MrWeb värnar om integriteten

De allra flesta som använder Internet idag lämnar ett brett spår efter sig. Detta används i första hand av annonsörer för att kunna visa riktad reklam (t.ex om du varit inne på en sida om mobiltelefoner, så visas automatiskt extra många annonser för mobilabonnemang och mobiltelefoner den närmaste tiden efter det). Det kan också användas i mindre harmlösa sammanhang av olika organisationer för övervakning eller kartläggning av personer.
MrWeb har idag gjort sitt bidrag till att förbättra integriteten genom att sluta använda tjänster som möjliggör denna typen av spårning.

Vad för spår lämnar du?

Det finns många typer av sätt att samla information om internetanvändare. De vanligaste och något av de mest effektiva är Google och Facebooks nätverk. Förutom att Google sparar på alla sökningar du gör från din dator och mobil, i vissa fall röststyrning, kartsökningar och vägvisning, så har Google också tillgång till många av de webbplatser du besöker när du surfar, oavsett om du är inloggad i Google eller ej.

Personlig integritetHur går det till då? Google har väl inget med andra webbplatser att göra?
Nej inte direkt. Men… Google tillhandahåller ett verktyg som heter Analytics. Det är gratis för webbplatsägare att använda och väldigt nyttigt för där kan man se hur besökarna beter sig på webbplatsen, man kan se hur länge de stannar, vilka enskilda sidor de är på, varifrån de kommit och mycket annat användbart. Man kan dock som Webbplatsägare inte få information om annat utanför sin egen webbsida, t.ex. får man inte reda på om du sökt på mobiltelefoner. Den informationen behåller Google för sig själv.
För att kunna använda Analytics, lägger webbplatsägaren in ett anrop till en skriptfil från Google. När så webbläsaren (browsern) hämtar skriptet så får Google tillgång till information från webbläsaren och kan då lagra statistiken.

Eftersom Analytics är det mest spridda av alla statistikverktyg så har Google tillgång till enorma mängder information om oss internetanvändare. Hur de använder det är en annan fråga. Deras ambition är enligt vad de kommunicerat att vara ett “snällt” företag, men som börsnoterad och högt värderad koncern har de förstås krav på vinster och tillväxt och historien har visat många gånger hur dessa är villiga att tumma på sina principer för att klara sina rapporter.
Även om Google själva inte skulle göra något illa med informationen så är det ett integritetsproblem att den finns samlad därför att insamlingen gör det mer lättillgängligt för den som vill dra nytta av den. Vi vet ju av erfarenhet att inget system är så säkert att det inte går att hacka.

Facebook finns också med på enormt många webbplatser genom sina “Like”-knappar som visas av skriptfiler som webbplatsägaren hämtar från Facebook. Därigenom blir information från webbläsaren tillgäng även för Facebook.

Men varför skulle någon vilja ha information om dig? 

Ja detta är en fråga som man ofta får höra. Brottslingarna på Internet har blivit oerhört sluga och hittar hela tiden på nya sätt att bedra folk. I och med att det går att automatisera mycket av informationsinsamlingen är det också “kostnadseffektivt” för brottslignarna. Säg till exempel att du varit inne och köpt en flygresa för hela familjen till Spanien. Får kriminella reda på det är det stor risk att du haft påhälsning i huset när du kommer hem. Om en hackerliga får reda på vilken bank du har kan de skicka välformulerade email direkt till dig för att lura dig att logga in på en fejkad banksida och därigenom lämna ifrån dig dina loginuppgifter.

Vad har Google för information om mig?

Du kan själv se en del av den information som lagras genom att gå till https://myactivity.google.com/myactivity. Det är bara den information som Google har om dig när du varit inloggad på Google och varit aktiv. Så om du inte har en Android-mobil och inte använder Gmail eller alltid loggar ut från Gmail när du är klar kanske det inte finns så mycket. Annars borde det finnas en hel del information om dig där, inklusive vilka platser du varit på, såvida du inte stängt av platstjänster i din Androidmobil. (Det räcker inte att GPS är avstängt, genom uppkoppling till WiFi-nätverk kan platsen ändå spåras!)

MrWeb tar ställning

Vi anser att detta gått för långt. Därför har vi nu slutat använda Facebooks gilla-knappar och har istället bara en länk till vår Facebooksida för dem som vill följa oss där. Google Analytics har vi bytt ut mot ett system som heter Piwik. Vårt nya system lagrar bara besöksstatistiken på vår egen server och samlar alltså inte ihop hela ditt surfmönster. Därigenom har ingen tillgång till all din surfinformation genom oss, varken vi, Google, Facebook, svenska eller utländska myndigheter eller hackers.

Vad kan du göra för att skydda din egen integritet?

För den som är i en utsatt ställning eller av andra skäl vill värna om sin integritet rekommenderar vi också att använda ett VPN-program (finns massor, t.ex. Cyberghost, TrustZone, Buffered, för den som verkligen vill grotta ner sig i jämförelser rekommenderar jag ett besök på denna jämförelsesida) samt installera Adblockers i sin webbläsare. Det finns som tillägg till Chrome, Firefox, Safari, Internet Explorer och Edge.

Vill du att din hemsida värnar om integriteten?

Om du också vill besökarna skall kunna surfa lugnt på din webbplats kan MrWeb hjälpa dig att byta ut statistikskript, gå igenom länkar mm för att göra din sida till en integritetsvänlig hemsida.

“Säkert” i Chrome betyder inte SÄKERT

Ni har säkert sett att det i Chrome på vissa webbplatser visas ett litet grönt hänglås. Det känns ju tryggt när man loggar in till banken, Gmail eller andra viktiga eller oviktiga tjänster. Vad betyder då detta hänglås? Betyder det att webbplatsen är säker?

NEJ!!!

Det betyder faktiskt inte att webbplatsen är säker. Det enda, det enda som är säkert är anslutningen till servern (data som skickas till och från servern är krypterad). Det har visserligen också gjorts en enklare koll på att den som hämtar ut certifikatet också är behörig administratör av webbplatsen som har hänglåset.

Men det är inte säkert att du är på den webbsidan du tror att du är. Det är inte säkert att webbsidan du är på inte innehåller virus, SPAM eller phishing-försök (alltså att de försöker sno ditt login till någon riktig hemsida).

Crash course i domän-läsning

Det kan t.ex. stå https://www.google.com-loginscript.com/login
Ovanstående kan ju se ut som att det är en del av google, men det är det alltså inte.

För att uttrycka det enklast möjligt hur man läser ett domännamn:

  1. Ett domännamn börjar efter https:// och slutar när nästa / kommer. Allt mellan dessa tecken är domännamnet!
  2. Ett domännamn skall läsas bakifrån!!!

Vad betyder då detta för vårt exempel? Jo:

1. Att läsa hela domännamnet

Punkt ett innebär alltså att domännamnet i exemplet ovan är “www.google.com-loginscript.com”.

2. Att läsa domännamnet bakifrån

Ett domännamn är uppbyggt i ett hierarkiskt system där alla delar är åtskilda av en punkt.
Toppdomänen (com, se, nu etc) kommer sist, i exemplet ovan var det “com”.
Före toppdomänen kommer huvuddomännamnet, i exemplet ovan var det alltså “com-loginscript”, så domänen som personen/företaget har registrerat hos behörig myndighet är com-loginscript.com

Utöver detta kan den som äger domänen lägga till vilka prefix – “subdomäner” som helst. I det hypotetiska exemplet ovan har ägaren lagt till www.google som underdomän, bara för att luras. Vem som helst kan alltså lägga till www.google eller till och med www.google.com före sitt riktiga domännamn!

 

Med förhoppning att hjälpa någon! Följ oss på Twitter eller gilla oss på Facebook för fler IT-tips!

/MrWeb

 

Bli av med Ransomware

Bli av med Ransomware

Ransomware är ett allt vanligare slags virus som går ut på att attackerarna krypterar filer på din dator. Det kan vara dina fotoalbum, jobbdokument och allt däremellan. När du startar datorn kommer du inte åt någonting utan möts av ett meddelande att gå till vissa hemsidor och betala för en kod att låsa upp filerna. 

Virusen använder stark kryptering och hemsidorna för upplåsningskoder ligger på servrar som döljs genom nätverket Tor, så det är inte lätt att komma åt skurkarna.

En särskilt fräck version lovar att ge dig nycklarna utan betalning om du lyckas infektera två av dina “vänners” datorer.

Hur kan du undvika att drabbas?

Först och främst tag alltid backuper till externa hårddiskar och gärna till någon molntjänst – Onedrive, Dropbox, iDrive mfl. Se alltid upp med länkar i mail – kolla vart de går genom att hålla musen över länken.

Vad gör du om du drabbats?

Förövarna vill förstås att du skall tro att du är förlorad och det enda du har att välja mellan är att glömma dina filer eller betala lösen.

Betala inte!

Även om du inte har backup finns det en möjlighet att få tillbaka dem. Sajten https://www.nomoreransom.org/ jobbar med att ta fram lösningar att avkryptera filer. Även om de inte har någon lösning idag kan det vara värt att spara kopior av de krypterade filerna. Förr eller senare kommer med största sannolikhet fram ett verktyg som kan avkryptera dem. 

Se upp för nya login-bluffen, drabbar Google-användare och andra!

Sedan länge har hackare hittat på nya sätt att försöka komma åt vanliga människors konton på olika tjänster. Det senaste i raden är ovanligt svårt att se om man inte är vaksam på rätt tecken. Så här går bluffen till:

  1. Hackarna skickar ett e-mail till dig. På sistone är det ofta Gmail-konto som utsatts. Avsändare är någon du haft mailkontakt med (som redan blivit hackad). Mailet innehåller en bilaga eller foto som du behöver klicka på för att se hela av. 
  2. När du klickar på länken tas du till en webbsida som exakt ser ut som inloggningssidan till Google. Detta har vi sett förut, kallas för phishing. 
  3. Det nya är att i webbläsarens adressfält så står det att du är på https://accounts.google.com, vilket skulle vara helt korrekt så även om du har ögonen med dig kan du falla för bluffen:Phishing via webadressen
  4. Två saker skiljer det från den äkta loginsidan:
    1. Det står “data:” före själva adressen. Det betyder att webbläsaren läser innehållet i adressen som en fil, inte som en adress. Längre bak i adressen kommer ett script som utför bluffen
    2. För vanliga inloggningssidan visas ett hänglås
      Login med hänglås
  5. Om du inte upptäcker bluffen utan fyller i dina användaruppgifter går hackarna blixtsnabbt till attack, eventuellt sker det hela automatiskt. De loggar in på ditt Google-konto och sprider attacken vidare till dina kontakter genom att skicka en av dina lagrade bilder till adresser i din adressbok. Har du andra tjänster där du använder din Gmail-adress som login kan de förstås komma åt dem också genom att återställa lösenord för dessa med potentiellt stora konsekvenser.

Hur skyddar jag mig?

Det är två ställen som man behöver hålla ögonen öppna:

Skydda dig mot phishinglänkar i mail

Den ena komponenten som får denna bluffen att fungera är att mailet innehåller en länk. I de allra flesta mailprogram och på Gmail kan du se denna adress i statusfältet längst ner genom att hålla musen över länken och se vart länken leder:

I statusfältet kan du se vart länken leder, men du måste titta ordentligt. T.ex. kan det stå “https://accounts.google.com.hackerhemsida.com/login”. Då ser det ut som att det är en Google-sida men egentligen är det en underdomän till “hackerhemsida.com”. Det är alltså de sista två textbitarna innan första “/” i adressen som bestämmer vilken server man kommer till, i detta fallet “hackerhemsida” och “com”. Innan dess kan det stå vad som helst och vem som helst kan också skapa en sådan underadress till sin hemsida.

Skydda dig mot falska loginsidor

Det kan faktiskt hända att du kommer till en falsk inloggningssida från något annat ställe än ett mail, t.ex. har en del skummare nedladdningssajter farliga länkar. Därför behöver du också se var du hamnat. Här är det två saker du behöver titta på.

  1. Hänglåset. Alla viktiga tjänster har ett grönt hänglås på sina loginsidor (i de flesta webbläsare). Det betyder att de är verifierade och krypterade. Detta är emellertid inte tillräckligt utan du behöver också kontrollera
  2. Webbadressen. Här ska det stå “https://mail.google.com/…..” för Gmail, “https://www.facebook.com/” för Facebook etc. Observera att samma gäller som för länkarna i mailet, det är sista två texterna innan första “/” som avgör vart du kommit, fetmarkerat i exemplen. Webbadressen skall också starta med “https:“. Allt annat bör du se upp med.

Hur vanligt är sånt här egentligen? Tyvärr ganska vanligt. En vän till mig råkade t.ex. ut för Ransom ware, där alla personliga data på datorn (bilder, dokument etc) krypteras och man måste betala för att dekryptera dem.

För den som vill läsa mer i detalj finns mer info i Wordfences säkerhetsblogg (på engelska).