Svenska företag och myndigheter verkar just nu vara under attack – och de cyberkriminella fortsätter hitta nya vägar in. Nyligen rapporterades det om hur Tillväxtverket bestulits på flera miljoner av så kallade sociala ingenjörer. Vi lär dig känna igen dem och deras tricks.
Publicerad 04 sept. 2023
Dagens Nyheter rapporterade nyligen om att Tillväxtverket bestulits på åtta miljoner kronor genom fejkade mejl som verkade komma från generaldirektören. Och de är långtifrån de enda som utsatts. Ofta kallas detta för vd-bedrägerier, där en bedragare utger sig för att vara företagets vd, och ber en anställd att göra en överföring på en stor summa pengar.
När man pratar om säkerhetsintrång tänker många på hackare, eller någon annan teknisk svaghet, men många attacker riktar in sig på oss människor som den svaga länken. Det här kallas ”social engineering”, alltså social ingenjörskonst, där människor manipuleras att lämna ut information. För bedragaren kan det vara betydligt enklare att få ut information den vägen än att hacka sig in i ett supersäkert system och sno åt sig vad man vill ha. För säkerheten är aldrig starkare än den svagaste länken. Ibland får man tag på mindre bitar av information om ett företag eller en verksamhet, men ihoppusslade kan de innebära en rejäl säkerhetslucka.
Här är några vanliga taktiker på respektive område för att få tillträde, samla på sig information eller plantera utrustning. Se upp för dessa!
Nästa artikel
En medlem ringde oss och sa att han misstänkte att hans chef ibland läste hans mejl: ”Ett antal gånger nu har hon vetat saker som jag inte förstår hur hon annars har fått reda på. Och ja, det har alltid handlat om jobbrelaterade saker, men det händer ju att jag skriver privata rader till kollegor eller kunder också, så det känns olustigt. Jag fattar att allt privat ska gå via min gmail från och med nu, men ändå… Är det här verkligen tillåtet?”
Unionens förbundsjurist Susanna Kjällström säger att som utgångspunkt är svaret nej, chefen får inte läsa dina mejl.
– Arbetsgivaren får inte gå in och slentrianmässigt ta del av din mejl. Och absolut inte det som inte är direkt arbetsrelaterat.
Ska en arbetsgivare göra det, så måste det finnas synnerligen goda skäl.
– Arbetsgivaren ska göra en intresseavvägning mellan företagets intresse att läsa dina mejl och skyddet för ditt privatliv och din integritet. Men det ska mycket till för att komma fram till att man har rätt att läsa anställdas mejl.
Det ska finnas en stark, hållbar misstanke om brottslighet eller illojalitet. Det kan vara ekonomisk brottslighet, eller att du kontaktar kunder och frågar om de vill hänga med om du hoppar av jobbet och startar eget.
– Misstanken måste välgrundad, det räcker inte med att tro sig veta saker eller att man har fått för sig något. De får dock inte läsa dina privata mejl, inte ens om de gått iväg via din jobbmejladress. Och det är förstås svårt att utröna vad som är privat och inte.
Men om jag blir sjuk och de behöver ha tillgång till något för att driva ett projekt vidare, eller betala ut löner?
– Det bästa är om den typen av mejl kommer till gemensamma mejladresser, så att företaget inte står där om du blir sjuk i några dagar. Alternativt frågar dig om du kan vidarebefordra de mejl de behöver. Arbetsgivaren får nämligen inte ta del av dina privata mejl, och det kan vara svårt att utröna vad i din mejlkorg som är privat och inte, säger Susanna Kjällström.
Får chefen kolla vad jag surfar på, då?
– Nej. Som arbetsgivare får man sätta upp ramar för vad som är tillåtet att surfa på och inte. Man kan exempelvis säga att på jobbet kollar vi inte på porr och Hemnet, men då kan företaget sätta upp en spärr som gör att det inte går att gå in på de sajterna. En arbetsgivare ska nämligen alltid arbeta förebyggande snarare än kontrollerande, vilket betyder att det är bättre att spärra vissa sökord och sajter, än att gå in och kontrollera vad du surfar på.
