sjálfur inn á vefsíðu fyrirtækisins. Ýttu aldrei á tengla í óvæntum póstum.
4. Verndaðu tölvupóstinn (með tæknilausnum). Fullnýttu varnir sem þegar eru í Microsoft 365 eða Google Workspace. Virkjaðu Safe Links, Safe Attachments og anti-phishing reglur. Oft innifalið í áskrift en ekki sjálfkrafa virkt.
5. Búðu til viðbragðsáætlun og æfðu hana. Hvað gerir starfsmaðurinn þegar hann áttar sig á að hann smellti á rangan hlekk? Ef svarið er „ég veit ekki“ er vandamálið þegar komið. Viðbragðsáætlun sem allir þekkja getur skipt sköpum.
6. Fylgstu með í rauntíma. Vöktun á netumferð og tölvupóstsumhverfi getur greint árásir áður en þær valda skaða. Sólarhringseftirlit með öryggisvöktunarþjónustum (MDR) gerir jafnvel litlum fyrirtækjum kleift að bregðast hratt við.
7. Tilkynntu – alltaf. Ef þig grunar svik, hafðu strax samband við tölvudeildina þína, bankann þinn og/eða lögregluna. Tilkynningar geta hjálpað yfirvöldum að vara aðra við og stöðva herferðir.