Få forholdsregler kan redde din forening fra økonomisk lussing
It-kriminelle bliver mere luskede i deres forsøg på at narre penge fra borgere, virksomheder og foreninger. Du og din forening kan dog gøre meget med almindelig sund fornuft.
It-kriminelle er professionelle svindelere, og de er blevet dygtigere og mere luskede i deres svindel mod borgere, virksomheder og foreninger. Men med almindelig skepsis og sund fornuft er du og din forening allerede kommet langt med it-sikkerhed, forklarer DGIs it-direktør Ole Braad Poulsen.
I slutningen af maj modtog en række foreninger uopfordrede breve fra virksomheden GDPR Organisation med adresse i Belgien. I brevet lå en regning på 479 Euro, omtrent 3.600 kroner. For de penge ville foreningen få adgang til vejledning om, hvordan man lever op til reglerne i persondataforordningen. Men skrivelsen var det rene fup.
5 tips til bedre it-sikkerhed
Vil du gerne sikre dig selv og din forening mod trusler fra it-kriminelle, er her fem simple råd, der hurtigt øger din digitale sikkerhed – uanset om det er privat- eller i arbejdsregi:
- Vær skeptisk: Ingen seriøse organisationer, virksomheder eller offentlige institutioner vil bede om at få udleveret dine persondata via sms, telefon eller mail. Den kommunikation vil altid foregå bag et login på sitet, med nem-id, via din e-boks.dk eller borger.dk. Du kan roligt slette sådanne mails eller afvise den type telefonopkald.
- Tjek afsenderen: Er du i tvivl om afsenderen af en e-mail, kan du tjekke e-mailadressen bag afsenderen. Hvis Danske Bank står som afsender, men der i mailadressen eksempelvis står info@danskebank.pl, så er der tale om svindel. Men en mailkonto kan også være hacket, og dermed kan din kollega være afsender på en mail, der vil have dig til at skifte password. Tænk derfor over, om der er sammenhæng mellem afsender og den handling, man opfordres til.
- Stol ikke på links: Som udgangspunkt må du aldrig klikke på links i mails, hvor du ikke er sikker på afsenderen. De kan indeholde virus, såkaldt ransom-ware, der på få sekunder krypterer dine og foreningens vigtige filer og dokumenter. Derefter kan I blive afkrævet en ’løsesum’ for at få dem leveret tilbage. Betal aldrig, og anmeld altid den slags afpresning til politiet.
- Brug stærke password. Her er det længden af passwordet, der er afgørende for, hvor nemt det kan knækkes. Som udgangspunkt skal du anvende minimum 12 tegn. Og brug ikke samme password til både netbank og Netflix – hav gerne ét for hver konto/login du har.
- Dobbelttjek overførsler via opkald/sms: Flere foreninger oplever såkaldt ’spearfishing’ eller CEO-fishing. Her målretter de it-kriminelle mails til eksempelvis foreningens kasserer, som ligner, at den er afsendt af formanden. Mailen indeholder en besked om en større pengeoverførsel, og formanden vil give udtryk for, at det haster. Ofte vil mailen blive sendt sidst på eftermiddagen eller ud på aftenen, hvor man psykologisk set har paraderne nede. Her er det altid en god idé, at foreningen har klare aftaler om, at sådanne henvendelser dobbelttjekkes via sms eller et opkald.
Kilder: Ole Braad Poulsen, direktør i DGI IT, Mette Lundrup, afdelingsleder i DGI IT, og Forbrugerrådet Tænks app Mit digitale selvforsvar.
"Det er kamufleret, som om det handler om GDPR og en regel, foreningen skal overholde. Og så opfordres foreningen til at betale et gebyr. Men lad endelig være med at betale. Sådanne regler findes ikke," siger DGI’s juridiske chef, Steen F. Andersen, der bl.a. rådgiver idrætsforeninger om jura og regler.
En af modtagerne var Jyllinge Gundsømagle Idrætsforening mellem Frederikssund og Roskilde. Selvom brevet så meget professionelt ud med blåt EU-logo, henvisninger til GDPR forordningen og et referencenummer, anede foreningsformand Lene Lindberg Nielsen alligevel uråd. Blandt andet fordi skrivelsen stod på engelsk og kom fra Belgien.
"Det, der slog mig, var, hvorfor skal et firma med adresse i Belgien, skrive til en dansk idrætsforening i forhold til persondataforordningen, når vi har danske myndigheder, der kontrollerer den slags, for eksempel Datatilsynet. Så jeg blev hurtigt kritisk. Og sådan nogle regninger dukker ikke op ud af det blå. Så der var flere ting, der skreg op," fortæller Lene Lindberg Nielsen.
Hun kontaktede derfor en foreningskonsulent i DGI Midt- og Vestsjælland, og på den måde blev fupnummeret opdaget og afværget.
Brug din sunde fornuft
Den skeptiske tilgang over for den type fup-henvendelser er præcis det mind-set DGI’s it-direktør, Ole Braad Poulsen, efterlyser, når det kommer til digital sikkerhed. I dag er det ikke kun ubehjælpeligt oversatte fup-mails fra nigerianske prinser, der beder om penge til at få en stor arv udbetalt, der florerer på nettet.
"Det er træls at skulle sige, at vi skal være mere kritiske og mistroiske over for hinanden, men det er vi desværre nødt til, når det kommer til it-sikkerhed. De it-kriminelle er professionelle snydere. De lever af deres kriminalitet, og de findes ikke kun i udlandet. De er også herhjemme, og derfor er de blevet bedre til at målrette den såkaldte ’fishing’ eller fupmails," siger Ole Braad Poulsen.
Han støder ugentlig på nye it-trusler, og derfor skal man som borger og forening indstille sig på, at it-sikkerhed koster. Ikke bare i kroner og øre, men også mentalt i hverdagen.
"Helt generelt skal man sørge for at have antivirusprogrammer, også kaldet malware-detektorer, installeret, og de skal være opdateret. De opdager mange af it-truslerne automatisk. Men det handler også om, at man bruger stærke passwords og ikke genbruger sit password på tværs af platforme og tjenester," siger Ole Braad Poulsen.
