Artikel top billede

Guide: Sådan beskytter du dit website mod kriminelle

Alle på nettet er et potentielt mål for svindel, malware, piratkopiering og en mængde andre trusler. Læs her, hvordan du beskytter dit website.

Læs også:

12 typiske fejl på dit website

Danske Banks hjemmeside lagt ned af kunderne

Computerworld News Service: Sikkerheden på nettet er selvfølgelig vigtig, hvis man som lille virksomhed har et websted.

Det er helt afgørende, at man på sine computere både derhjemme og på farten bruger software, der beskytter mod virus og spyware.

Af populære sikkerheds-programmer og programmer, der kan bruges til at rense computeren og rydde op i Windows-registret, kan nævnes AVG
AntiVirus Free
, Spybot Search & Destroy, Microsoft Security Essentials, Malwarebytes Anti-Malware og Piriform CCleaner.

Antivirusprogrammerne fra Microsoft og AVG er cirka lige gode, men Security Essentials har den fordel, at det ikke indeholder reklamer og ikke tigger om, at man opgraderer til en betalingsudgave.

De beskytter også begge imod spyware, men programmet fra Malwarebytes er bedre til at finde malware, der har gravet sig dybt ned.

CCleaner er det mest stabile program til at rydde op i Windows-registret, jeg har kunnet finde. Alle disse programmer er gratis, selvom nogle af dem er tilgængelige i betalingsudgaver med flere funktioner og support.

Det kan forbedre hosting-sikkerheden

Et andet vigtigt område med hensyn til den digitale sikkerhed er, hvilken hosting-løsning man bruger, da det er her en eventuel kompromittering af et websted begynder.

WordPress er et fremragende content management-system, men det er meget udsat for hackerangreb.

En måde at sikre din WordPress-installation er at benytte en virtuel privat server hos din hosting-leverandør.

En sådan VPS-løsning giver mange muligheder for at beskytte din installation, men du er nødt til at undersøge, hvilke løsninger din egen hosting-leverandør tilbyder.

Sørg for eksempel for, at de tilbyder cPanel, der gør det let at foretage backup af databasen.

Når du uploader filer til serveren, så sørg for at bruge secure file transfer protocol (SFTP). Et godt og gratis program at bruge er WinSCP.

Hold styr på dine adgangskoder

Læs også:

12 typiske fejl på dit website

Danske Banks hjemmeside lagt ned af kunderne

Det er vigtigt at bruge stærke adgangskoder og at ændre dem jævnligt. Hvis din SFTP-klient tillader det, så brug masser af specialtegn og sørg for at dine adgangskoder består af mindst 16 tegn - Y(^&)/E%#i^(!d+jQ er et eksempel på en stærk adgangskode.

Det er blevet en stor udfordring at holde styr på alle sine lange og indviklede adgangskoder. Derfor er det en rigtig god idé at benytte programmer til sikker håndtering af adgangskoder. Jeg bruger personligt Roboform og LastPass.

Et alternativ til at have sine adgangskoder liggende på sin computer er at gemme dem i et tekstdokument på en USB-nøgle.

Når du har brug for en bestemt adgangskode, åbner du blot tekstdokumentet, markerer og kopierer den givne adgangskode, så slipper du for manuelt at indtaste adgangskoden.

Roboform2go for USB er et af mange programmer, der kan bruges til at gøre dette endnu lettere.

En af fordelene ved denne måde er, at ens adgangskoder således ikke kompromitteres af såkaldte keyloggers, hvilket er malware, der aflurer ethvert tryk på tastaturet.

Hvis du bruger en computer på en internetcafé eller en anden delt computer, så skal du være opmærksom på, at den kan være inficeret med malware. Sørg derfor altid for at scanne din USB-nøgle for virus, umiddelbart efter den har været sat i en delt computer.

Hold øje med efterligninger

Et af de hurtigst voksende svindelnumre på nettet er falske antivirus-programmer med tilsyneladende troværdige navne såsom DriveCleaner, AdvancedPCTweaker og PC Cleaner 2008.

Forskellige steder kan man støde på annoncer for programmer, der giver sig ud for at være ægte sikkerhedssoftware, som opfordrer til, at man scanner sin computer for spyware.

Denne scanning vil uundgåeligt resultere i en dramatisk advarsel om, at ens computer er inficeret med spyware, selvom det ikke er sandt. Hensigten er at skræmme folk til at betale for programmet.

Denne form for falske programmer kaldes rammende både for rogue software og for scareware og kan gøre din computer langsom.

Giver man efter og betaler, risikerer man at blive opkrævet for ekstra ydelser eller produkter, man ikke har indvilget i at købe, og det er stort set umuligt at få sine penge tilbage.

Svindelfirmaerne bag skifter jævnligt både navn og webadresse. Som om det ikke var slemt nok, risikerer man desuden efterfølgende at blive offer for identitetstyveri, hvis man narres til at betale.

Derfor bør sådan svindelsoftware undgås for enhver pris. Hvis du er i tvivl, om et givet program er ægte, så kan du forsøge at slå det op på denne liste over falske antivirus-programmer.

Der dukker hele tiden nye falske programmer op, så selvom listen holdes ved lige, er den ikke fyldestgørende. I sidste ende må du stole på din egen dømmekraft: Hvis du synes, et program eller et firma er mistænkeligt, så er der sikkert noget om det.

Beskyt dig mod spam og e-mailsvindel

Læs også:

12 typiske fejl på dit website

Danske Banks hjemmeside lagt ned af kunderne

Ovenstående råd gælder i særdeleshed også for e-mails, du modtager uopfordret fra ukendte såvel som kendte afsendere.

Hvis en e-mail ser mistænkelig ud, så klik aldrig på eventuelle links. I bedste fald vil det blot bekræfte din e-mailadresse, så du fremover modtager endnu mere spam.

I værste fald vil det downloade en virus eller anden form for malware og måske øjeblikkeligt kompromitterer din computers sikkerhed.

En måde at reducere mængden af spam, du modtager, kan være, at ændre hvordan din e-mailadresse vises på dine websteder. Hvis din e-mailadresse vises sådan her: ditnavn@dinwebadresse.dk, så kan den let blive høstet af spam-robotter ved hjælp af såkaldt scraping.

Det kan du undgå med et webbaseret program som SpamKiller, der krypterer din e-mailadresse ved hjælp af hexadecimal notation. Det fungerer, uden at dine besøgende behøver at have JavaScript slået til.

Pas desuden på de såkaldte Nigeria-breve, der hedder sådan, fordi det oprindeligt drejede sig om e-mails, der udgav sig for at være sendt af embedsmænd fra Nigeria, som anmodede om hjælp til at få penge ud af landet. For at hjælpe dem blev man lovet et betragtelig beløb.

Hvis du svarer, vil du få flere oplysninger og dokumenter. Narres du faktisk til at betale, vil de muligvis fortsætte svindelnummeret i forsøget på at få dig til at sende endnu flere penge, angiveligt for at dække pludseligt opståede ekstraudgifter.

Så længere du er villig til at betale, vil de fortsætte med at malke dig. I nogle tilfælde anmoder brevene ligefrem om, at offeret rejser udenlands for at gennemføre transaktionen. Gør man det, risikerer man ifølge USA's udenrigsministerium at blive truet, tævet eller endda myrdet.

Den mest avancerede form 

Den sidste form for e-mailsvindel, vi her vil gennemgå, er phishing.

Der er her tale om e-mails, der ser ud til at være legitime anmodninger om oplysninger om dine bankkonti fra banker, hvor du måske (eller måske ikke) er kunde. Følg nedenstående råd for at undgå at bide på krogen:

- Svar aldrig på en e-mail, sms eller et popup-vindue, der beder om dine finansielle oplysninger.

- Klik aldrig på links i sådanne beskeder.

- Undlad også at kopiere eventuelle links og indsætte dem i din browser. Du risikerer at blive omdirigeret til et skadeligt websted, der muligvis er en perfekt efterligning af et legitimt websted.

- Hvis du er i tvivl, så ring og forhør dig hos din bank.

- Ring aldrig til telefonnumre angivet i en mistænkelig e-mail eller sms. Brug kun numre, din bank har oplyst.

- Når du handler med en virksomhed, så læs dens privatlivspolitik, så du ved, hvordan den givne virksomhed behandler dine data. Når du ved det, kan du ikke tage fejl af det, når en svindler beder dig om dine personlige oplysninger.

Ingen legitim virksomhed ville nogensinde bede om de ting, svindlere beder om.

Sådan afværger du bots og zombier

Du er også nødt til at tage højde for robotter og zombier. Disse trusler indledes med spammere, der gennemsøger internettet for ubeskyttede computere.

Når de finder en, kan de kapre den og bruge den til eksempelvis at udsende spam som del af et netværk af kaprede computere, et såkaldt botnet.

Hver computer i et botnet kaldes en bot eller en zombie. Et botnet består af hundreder eller tusinder af kaprede computere, der udnyttes til at sende spam eller få websteder til at gå ned ved at oversvømme webserveren med forespørgsler i såkaldte distributed denial of service-angreb (DDoS).

Hvis din computer ikke er beskyttet af sikkerhedssoftware, så er den et let mål.

Det gør det muligt for spammere at installere malware på din maskine. Blot ved at besøge et inficeret websted risikerer man at udløse en såkaldt drive by-download, hvorved der installeres malware, som kan gøre din computer del i et botnet.

Også e-mails bruges til dette formål - åbn derfor aldrig vedhæftede dokumenter i e-mails fra ukendte afsendere, da de kan indeholde skadelig kode, selvom de ser harmløse ud.

Selv billeder kan indeholde skadelig kode. Som eksempel kan nævnes den Skype-virus, der på det seneste har bredt sig som en steppebrand.

Angrebet indledes med, at der dukker en meddelelse op, der indeholder et link, og som spørger, om det er dit profilbillede. Lignende angreb har i løbet af de seneste måneder spredt sig på Facebooks chat og i direkte beskeder på Twitter.

Hvad end du gør, så klik ikke på dette link - det vil medføre, at din konto bliver kapret.

Hvis du klikker på linket, vil du se en popup, der viser, at dit profilbillede er blevet ændret. Derudover bliver der downloadet en virus til din computer i form af såkaldt ransomware.

Den låser dig blandt andet ude af din computer, kræver en løsesum på over 1.000 kroner, laver din computer om til en zombie og stjæler alle dine adgangskoder. Muligvis installerer den også en keylogger, der fremover aflurer ethvert tastetryk.

Hvis din computer inficeres af denne Skype-virus, kan du her læse, hvordan du fjerner den.

Fald ikke for dette fupnummer

Denne form for svindel går efter mindre webbutikker og privatpersoner, der sælger ting på nettet. Svindleren, der typisk er fra udlandet, udgiver sig som køber og tilbyder at betale med en bankcheck, postanvisning eller privat check.

Man kan også få en smøre om, hvordan det vil koste en masse penge at sende den pågældende vare, eller at der vil være ekstraudgifter til told, og at checken derfor er på et større beløb end varens pris.

Det lyder da meget godt, ikke sandt?

Men herudover får man at vide, at det haster, og at man derfor gerne må sende varen så hurtigt som muligt. Det er altid et faresignal.

Hvis du faktisk modtager en check eller en postanvisning, kan du godt regne med, at der alligevel ikke er dækning for den. Så hvis du sender varen, før checken er clearet, så har du mistet din vare - og så står du selv for at betale bankgebyrer og levering.

I en anden variation af dette fupnummer vil svindleren bede dig om at overføre det overskydende beløb, det vil sige forskellen mellem checkens beløb og prisen for varen plus leveringen.

Hvis du gør det, og du sender varen, før checken er clearet, så hæfter du selv for den pågældende vare, bankgebyrer, fragtprisen og det overskydende beløb, du har overført.

Hvis du sælger varer på nettet og nogen kontakter dig med et tilbud, der i mistænkelig grad minder om ovenstående, så lad helt være med at svare på henvendelsen - især hvis de beder dig om at overføre et eventuelt overskydende beløb.

Beskyt dine digitale aktiver

Som e-butik er du nødt til at tage adskillige forholdsregler for at beskytte dine digitale varer.

Du kan beskytte dig mod folk, der forsøger at stjæle dine downloads, ved at bruge DL Guard, som sørger for at dine kunder ikke kan dele dine download-links.

Med DL Guard kan man blandt andet tidsbegrænse en download og begrænse hvor mange gange en kunde kan downloade dit produkt, hvilket kan hjælpe til at begrænse piratkopiering. DLGuard gør det også muligt at blokere domæner, for eksempel i tilfælde hvor der indgives falske køb.

DLGuard kan dog ikke forhindre, at dine kunder piratkopierer dit digitale produkt, efter det er blevet downloadet.

Kunder fortryder ordrer

Et andet potentielt problem er kunder, der konsekvent fortryder gennemførte ordrer. Det er noget, DL Guard kan tage sig af, hvilket også et værktøj som ClickBank kan.

En måde at beskytte digitale dokumenter er ved hjælp af den adgangskodebeskyttelse, som Adobe Acrobat giver mulighed for.

Hermed kan du begrænse, hvordan dokumenter bruges. Anvendelsen af adgangskoder er dog ikke skudsikker og beskyttelsen kan brydes.

Det er ikke muligt at sikre sig imod piratkopiering af trykte bøger. Der findes eksempler på, at trykte bøger scannes, gemmes som pdf og sælges uden hverken forfatterens eller forlagets tilladelse eller kendskab.

I sådanne tilfælde kan man gå til domstolene eller i første omgang få en advokat til at udforme et brev, hvori man truer med at anlægge sag, hvis ikke ophavsretsbruddet omgående hører op.

Som du kan se, er der mange sikkerhedsmæssige problemstillinger at tage højde for, når man driver forretning på nettet.

Det bedste forsvar er dog, at vide hvad man skal være opmærksom på, og at være forberedt på at noget kan gå galt. Så hold øjnene åbne. Det kan godt betale sig at udvise forsigtighed på nettet.

Oversat af Thomas Bøndergaard

Læs også:

12 typiske fejl på dit website

Danske Banks hjemmeside lagt ned af kunderne




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere