Albert Soriano, our new Spanish community manager, joins Russian manager Anna Shirokova and French manager Anca Elena Amariei, to form the A-Team! Albert has an interest in social media and new technology, plus he’s a long-time AVAST user – a perfect combination for a Prince of the FREEks. He’s a university student studying Multimedia engineering and […]
Eräs ystäväni soitti minulle viime viikolla (olen ystäväpiirissäni se IT‑/tietoturvatyyppi). Hän kysyi, mitä pitäisi tehdä, jos on saanut alla olevan ilmoituksen, sillä hän ei ollut nähnyt vastaavaa aikaisemmin. Kuten alla näkyy, ilmoituksessa varoitetaan, ettei kyseinen sivusto ole välttämättä enää turvallinen, koska sen SSL‑varmenne on vanhentunut.
Vastasin välittömästi, ettei hänen pitäisi missään tapauksessa jatkaa eteenpäin. Jos epäilyttää, voi siirtyä toiselle sivustolle, käydä liikkeessä paikan päällä, yrittää soittaa tai lähettää yritykselle sähköpostia, mutta verkkosivustoa ei kannata käyttää. Ystäväni vastaus oli melko yllättävä: Tiedusteltuaan ongelmasta Twitterissä hän oli saanut kyseisen sivuston edustajalta neuvon, jonka mukaan ”tästä varoituksesta ei ole mitään syytä huolestua”. Pohdittuani asiaa hetken tajusin, että neuvo oli varsin kauhistuttava. Miksi luotettavalta sivustolta annettaisiin noin kummallisia ohjeita?
Syy numero 1: Sivusto ei halua menettää yhtäkään asiakasta.
Syy numero 2: Sivustolla ei ymmärretä edes perusasioita sen suhteen, kuinka kuluttajien luottamus rakentuu, mistä syystä asiakkaille annetaan vääriä neuvoja.
Syy numero 3: Sivustolla ei olla tietoisia, mitkä ovat seuraamukset, jos ihmiset noudattavat tämänkaltaisia huonoja neuvoja.
Oletin, että kysymyksessä oli syy numero kolme, joten soimasin sivuston omistajia. Sitten aloin tutkia tätä nimenomaista ongelmaa ja sivustoa tarkemmin selvittääkseni, mitä oikein oli tapahtunut. Tällä kertaa oli kyse verkkokauppasivuston ylläpitotiimin tarkkaamattomuudesta. Varmenne oli ehtinyt vanhentua huomaamatta, joten he yrittivät paikata tilannetta ja lieventää epähuomiossa sattuneen virheen vaikutuksia. Se, että asiakkaita käsketään ohittamaan varoitus, ei kuitenkaan ole minkään järkeenkäyvän parhaan käytännön mukaista. Antaisivatko he saman neuvon seuraavan kerran kun jotakuta asiakasta pyydetään sähköpostitse paljastamaan luottokorttitietonsa ja kotiosoitteensa? Toivottavasti eivät. Entäpä jos heidän sivustoonsa olisi tarttunut haittaohjelma? Tiettävästi 61 prosenttia haitallisista sivustoista on todellisuudessa aitoja verkkosivustoja, joiden tietoturva on vaarantunut tai joille on tartutettu haitallista koodia. Vuonna 2012 verkkosivustotyypeistä, jotka isännöivät haittaohjelmia, yritys‑, teknologia‑ ja ostossivustot olivat viiden yleisimmän joukossa (lähde: englanninkielinen Symantec ISTR 2013 -raportti). Jos tietokoneeni virustorjuntaohjelma havaitsisi haitallisen sivuston ja estäisi sen, kehotettaisiinko minua ohittamaan sekin varoitus ja jatkamaan vain eteenpäin?
Esimerkit edustavat ehkä ääripäätä, mutta jos käyttäjiä kehotetaan ohittamaan heidän suojakseen tarkoitetut tietoturvavaroitukset, kyseessä on huono käytäntö, eikä verkkokauppiaiden pitäisi missään tapauksessa heikentää asiakkaiden luottamusta tällä tavoin.
Minkä neuvon antaisin siis itse sekä ystävälleni että suurelle yleisölle? Valittakaa! Ja valittakaakin kunnolla. Käyttäkää live chat ‑keskustelutoimintoa, muualla verkossa julkaistua puhelinnumeroa ja sosiaalista mediaa. Laittakaa häpeämään ne ihmiset, jotka käyttävät luottamustanne hyväkseen ja saattavat teidät mahdollisesti vaaraan. Vaatikaa, että sivuston on vakuutettava teidät, jotta voitte käyttää sitä: sivustolla tulee olla näkyvissä Norton Secured Seal ‑tunnus tai muu luotettavuusmerkki, josta käyttäjät tietävät, että sivusto on tarkistettu, eikä sillä ole haittaohjelmia. Tehkää myös selväksi, ettette aio käydä kauppaa kyseisen yrityksen kanssa niin kauan kuin selaimessanne näkyy sivuston turvallisuutta tai tietoturvaa koskevia varoituksia. Kuluttajilla on paljon valtaa, ja jos valitamme ja äänestämme jaloillamme, viestimme tämänkaltaisten sivustojen omistajille pitäisi kyllä mennä perille. Toki monet meistä sulkevat epäilyttävän sivuston heti varoituksen nähtyään, mutta on myös käyttäjiä, jotka eivät vain ole varmoja, kuinka toimia, tai joita vedätetään kylmästi käskemällä ohittamaan asianmukaiset tietoturvavaroitukset tai antamalla muita huonoja neuvoja.
Jos me tällä alalla kehotamme toistuvasti käyttäjiä ohittamaan varoitukset, me saatamme aliarvioida luottamuksen ja verkkoturvallisuuden merkityksen – ja miksipä ottaisimme sen riskin, sillä verkko on täynnä mahdollisuuksia (ks. englanninkielinen blogikirjoitus).
Tietoturva‑alan toimijat tekevät parhaansa luodakseen varoituksia ja kehittääkseen suojausmenetelmiä työkaluihin, joiden avulla verkossa harjoitetaan liiketoimintaa. Kenenkään tällä alalla työskentelevän ei pitäisi ikinä neuvoa ketään ohittamaan varoituksia. Verkkokauppasivusto, joka antaa asiakkaalle huonoja neuvoja, ansaitseekin menettää kyseisen asiakkaan, sillä kun luottamus on kerran menetetty, sitä on lähes mahdoton voittaa takaisin. Ja siinä vaiheessa tappio on meidän kaikkien yhteinen.
Social networks and new online services make it easy to share the details of our lives, perhaps too easily. With just a few clicks, posts and messages, you can give away enough personal information to compromise your privacy and even open yourself up to identity theft. Hackers use information you post online to try and Read more…
Wonder Twin powers activate! Shape of a Pterodactyl! Form of an icicle! Watching the Super Friends on Saturday mornings in my pjs while eating sugared cereal for breakfast and reading comic books was the extent of my relationship with super heroes. Ahh… those were much simpler times. Today kids can find everything they need to Read more…
There are more sites growing in popularity in social network paradise and you may have even experienced first-hand. Our teens are giving Facebook a wide berth and investing their time in other ‘hip’ sites such as Instagram and Snapchat. Facebook even recently admitted that ’some of our users have reduced their engagement with Facebook in Read more…
We’d all like to think that with the current offerings and enhancements in mobile services we have unfailing access to the information superhighway. High-bandwidth, mobile networks (4G LTE) promise the speediest connection for all of your data—email, photo posts, check-ins—anywhere, anytime. The truth is that although we feel completely connected through our mobile devices, this Read more…
In conjunction with our investigation into Operation Troy, we will be releasing IOC data in the open and highly flexible OpenIOC Framework format. The McAfee Operation Troy IOC can be downloaded here. In addition to various open/free tools, OpenIOC data can be consumed by: McAfee Read more…
McAfee has reported on increasing fraudulent Android applications on Google Play in Japan this year, including one-click fraud applications and fraudulent adult dating service applications. The attackers are still looking for new victims using various techniques. We have also found a new variant of the one-click fraud application that lures careless users into adult voice-connection Read more…
Late on July 10, Microsoft released a blog post disclosing that they were aware of a zero-day attack in the wild. This attack exploits a previously unpatched Internet Explorer vulnerability (CVE-2013-3163). It’s interesting that the vulnerability was just patched in this month’s Patch Tuesday (July 9), which is perhaps only a coincidence. Although we do Read more…