8. november 2017

Skærpet opmærksomhed på misbrug af bibliotekscomputere

Politiken har i to artikler fra henholdsvis d. 3. og 4. november haft fokus på, at bibliotekets computere flere steder i landet er blevet brugt til at opsnappe kodeord og følsomme oplysninger fra bibliotekets gæster:

Nye angreb: Hackere lænser bankkonti via bibliotekernes computere (Politiken, 3. nov.)

Bibliotekerne i Aarhus er gået til kamp mod cyberkriminelle (Politiken, 4. nov.)


Ifølge Digitaliseringsstyrelsen har man kendskab til 15 tilfælde af misbrug via computere på danske biblioteker hen over det sidste halvår.

 

Aalborg Bibliotekerne undersøger i øjeblikket en enkelt sag, der har påkaldt sig mistanke, men har pt. ikke konkret viden om at misbrug af vore maskiner. Vi beder alligevel vore brugere om at være forsigtige, når man bruger bibliotekets computere.

 

Hvad er op og ned i historien

I de tilfælde der omtales i de to artikler i Politiken er der blevet brugt en såkaldt keylogger. Keyloggers bruges bl.a af it-kriminelle til at  registrere (‘logge’) tastetryk på en given maskine uden dens brugers viden.

 

En keylogger findes både som software, der skal installeres på en maskine, eller som et lille stykke teknik, der kan skydes ind mellem et keyboardstik og USB-porten bagest i computeren.

Så længe keyloggeren er installeret/fysisk koblet til computeren vil den registrere alle tastetryk. Når den kriminelle efterfølgende tilgår sin keylogger, vil vedkommende kunne høste samtlige adgangskoder, logins, kreditkortoplysninger, chatbeskeder, etc. der er indtastet på computeren, siden keyloggeren blev aktiveret. Det kan dreje sig om flere dage eller ugers tastetryk.


Kriminelle bestilte nye nøglekort til andres NemID

I nogle af de beskrevne tilfælde har de kriminelle via keyloggeren kunnet sikret sig brugernavn og password til en brugers NemID. Den kriminelle har herigennem haft mulighed for at bestille nye NemID-nøglekort, der kan give dem fuld adgang til alt lige fra folks netbank til ændring af persondata.

Her skal det understreges, at selve trinnet med at få fat i NemID-kortet er mere komplekst end blot et klik på en knap.

For at opsnappe det bestilte nøglekort kræves det, at den kriminelle henter det på den privatadresse, der er knyttet til NemID-kontoen, inden folk selv opdager, de har fået det med posten.

I visse tilfælde er det imidlertid lykkedes for den it-kriminelle at kunne fiske kortet op  inden personen kom hjem og fandt det i postkassen.

Misbrug af relativt beskedent omfang
På Aalborg Bibliotekerne er man opmærksomme på problematikken med keyloggers, men mener ikke  keylogging generelt er et udbredt fænomen på kommunens biblioteker.  

‘Hvad angår at installere virus eller keylogger-kode på vore maskiner, så er vore publikumsmaskiner såkaldt tynde klienter’, siger Flemming Skjøth, leder for Aalborg Bibliotekernes IT og Support-område.

“Alle ændringer i maskinernes softwarepakke skal først igennem kommunens it-center, før det kan installeres lokalt. Så på den måde er vore maskiner godt beskyttet”.

Det sikrer ikke computerne mod de fysiske keyloggers, men her skal man ind og rode i forbindelsen mellem tastatur og maskine.

“Vi advarer i forvejen bibliotekets brugere om at være forsigtige med, hvilke informationer de indtaster på computeren, men omvendt skal det jo være trygt at kunne bruge bibliotekets computere. Vi afsøger derfor i øjeblikket hvilke muligheder, der er for at plombere USB-indgangene, så vi kan forhindre misbrug af maskinerne”, siger Flemming Skjøth.

Ud over de lokale løsninger som bibliotekerne rundt om i landet selv byder ind med, er Digitaliseringsstyrelsen i disse dage på vej med tekniske løsning, der skal stoppe angreb på bibliotekerne.


Tidskrævende og kompliceret

Flemming Skjøth maner i al almindelighed bibliotekets brugere til ro med henvisning til, at det på landsplan alene drejer sig om 15 tilfælde fordelt på næsten hundrede folkebiblioteker de sidste 6 måneder.

Det synspunkt bakkes også op i artiklerne fra Politiken, hvor bl.a. tyveri af NemID får følgende ord med på vejen :

‘Sikkerheden er generelt på et højt niveau, ellers havde vi formentlig set endnu flere sager. Og så er denne type af svindel meget tidskrævende og kompliceret ’, siger Kenneth Mose Kruse fra Digitaliseringsstyrelsen.

 

5 gode råd
På trods af Digitaliseringsstyrelsens beroligende ord, bringes for god ordens skyld seks gode råde til bibliotekets brugere:

• Gem nøglekort og kodeord, så de ikke er synlige for andre.
• Husk at logge ud, når du er færdig
• Slå to-trins-login til på dine konti og brugerprofiler
• Tjek computeren for mistænkelige dimser – en keylogger ligner et almindeligt usb-stik og er installeret mellem keyboard og computer
• Undgå i videst muligt omfang at bruge offentlige computere til at indtaste personfølsomme data, passwords, kreditkortoplysining (VISA;Dankort, Mastercard) osv.  
• Har du brug for hjælp, så spørg bibliotekaren.

Besøg desuden Digitaliseringsstyrelsens kampagneside ‘Vi holder hackerne ude” for mere om, hvordan du beskytter dig selv og dine data: 

 

 

https://www.viholderhackerneude.dk/

Spørg Biblioteksvagten