Netöryggi

Ekki undir neinum kringumstæðum gefa upp kortanúmer og öryggisnúmer kortsins (CVV, gildistíma og Secure Code) þegar óskað er eftir því á samfélagsmiðlum, í tölvupósti, í SMS skilaboðum eða símtali.

Athugaðu einnig að samþykkja aldrei innskráningar eða undirrita skjöl með rafrænum skilríkjum sem einhver annar sendi.

Telur þú þig hafa lent í svikum?


Frystu kort í appinu og hafðu tafarlaust samband við Íslandsbanka í síma 440 4000 sem er opinn allan sólahringinn fyrir neyðartilfelli.

Gott að hafa í huga


Tilraunum til fjársvika hefur fjölgað talsvert að undanförnu og beinast þær bæði að einstaklingum og fyrirtækjum. Það er mikilvægt að huga vel að netöryggi en á þessum vef má finna gagnlegar upplýsingar sem gagnast geta við að fyrirbyggja að tilraunir til fjársvika takist. Við hvetjum viðskiptavini til að hafa samband ef þeir verða varir við netsvik og taka skjámyndir af grunsamlegum samskiptum.

Fyrirtæki og einstaklingar geta endurkallað erlenda greiðslu með því að hafa strax samband við 440 4000 og fá sent skjal „breyting á símgreiðslu“ sem fyllt er út og sent aftur í gegnum form á vefnum. Endurheimtur vegna svika minnka með hverju degi sem frá líður og sáralitlar eftir 2 til 3 daga.

Mikilvægt er að tilkynna þau mál sem upp koma til lögreglu, t.d. á abendingar@lrh.is og auk þess til þíns viðskiptabanka.

Það helsta sem er að gerast í svikum


  • SMS veiðar (e. Smishing): Mikið er um SMS svik í nafni ýmissa fyrirtækja eins og DHL og UPS. Í þessum svikum reyna þrjótar að komast yfir kortaupplýsingar, setja greiðslukort upp í Apple/Google Wallet og komast inn í netbanka brotaþola. Inni í netbankanum geta þrjótarnir m.a. hækkað heimildir á kortum, sótt um yfirdrætti og lán, og millifært af reikningum brotaþola.
  • Svikasímtöl (e. Vishing): Síðustu vikur hefur fólk á Íslandi verið að fá svikasímtöl. Svikasímanúmerin sem við vitum af í þessari svikahrinu eru: 539-5244, 539-5263, 539-5264. Það er allur gangur á því hvaða aðferð þrjótarnir nota til að reyna að svíkja peninga af fólki. Í sumum tilfellum eru þetta fjárfestasvik þar sem þeir þykjast vera miðlarar og reyna að fá fólk til að fjárfesta. Í öðrum tilfellum segja þeir fólki að það eigi inni mikla fjármuni hjá þeim. Nýlega kom upp atvik þar sem einstaklingur fékk símtal frá erlendum aðila sem sagðist starfa hjá eftirlitsstofnun í Bretlandi. Þrjóturinn sagði að verið væri að reyna að komast inn á bankareikninga þess sem svarar.
  • Vefveiðar tengdar gjafaleik (e. Phishing): Upp komu svik í tengslum við raunverulegan gjafaleik Hópkaupa. Hópkaup auglýstu gjafaleikinn í færslu á Facebook síðu sinni. Til þess að taka þátt í leiknum þurfti fólk að skilja eftir athugasemd við færsluna. Fölsk Hópkaupa Facebook síða svaraði síðan athugasemdum þátttakenda og sagði þá hafa unnið gjafaleikinn. Í athugasemdunum var hlekkur að falskri Hópkaupavefsíðu þar sem fólk var blekkt til að gefa upp kortaupplýsingar sínar.
  • Fjárfestasvik (e. Investment Fraud): Mikið af fölskum auglýsingum sem tengjast fjárfestasvikum eru í umferð á Facebook um þessar mundir. Í vikunni kom upp atvik þar sem brotaþoli hafði ýtt á auglýsingu og gefið upp símanúmerið sitt. Tölvuþrjótarnir hringdu margoft í brotaþola úr erlendum númerum og buðu honum að fjárfesta. Á meðan símtölunum stóð sendu þrjótarnir tölvupósta á brotaþola þar sem þeir báðu m.a. um kortaupplýsingar. Þá sendu þeir einnig hlekk að AnyDesk, sem er hugbúnaður sem gerir þeim kleift að taka yfir tölvu brotaþola. Svikararnir stofnuðu Binance reikning í nafni brotaþola og reyndu að færa fjármuni þangað af kreditkortinu sem gefið var upp. Brotaþoli átti erfitt með að skilja þrjótana á ensku. Þeir buðu honum því að eiga samskipti við sig á öðru tungumáli og stungu upp á dönsku, norsku eða sænsku. Brotaþoli valdi sænsku og voru tölvupóstasamskiptin á sænsku eftir það. Þó að það sé merkilegt að þrjótarnir hafi boðið Norðurlandatungumál sem samskiptavalkost þá báru tölvupóstarnir þess merki að þrjótarnir væru að notast við Google Translate til að skrifa á sænsku.

Ef það hljómar of gott til að vera satt, er það sennilega of gott til að vera satt.

Svik á samfélagsmiðlum


Að undanförnu hefur talsvert borið á netsvikum þar sem óprúttnir aðilar komast með ýmsum hætti yfir viðkvæmar upplýsingar viðskiptavina. Við hvetjum viðskiptavini til að hafa samband ef þeir verða varir við netsvik og taka skjámyndir af grunsamlegum samskiptum.

Ekki undir neinum kringumstæðum gefa upp kortanúmer og öryggisnúmer kortsins (CVV, gildistíma og Secure Code) þegar óskað er eftir því á samfélagsmiðlum, í tölvupósti, í SMS skilaboðum eða símtali. Lestu vel hvað þú ert að samþykkja þegar þú færð sendan Secure Code öryggiskóða eða beiðni um að samþykkja rafræn skilríki.

Nýverið hafa verið í gangi svik á Facebook og Instagram þar sem fólk á að geta fengið greitt fyrir að horfa á myndbönd, þessi síða heitir Telegram Money og ber að varast.

Hér má sjá raunveruleg samskipti á milli þolanda og svikara en í þessu tilfelli nýtti svikarinn sér Facebook Messenger til fjársvika. Sjá samskipti

SMS veiðar


Sem fyrr er mikilvægt að vera á varðbergi þegar smáskilaboð eða tölvupóstar virðast berast frá fyrirtækjum. Að undanförnu hefur nokkuð borið á sms skilaboðum sem látin eru líta út fyrir að send séu af póstflutningsfyrirtækjum. Viðtakandi er sem dæmi beðinn um að uppfæra upplýsingar með því að smella á hlekk.

Hér til hliðar má sjá dæmi um SMS svik í nafni DHL þar sem símanúmerið, upphæðin og vefslóðin segja manni að um svik sé að ræða.

Nefna má annað dæmi í nafni DHL sem hljóðar þannig:

„Pakkinn pinn bior eftir afhendingu. Vinsamlega staofestu greiosluna (1,99 EUR) undir eftirfarandi hlekk:“

Viðkomandi hlekkur vísar svo á svikasíðu.

Hafðu í huga að ólíklegt er að fyrirtæki óski eftir greiðsluupplýsingum með smáskilaboðum og hafðu ætíð varann á, meðal annars með því að kanna vel nafn eða númer sendanda ef skilaboðin berast í gegnum smáskilaboð.

Kortasvik


Kortasvik geta átt sér stað á ýmsum vettvöngum, t.d. á Facebook, Messenger, tölvupósti, gjafaleikjum á netinu o.s.frv. Ef að þú færð skilaboð, hvort sem það er frá ættingja eða vin um að senda mynd af greiðslukortinu þínu eða senda allar upplýsingar sem á því stendur hefur skúrkur líklegast tekið yfir aðgang þess sem sendir skilaboðin.

Til þess að koma auga á þessa gerviaðganga er hægt að hafa eftirfarandi í huga:

  • Orðanotkun: Er orðalag brenglað og virðist þýtt?
  • Kommustafir: Vantar íslenska stafi í heiti fyrirtækis eða þjónustuaðila?
  • Óvenjulegt letur: Er notað öðruvísi letur en finnst vanalega á facebook, t.d. skrautskrift?

Þessir aðgangar hafa samband við fjölda einstaklinga og telja þeim trú um að þeir hafi unnið gjafaleikinn og þurfi aðeins að senda þeim mynd af greiðslukortinu sínu. Í öllum tilvikum er þetta svindl og of gott til að gera satt. Þegar verslanir eru með gjafaleiki biðja þau aldrei um kortanúmer eða mynd af greiðslukortum.

Undir venjulegum kringumstæðum ættir þú aldrei að þurfa að:

  • Deila með neinum kortanúmerinu þínu, dagsetningu og/eða CVC númeri
  • Taka mynd af kortinu þínu og senda einhverjum, hvort sem að þú þekkir viðkomandi eða ekki
  • Deila þessum upplýsingum með verslun því þú heldur að þú hafir unnið gjafaleik og/eða pening

Rafræn skilríki


Hafðu í huga að ef að þú skráðir þig ekki inn með rafrænum skilríkjum en auðkenning kemur samt í símann þinn, er engin ástæða fyrir því að stimpla inn pin-númerið þitt. Mögulega hefur einhver óvart sett inn vitlaust símanúmer eða að hér er um svindl að ræða.

Rafrænu skilríkin þín eru einungis fyrir þig. Ef að einhver á netinu (oft messenger), hvort sem þú þekkir viðkomandi eða ekki, biður um símanúmerið þitt og sendir auðkenningu í símann þinn, þá er um svindl að ræða.

Þú ættir aldrei að

  • Samþykkja með rafrænum skilríkjum innskráningar í netbanka og app sem aðrir biðja þig um t.d. á facebook eða messenger
  • Undirrita skjöl með rafrænum skilríkjum sem aðrir hafa gert og biðja þau um t.d. á facebook eða messenger

Við biðjum viðskiptavini um að fara varlega með rafræn skilríki og samþykkja ekki hvað sem er.

Tölvusvik og árásir


Hvernig getur þú varast tölvusvik og árásir?


Alltaf staðfesta greiðslubeiðnir með símtali sem þú ert með á skrá áður en greiðsla er framkvæmd.

Þekktu hættumerkin:

  • Netfangi hefur verið lítillega breytt.
  • Nafn sendanda er rétt en netfangið á bakvið allt annað t.d. @aol.com eða @hotmail.com. Mundu að þegar tölvupóstur er skoðaður í farsíma þá þarf að smella á nafn sendanda til þess að sjá netfangið sem tölvupósturinn kemur frá.
  • Það berst reikningur og skömmu síðar berst nýr reikningur um að rangar greiðsluupplýsingar hafi verið á síðasta reikning
  • Berst tölvupóstur frá háttsettum aðila innan fyrirtækisins og er pressa á að greiðsla sé framkvæmd? Hringdu strax í viðkomandi og fáðu staðfestingu.
  • Eru greiðsluupplýsingarnar nýjar, nýr banki, nýtt land og jafnvel ný stofnað félag?
  • Eru samskipti öðruvísi en þú þekkir af viðkomandi t.d. beittari, stutt og snubbótt, annað málfar, jafnvel dónalega mikil pressa sett. Viðkomandi segist staddur erlendis og ekki getað tekið símann.
  • Öll samskipti látin líta út sem þau komi frá farsíma svo meiri líkur séu að villur og málfar sé fyrirgefið.

Vef­veið­ar (e. phis­hing)


Dæmi um vef­veið­ar


Hér má sjá dæmi um vefveiðar þar sem tölvuþrjótar dulbúa tölvupóst sem skilaboð frá fyrirtækinu Netflix.

Tölvu­svik í nafni pósts­ins


Stutt útskýring á þeirri leið sem svikararnir fara við að veiða kortanúmer.

Góðar venjur


Dæmi um algeng tölvusvik og tölvuárásir


  • Álagsárásir (e. DDos): skemmdarverk
  • Ástarsvik (e. dating/romance scam): greitt til aðila í góðri trú
  • Fjárfestasvik: falsfréttir
  • Fyrirmælasvik (e. CEO/BEC fraud): greitt til rangs aðila
  • Gagnalekar: til dæmis lekin lykilorð og persónuupplýsingar
  • Gíslatökuhugbúnaður (e. ransomeware): fjárkúgun
  • Húsaleigusvik: t.d. skammtímaleiga - Greitt til rangs aðila
  • Notkun persónulegs efnis (Public shaming) - Fjárkúgun
  • Svik á samfélagsmiðlum - Misnotkun
  • Tölvuyfirtaka - Misnotkun sem leiðir af sér svik
  • Vefveiðar (e. phishing) - Misnotkun