Artikel top billede

Din smartphone er en tikkende sikkerhedsbombe

Mobiltelefoner kan være ringende sikkerhedstrusler, hvis ikke du kender de mest åbenlyse risici. Her er en håndfuld råd til at højne din egen og medarbejdernes mobil-sikkerhed.

Læs også:
Knægten i kælderen stjal millioner med snedig app

Danske ofre for web-fusk kan være WiFi-phishet

Meget er sket, siden verdens første mobiltelefon for små 40 år siden blev taget i brug af opfinderen og tidligere Motorola-manager Martin Cooper.

Telefonerne er skrumpet ind fra taskestørrelse til lommeformat, og med smartphonens udbredelse har vi fået reelle lommecomputere at arbejde på og lege med.

I takt med, at vores telefoner bliver smartere og smartere, er der i lighed med pc'ens udbredelse også lyssky eksistenser, der lurer på, hvordan de kan udnytte og misbruge de nye teknologier med større eller mindre succes.  

Chefsikkerhedskonsulent Thomas Wong fra sikkerhedsfirmaet FortConsult udpeger her en række områder, som smartphone-ejere skal være opmærksomme på, især når de hiver deres telefoner med ind på jobbet og bruger telefonen som et arbejdsredskab.

"Det helt store problem med mobiler som arbejdsværktøj er, at virksomhederne risikerer at miste kontrollen over egne data," siger Thomas Wong og fortsætter:

"Med virksomhedsdata på mobilen er det lige pludselig brugernes sikkerhedsforanstaltninger, som kommer i spil, og de er typisk meget svagere end en virksomhedens."

Drop Dropbox

Han udpeger først og fremmest data-synkroniserings-apps som eksempelvis Dropbox og Google Drive til absolutte fyfy-værktøjer til at benytte i arbejdsøjemed.

Det skyldes, at disse værktøjer kun beskytter data bag et brugernavn og password, og brugerne har ingen reel viden om, hvor data rent fysisk bliver opbevaret.

For en offentlig organisation som en kommune eller region kan dette være direkte ulovligt, da visse datasæt ikke må forlade Danmarks og EU's grænser.

"Samtidig kan man også forestille sig et scenarie, hvor en direktør henter et tophemmeligt regnskab hjem via Dropbox til sin pc, som bliver delt med sønnike, der kan finde på alt muligt med sådan et dokument, hvis han får fingrene i det," lyder det fra Thomas Wong.

Rådet lyder i den sammenhæng, at medarbejdere ikke gemmer og synkroniserer vigtige data på ens telefon eller på hjemme-pc'en eller sågar i storage-skyer som Dropbox.

Det åbne Android-marked

Også fremkomsten af mange forskellige telefoner med Googles styresystem Android, udpeger Thomas Wong som potentielt farlig.

Knæk telefonen og få problemer

Det skyldes helt konkret, at visse medarbejdere ikke tænker sig om, når de henter apps i Googles Play-butik.

"Generelt kan man sige, at Android-telefoner er mindre beskyttede end eksempelvis en iPhone, fordi der simpelthen er mindre kontrol med apps-markedet, og om applikationerne indeholder skadelige kode," forklarer chefsikkerhedskonsulenten fra FortConsult.

Hvilke apps, som medarbejderne downloader og installerer, kan naturligvis i en vis udstrækning styres af virksomhedens it-afdeling, hvilket kan udvikle sig til en både en bekostelig og langstrakt affære.

Thomas Wong fremhæver samtidig, at praksis med at lade it-afdelingen gennemse medarbejdernes Android-telefoner kan være svær at håndtere i dagligdagen.

"Hvis it-afdelingen bestemmer over folks telefoner, som både bruges til arbejde og privat, så vil folk jo typisk ikke stille deres telefon til rådighed på jobbet, også selvom det er arbejdsgiveren, der har betalt for den," siger han.

Jailbreakede iPhones

Sikkerhedsproblemer med Androidernes topkonkurrent, iPhone, er dog heller ikke ukendt for Thomas Wong.

Her nævner han, at især jailbreakede iPhones er et stort sikkerhedsproblem i lighed med såkaldt rootede Android-telefoner, hvor brugerne samtidig går ind og slår en masse sikkerhedsfunktioner fra, når de ønsker at overtage den fulde kontrol over telefonen ved enten at jailbreake eller roote deres smartphones.

"Først og fremmest åbner brugeren muligheder for, at der kan hentes potentielt farlige apps, hvis de har jailbreaket deres iPhone," siger Thomas Wong.

En anden og måske potentielt større sikkerhedsrisiko ligger i, at ondsindede kræfter ligger på lur for at kunne forbinde sig til de nyåbnede iPhone-telefoner med fravalgte sikkerhedsfunktioner via den ellers krypterede netværksprotokol SSH.

"De kriminelle kender et udvalg af teleselskabs IP-numre til sine smartphone-kunder, hvorefter de scanner alle IP-numre for at finde åbne SSH-forbindelser," siger Thomas Wong.

Han fortæller, at det tager cirka 20 minutter at scanne en million IP-adresser.

"Når de finder åbne forbindelser, så forsøger de at forbinde sig med standardbrugernavnet 'root' og -passwordet 'alpine' til telefonen, og på den måde kan en intetanende medarbejder slæbe rundt på en kompromitteret iPhone og fungere som den it-kriminelles port ind til virksomhedens netværk," lyder advarslen.

Pas på "hjemmenetværket"

Derfor mener Thomas Wong, at folk skal tænke sig rigtig godt om, før de begynder at skrælle deres telefoner op.

"Hjemmenetværk" på værtshus

Også brugernes hjemmenetværk bliver benyttet i forsøget på at smugle sig med ind i virksomhedsnetværk - eller rettere sagt selve navnet på hjemmenetværket kan blive misbrugt.

For smartphones med en tændt WiFi-funktion vil altid lede efter et brugbart netværk, og her kommer navneligheden med dit eget hjemmenetværk i spil.

"Hvis en it-kriminel nede på det lokale værtshus har opstillet et netværk med præcis samme navn som dit hjemmenetværk, vil din telefon forsøge at logge på det netværk. Og her kan den kriminelle sagtens have installeret software på sit netværk, der automatisk svarer positivt til alt, når telefonen spørger efter netværkets Mac-adresse og så videre," forklarer Thomas Wong.

Og hvis du først intetanende får forbundet dig til det forkerte WiFI-netværk med mørke kræfter ved rorpinden, så kan det være svært at slippe ud af kløerne igen.

"Den it-kriminelle kan styre folk ind på falske hjemmesider som eksempelvis kopier af Facebook eller  Gmail og lure deres passwords, eller man kunne forestille sig, at kendte folks søgninger på visse hjemmesider og generelle webadfærd kunne bruges til pengeafpresning. Man kan ikke stole på browsere i fremmede netværk," fastslår Thomas Wong.

Han foreslår derfor, at folk altid slår deres WiFi-funktion fra, når de bevæger sig ud i områder uden kendte netværk.

Slet alt efter 10 minutter

Selvom truslerne åbenbart ligger og lurer efter åbninger på din smartphone, kan du selv gøre meget for at højne sikkerheden.

"Du skal selvfølgelig have en pinkode på din mobil, for ellers har du tabt på forhånd, hvis du mister telefonen," forklarer Thomas Wong, som foreslår, at du bruger et ciffer to gange, når du vælger din firecifrede pinkode.

"Ellers er det ret let at se hvilke fire numre, som fedtfingrene på skærmen trykker mest på," fortsætter han.

Samtidig påpeger han, at smartphone-brugere - eller deres it-afdelinger - også tilmelder sig remote wipe-funktioner, så de kan slette alle data på telefonen, hvis den bliver tabt eller stjålet.

"Mange virksomheder har en politik med, at hvis telefonen har været væk i 10 minutter, så remote wiper de simpelthen telefonen" forklarer Thomas Wong og indskyder, at billeder og mange private former for data ofte bliver gemt på telefonens SD-kort og dermed ikke ryger med i sletningen.

Han har selv oplevet flere gange, at hans egen smartphone er blevet tømt for data. Og det er han på ingen måder utilfreds med.

"Folk er åbenbart mere opmærksomme på deres firma-pc'er, som noget de skal passe på. Men smartphones er jo også computere i lommeformat, og de er måske endnu farlige, fordi folk ikke er klar over sikkerhedsbristerne," afslutter chefsikkerhedskonsulent Thomas Wong.

Læs også:
Knægten i kælderen stjal millioner med snedig app

Danske ofre for web-fusk kan være WiFi-phishet




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere