Nudga mot nätfiske

Nudga mot Nätfiske

Genom att fråga mottagaren av ett misstänkt email vem avsändaren är borde man kunna uppmärksamma folk på email som kan bära på virus.

Av CHRISTIAN GÜNTHER-HANSSEN

2017-12-11

Denna nudge är skapad med anledning av att den danska myndigheten Erhvervsstyrelsen (ung. ”Affärsstyrelsen”) utlyst en tävling i hur man genom beteendedesign kan förbättra IT-säkerheten för småföretag i Danmark. Detta förslag är ett av 6 som gått till final i denna tävling.

Under presidentvalskampanjen i USA 2016 så utsattes det Demokratiska partiet för en förmodat rysk hackerattack. Informationen som kom ut blev ett stort problem för Hillary Clintons valkampanj. Man föreställer sig lätt att IT experter satt kvällar och helger med avancerad kodning för att bryta sig in i Demokraternas IT-system. I själva verket tror partiet att intrånget kom genom ett email till Clintons kampanjchef John Podesta där det stod ”Någon har använt ditt Gmaillösenord. Uppdatera ditt lösenord omedelbart genom att klicka på följande länk. Vänliga hälsningar, Gmailteamet.1

John Podestas sekreterare vore varken den första eller sista som råkar falla för nätfiske. Mycket nätfiske är så uppenbart spam att få någonsin skulle öppna något i det mailet. Annat nätfiske är dock mycket likt ett seriöst mail. Är man samtidigt stressad och saknar full uppmärksamhet är det ganska lätt hänt att ett virus slinker igenom.

Den nudge jag föreslår för att motverka detta bygger på att skapa uppmärksamhet på vem avsändaren av osäkra email är, och på så vis få mottagaren att göra en ordentlig bedömning av mailets trovärdighet. Ofta ser mottagaren aldrig avsändarens adress, utan bara det namn avsändaren själv valt. Nudgen lyften fram själva adressen.

Nudgen kommer i form av en enkel mjukvara som fungerar i tre steg.

1. Identifiera mail med förhöjd risk.
Eftersom kärnan i nudgen är att skapa uppmärksamhet så får den inte aktiveras för ofta, eftersom det man ser ofta klickas bort av rutin. Därför så går den endast igång när ett email uppfyller tre krav. Dels ska mailet a) ha en bilaga eller en länk som kan vara en säkerhetsrisk, dels ska det b) inte vara från en avsändare som man tidigare själv har skickat mail till, och dels ska c) användaren försöka klicka på länken/bilagan.

2. Fråga användaren vem avsändaren är.
Ifall användaren försöker klicka på en länk eller bilaga i ett sådant email så måste de först identifiera vad för slags avsändare det är. Det kommer alltså upp en liten ruta där det står:

Denna avsändare är okänd, vilket kan vara en indikation på spam eller nätfiske. Om du tror mailet är trovärdigt, vänligen identifiera vilken typ av avsändare det är.

– Kollega eller affärsrelation
– Vän eller familj
– Företag eller nyhetsbrev
– Vet inte vem avsändaren är
– Detta är spam eller nätfiske

3. Testa om användaren kan känna igen avsändarens adress.
Om användaren inte redan markerat mailet som nätfiske så testas de på om de kan identifiera avsändarens email. Några adresser som liknar avsändaren genereras, och man ombeds sedan att välja den rätta. Rutan på skärmen kommer se ut ungefär så här:

Trovärdiga avsändare är ofta lätta att identifiera. Kan du identifiera vilken av följande adresser som är den riktiga avsändaren?

– anders.johansson@­banken.se
– a.johansson.banken@­gmail.com
– adam.johansson.banken@­gmail.com
– adam.johansson@­banken.nu
– anders@­johansson.com

Nudge mot nätfiske
Illustration av hur nudgen kan se ut.

För många mail med nätfiske så framgår det att mailet är en bluff redan när man ser adressen, då avsändaren angett ett namn i fritext som inte hänger ihop med adressen. För adresser som verkar trovärdiga ändå så blir användaren uppmärksam på att man faktiskt inte har koll på avsändaren, eftersom man förmodligen tvekar på vilken adressen är. Även den som väljer rätt adress kommer vara mer uppmärksam på att avsändaren kan vara suspekt och kommer granska mailet närmare.

Efter frågorna har användaren möjlighet att välja att öppna länkar och bilagor ändå, och i många fall kommer det vara för att mailet är säkert. Förmodligen kan ändå denna nudge stoppa en betydande del av det nätfiske som sker idag, och exakt hur mycket går att testa och mäta. Vissa virus kan slinka igenom trots att man gjort användaren mer uppmärksam, men då är det i vilket fall inte bristen på fokus som är problemet längre.

Finalen i Erhvervsstyrelsens cybersäkerhetstävling sker i Köpenhamn onsdag 13 december 15:00-17:00 och går att besöka. Biljetter är gratis på Eventbrite.

Uppdatering, 14 dec: Förslaget blev en av två vinnare i tävlingen.

1. Sciutto, J. (2017, June 28). How one typo helped let Russian hackers in. CNN. Retrieved December 11, 2017, from http://edition.cnn.com/2017/­06/27/politics/russia-dnc-hacking-csr/index.html