Kommentar om intrånget hos Twitter den 15 juli 2020

Om du är det minsta intresserad av IT-säkerhet eller om du är aktiv på sociala medier, mer än att du bara slösurfar på Facebook för att få arbetsdagen att gå litet fortare, så har du nog uppmärksammat att Twitter på kvällen den 15 juli 2020 utsattes för ett intrång som innebar att konton tillhörande bland andra Barack Obama, Bill Gates, Joe Biden, Elon Musk, Jeff Bezos och Kanye West började sprida falska tweets.

Twitterinläggen innehöll information om att om man satte in max ettusen US-dollar så skulle kontoinnehavaren sätta tillbaka det dubbla. Anledningen till att kontoinnehavaren skulle föra detta var för att de helt plötsligt kände att de “ville ge tillbaka” som ett uttryck för deras otroliga generositet.

Naturligtvis är detta bara ett nytt upplägg och en ny plattform på alla de typer av så kallade Nigeria-brev som cirkulerat runt och som tidigare lurat godtrogna människor.

I skrivande stund har en av de Bitcoin-adresser din följarna på Twitter uppmanats skicka pengarna fått in över en miljon svenska kronor (källa).

Enligt bland andra idg.se och coindesk.com så möjliggjordes intrånget genom att anställda på Twitter lurades att klicka på länkar som gav hackarna access till personalens datorer och därmed fick de, om jag förstår saken rätt, tillgång till verktyg rakt in i Twitters databaser.

Det kan i sammanhanget vara värt att påminna om några saker runt IT-säkerhet:

Människan är alltid svagaste länken

Det som är för bra för att vara sant är aldrig sant. Det är alltså inte bara sällan sant – det är aldrig sant!

Du ska aldrig klicka på länkar i mejl eller chattmeddelanden du får dig tillsänt om du inte har bett om en länk från en vän eller kollega. Om meddelandet är från en sajt som du känner till så är det ändå bättre att surfa in på sajten och logga in där så att du i någon mån vet att du hamnar på rätt sajt.

Stäng av automatisk nerladdning av bilder o HTML i din mejlklient för att minska risken att Elake Erik, som är den verklige avsändaren av mejlet, kan se att du läst mejlet.

Tvåfaktorsautentisering

Att använda något mer sätt än bara ett lösenord för att logga in på en sajt höjer säkerheten många gånger om – under förutsättning att hackarna inte gör som de verkar ha gjort hos Twitter under gårdagens intrång. Med andra ord så ska tvåfaktorsautentisering användas om det finns att tillgå. Kärt barn har många namn, men sök efter U2F eller 2FA på sajter där du brukar logga in.

Välj i första hand annan metod än via mejl/SMS eftersom man relativt enkelt kan kapa en mejladress eller ett telefonnummer. Har leverantören eller sajten du brukar besöka inte stöd för U2F/2FA så tjata på dem, gärna i sociala medier – eller byt leverantör för att visa din konsumentmakt.

Lösenordshanterare

Använd lösenordshanterare och spara aldrig lösenord i webläsaren!

Lagra inte lösenordsfilen i molnet även om den är krypterad för det som kan läcka det kommer att läcka och du kan inte veta om din idag säkra kryptering är säker om två år.

Ett tips på en bra lösenordshanterare är KeePassXC som enkelt integreras i webbläsarna Firefox och Chrome med enenkel och lättanvänd add-on. Nej, jag har inte kompetensen att bedöma att KeePassXC är bra, men det är den lösenordshanterare som ingår i Tails och därmed känner jag mig trygg med att kompetenta människor har undersökt KeePassXC.

Använd aldrig samma lösenord på mer än en sajt.

På jobbet

Logga ut din dator när du går på rast eller innan du sätter dig i möte med chefen som ska skälla på dig för att du inte klickade på länken i mejlet som han eller hon skickade dig. Du vet nämligen aldrig vad din kollega gör med din dator (av okunskap eller illvilja) när du vänder ryggen till.

Ha inte lösenordet till din jobbdator på en post-it-lapp på skärmkanten!Grundregeln är att du aldrig ska skriva upp lösenord.

Använder du en lösenordshanterare och har nyckelfilen på en USB-sticka som du alltid har med dig mellan hemmet och jobbet (kolla att du får sätta i en sticka på jobbdatorn som du haft i din privata dator) så behöver du bara kunna tre lösenord (jobbdator, privat dator, lösenordshanterarens databas) utantill – plus telefon, padda, portkod och kreditkort så klart. Är du osäker på ett konstigt mejl etc om huruvida det är fejk eller inte så fråga en kollega eller IT-avdelningen.