Bli medlem

Akta dig för vd-bedragare och andra sociala ingenjörer!

Svenska företag och myndigheter verkar just nu vara under attack – och de cyberkriminella fortsätter hitta nya vägar in. Nyligen rapporterades det om hur Tillväxtverket bestulits på flera miljoner av så kallade sociala ingenjörer. Vi lär dig känna igen dem och deras tricks.

Detta är ett innehåll från Unionen Opinion.

Publicerad 04 sept. 2023

Nätfiskare i farten

Dagens Nyheter rapporterade nyligen om att Tillväxtverket bestulits på åtta miljoner kronor genom fejkade mejl som verkade komma från generaldirektören. Och de är långtifrån de enda som utsatts. Ofta kallas detta för vd-bedrägerier, där en bedragare utger sig för att vara företagets vd, och ber en anställd att göra en överföring på en stor summa pengar.


När man pratar om säkerhetsintrång tänker många på hackare, eller någon annan teknisk svaghet, men många attacker riktar in sig på oss människor som den svaga länken. Det här kallas ”social engineering”, alltså social ingenjörskonst, där människor manipuleras att lämna ut information. För bedragaren kan det vara betydligt enklare att få ut information den vägen än att hacka sig in i ett supersäkert system och sno åt sig vad man vill ha. För säkerheten är aldrig starkare än den svagaste länken. Ibland får man tag på mindre bitar av information om ett företag eller en verksamhet, men ihoppusslade kan de innebära en rejäl säkerhetslucka.

3 social engineering-taktiker

  1. Mänskligt möte.
  2. Telefon.
  3. Digitalt.

Här är några vanliga taktiker på respektive område för att få tillträde, samla på sig information eller plantera utrustning. Se upp för dessa!   

Mänskligt möte

  • Elektrikern, eller fruktbudet. Någon låtsas vara exempelvis elektriker som bara ska fixa en grej, för att komma in på företaget.
  • Dörröppnaren. När man håller upp dörren för en person, som på så sätt kan komma in.
  • Open access. Någon har glömt sin mobil eller dator och ber att få låna din en kort stund för att lösa en grej, och lämnas utan uppsyn.

Telefon

  • Panik! Någon som säger sig vara från support ringer, är superstressad, och ber dig att snabbt godkänna fjärråtkomst eller uppge ditt lösenord, så att hen kan hjälpa dig.
  • Vishing. Bluffsamtal där någon fiskar efter uppgifter via telefonen. Kanske låtsas man vara från banken eller en myndighet och ber dig logga in på ett konto. Eller så låtsas man vara chefen som vill att du snabbt gör en stor transaktion.

Digitalt

  • Phishing. Nätfiske. Någon kanske låtsas vara från ett företag som ni är kunder hos. Du uppmanas besöka en sajt för att uppdatera dina uppgifter. När du klickar där installeras skadlig programvara som ger hackaren tillgång till info.
  • Spear phishing. Nätfiske riktat mot en specifik person. Här har bedragaren tagit fram personliga detaljer för att vinna ditt förtroende. Kan också vara ett mejl från en kollega, som innehåller en trojan som avlyssnar din dator.
  • Vd-bedrägeri. Mejl som kommer från en högt uppsatt person, som ber dig att snabbt hjälpa hen med en grej. Kan komma från en snarlik mejladress. En felstavad bokstav är lätt att förbise. Exempelvis info@tillvaxtvrkt.se  

Tips till dig!

  • Snåla med info. Ju mer info du delar online, desto större risk att utsättas för en attack.
  • Lita på magkänslan. Verkar ett mess eller mejl konstigt, så är det troligen det.
  • Se upp för bilagor. Kan innehålla skadlig programvara.
  • Stå stark. Låt inte bedragarens uppjagade ton påverka dig. Fortsätt tänka kritiskt och göra noggranna granskningar.

Tekniken som förråder dig – så kan du övervakas på jobbet

Detta är ett innehåll från Unionen Opinion.

Någon tittar i förstoringsglas på vad kvinna skriver på datorn.

Distansjobbandet har gett oss mer frihet och flexibilitet, men också inneburit att tjänstemän är mer övervakade än någonsin. För via olika datasystem och programvaror kan din arbetsgivare nu följa så gott som varje sekund av din arbetsdag.

– Det finns ingen forskning som visar exakt hur vanligt detta är, också för att en av poängerna är att man inte ska veta om det, men min erfarenhet efter att ha jobbat på båda sidorna är att det är mycket vanligare än man tror, säger Mattias Beijmo, internetanalytiker och skribent. 

Mattias Beijmo

Mattias Beijmo, internetanalytiker
Foto: Lisa Mattsson/Volante

Medarbetare följs på alla möjliga sätt. För callcenterpersonal är det inte ovanligt att arbetsgivare har installerat applikationer som håller koll på hur mycket varje anställd ringer respektive svarar i telefonen. Man kan också låta en AI analysera personalens tonläge – låter man ofta irriterad kan man kallas till samtal med chefen.

Många tänker att ”låt dem kolla, jag har inget att dölja.”

– Ja, en relativt hög procent är okej med detta. Man kanske till och med tycker att det är bra att det kommer fram att Bengt slöar på jobbet, så han borde inte få lika hög lön som oss andra. Men övervakningen glider lätt över till osund kontroll, som även du som har rent mjöl i påsen till slut kan uppleva stressande.  

En annan vanlig tanke är att det här låter som något chefer gör i USA, men inte här i Sverige. Vad säger du om det?

– Det är Svenskt Näringslivs favoritargument. Hästskit, säger jag, och där får du gärna citera mig. Till att börja med så är många av de företag som tjänstemän jobbar på ägda av multinationella företag, så kulturen är i grunden inte svensk. Och att vi skulle ha en så unik ledarskapskultur i det här hänseendet tror jag inte på, i så fall vill jag se forskning på det.  

Mattias Beijmo påpekar att utvecklingen springer på nu, den här typen av övervakning blir allt vanligare, så fackförbunden borde steppa upp.

– Precis som vid industrialiseringen, där det var svårt för den enskilda fabriksarbetaren att kräva förändringar i den livsfarliga arbetsmiljön, är det inte upp till den enskilde att driva de här frågorna heller.

Har du förslag på någon konkret förbättring?

– Jag har länge föreslagit att man borde ha digitala skyddsronder. Precis som den fysiska arbetsmiljön behöver ses över, så behöver också den digitala granskas, säger Mattias Beijmo.

Så kan chefen hålla koll på dig

Vad arbetsgivaren kan och får göra är två olika saker. Här redogör vi för vad som är möjligt, och Unionens förbundsjurist Susanna Kjällström kommenterar vad som är lagligt och inte.

Mejl

Arbetsgivare kan se vem du mejlar till, när du skickade mejlet och exakt vad som står i konversationen. Ja, det går till och med att få fram mejl som du har raderat. Och använder du din privata mejl även på jobbdatorn, så kan arbetsgivaren läsa även dessa.

– Enklast är om du utgår ifrån att det du gör på jobbet läses ibland, säger Mattias Beijmo.

Förbundsjuristen kommenterar: Arbetsgivaren får inte scanna av din mejl av rent intresse. De får bara läsa din mejl om det finns en välgrundad misstanke, exempelvis att den anställda agerar illojalt eller begår brottsliga handlingar som kan drabba företaget. Men det räcker inte att arbetsgivaren får för sig att vilja kolla din mejl, de måste ha en välgrundad misstanke. 

Susanna Kjällström, förbundsjurist Unionen

Susanna Kjällström, förbundsjurist    Foto: Peter Knutson

Fokus och aktivitet

Idag finns det programvara som följer hur aktiva medarbetare är på sina datorer. Insamlad data kan visa vilken tid på dagen du är mest aktiv, vilka program du använder flitigast, hur många minuter du spenderar på att läsa och redigera ett dokument, om du deltar i digitala möten etcetera. Ja, de kan till och med se hur många tangentnedslag du har per minut.

– Det finns program som tar regelbundna screenshots av datorns skrivbord eller följer din skärm i realtid, säger Mattias Beijmo.

Förbundsjuristen kommenterar: Som utgångspunkt är det inte tillåtet med realtidsövervakning. Det inkräktar alldeles för mycket på den personliga integriteten.

Din browser

Din arbetsgivare kan se vilka sajter du går in på på jobbet, även sociala medier. De kan se vad du handlar på Apotea, och drömmer om på Hemnet.

– När du använder internet via en dator, telefon eller nätverk som arbetsgivaren äger, finns stora möjligheter att hålla koll på vad du gör online, säger Mattias Beijmo.

Man kan också i hemlighet gå in på datorn via fjärråtkomst. Det går till och med att se vad du gör på din personliga dator, när den är uppkopplad mot företagets nätverk.

Förbundsjuristen kommenterar: Man får inte övervaka sina medarbetare så närgånget att man kartlägger dig som individ eller din arbetsdag. Möjligen kan ett företag få göra det på gruppnivå, eller under en längre tid, som en tremånadersperiod. Och det är bara tillåtet i relation till arbetet, arbetsgivaren får inte kolla vad man handlar på nätapoteket.

Samarbetsverktyg, som Teams

Även om ni har roligt på jobbet, och även om vissa av dina kollegor har blivit goda vänner, så ska du vara försiktig med vad du skriver i chattkanaler som Teams, Slack och Google chat. Din arbetsgivare kan nämligen se det. Och är du inte aktiv i Teams, så kan din chef ifrågasätta varför du inte ”är på jobbet.”

– Skriv helt enkelt inget där, som du inte vill att chefen ska läsa, säger Mattias Beijmo.

Förbundsjuristen kommenterar: Här gäller samma sak som för mejl. Det finns en äldre dom från Europadomstolen, där en arbetsgivare var inne och tittade i en anställds privata chattar på sociala meder. Man kom fram till att det stod i strid med artikel 8 i Europakonventionen. Det var alltså inte tillåtet för arbetsgivaren att läsa dessa, trots att företaget hade förbud mot sociala medier på arbetstid.  

Integritet i arbetslivet