Foto: Per Ervland
Foto: Per ErvlandVis mer

- Dette er en falsk trygghet

Sikkerhetssjefen i Buypass håper ikke folk stoler blindt på hengelåsen øverst i nettleseren.

En tilbakevendende problemstilling som dukker opp i forbindelse med netthandel og utlevering av personlig informasjon på nettet, er sikkerhet. Hvor trygt er det å legge igjen kredittkortdetaljene dine i en nettbutikk? Hva skjer med fødselsnummeret ditt når du logger deg inn i nettbanken?

Når du besøker nettbutikker eller nettbanker og skal avlegge personlig informasjon, får du ofte opp et hengelås-symbol i nettleseren. Mange tenker nok at dette betyr at du er inne på en sikker side, noe som ikke er helt feil. Men nå advares det mot å stole blindt på hengelås-merket.

Hengelåsen er ikke alt

- Hengelåsen er egentlig en falsk trygghet, sier sikkerhetssjef John Arild Johansen i Buypass.

Han ønsker ikke å si at hengelåsen er uviktig, men det er ikke det eneste du bør merke deg når du for eksempel handler på nett.

- Hengelåsen betyr at det er en kryptering av informasjonen som går fram og tilbake. Med andre ord betyr det at informasjonen er sikret mot innsyn, forklare Johansen.

Dette er vel og bra. Men hvorfor skal du ikke stole blindt på hengelåsen? Johansen sier at hengelåsen sier ingenting om seriøsiteten til nettsiden du velger å legge inn personlige detaljer hos.

- Ren sikkerhet [som hengelåsen er ment å være, journ. anm.] kan kjøpes og tilbys av folk som ikke har gode hensikter. Hengelås er en sikkerhetsgaranti på laveste nivå, det er det billigste av de sertifikatene en får. Det er lett for en med onde hensikter å kjøpe et slikt sertifikat, og utgi seg for å være en sikker bedrift, sier Johansen.

Han forklarer at hengelås-sertifikatet produseres maskinelt fra de store leverandørene, derfor er det minimal grad av vurdering av seriøsiteten til de som kjøper denne tjenesten.

LES OGSÅ: Tre ting du avslører e-postsvindlerne på

Sjekk nettadressen

Johansen anbefaler at dersom du skal legge igjen sensitiv informasjon på en nettside, bør du sjekke nettadressen nøye. I enkelte tilfeller har svindlere spekulert i at du feilstaver adressen til en nettside (for eksempel skriver Google feil,) og at du kommer inn på en liknende, men falsk nettside.

- Du bør dobbeltsjekke adressen til nettsiden du går inn på, sier Johansen, som anbefaler folk å se de såkalte grønne sertifikatene, eller extended validation, som de også kalles.

Disse sertifikatene er utstedt av sikkerhetsfirmaer som Buypass og andre aktører, og fungerer slik at (deler av) adresselinjen i nettleseren din blir grønn. Dette betyr at Buypass eller andre selskaper har gått god for at akkurat disse nettsidene er trygge å bruke.

Dersom det motsatte skulle være tilfelle, vil sikkerhetsselskapene som har utstedt sertifikatene stå juridisk ansvarlig for et eventuelt tap.

Men det skal ifølge sikkerhetssjefen i Buypass ikke skje, siden selskapene må gjennom grundige valideringsrunder før de tildeler det grønne sertifikatet til en nettside.

- Vi kjører er sjekkliste der vi finner ut om selskapet virkelig er det det gir ut seg for å være. Vi kontrollerer med Brønnøysundregistrene at selskapet virkelig eksisterer, og vi sjekker at det finnes en godkjent revisjonsrapport for siste år. Dessuten tar vi direkte kontakt med og får underskrift fra daglig leder i bedriften, forklarer Johansen.

Den grønne delen av adresselinjen viser at nettstedet er EV-sertifisert. Trykker du på det grønne feltet, finner du ut hvilket selskap som har gått god for nettsiden. Foto: Firefox/DnB Nor Vis mer


Bankene har kommet langt

Sikkerhetsselskapene skal selvsagt tjene penger, derfor er det ikke gratis å få utstedt et slikt sertifikat. Det er nok mye av svaret på hvorfor kun et mindretall av nettsider bruker slike sertifikater.

- Typisk ser vi at bank og finans har kommet langt. Men faktisk er det overraskende få, bare drøyt halvparten i denne kategorien som kjører på slike sertifikater, forklarer Johansen.

Undersøkelser utført av Buypass viser at en rekke nettbutikker har innført EV-sertifikater og krypteringer, men likevel er ikke sikkerhetssjef Johansen helt fornøyd.

- I mange av nettbutikkene kommer sikkerhetselementet inn for sent, etter at du har logget deg inn, og avgitt en del personlig informasjon, sier Johansen.

Buypass, BankID, MinID. Forvirret? Her er alt du trenger å vite

Bekymret for ID-tyveri

Men mest bekymret er Johansen for tjenester som ikke er sikret på noen måte, og der du blir nødt til å avgi fødselsnummer.

- Mange ansettelsesbyråer er ikke veldig flinke på dette området. Her må du ofte legge inn fødselsnummer og annen personlig data, uten at denne informasjonen er sikret.

DinSide har flere ganger omtalt hvor lett du kan bli svindlet dersom fødselsnummeret ditt havner i feil hender. For eksempel ble en av våre journalister selv utsatt for ID-tyveri i fjor. Les hele saken hennes her.

- Hackerne samler enhver informasjon de kan finne av deg. Jo mer informasjon de har, jo lettere kan de utføre et sosialt manipuleringsforsøk på deg, som et ID-tyveri, sier Johansen.

TIPS: SLIK VET DU AT DU HAR BLITT LURT!