Online-spel på arbetsplatsen: ”Ditt eget nöje – andras missnöje” Den webbaserade generationen har blivit alltmer beroende av teknik för vardagliga aktiviteter. Molntjänster, sociala nätverk, webbläsartillägg/plug-ins och onlinespel växer i popularitet och ersätter därmed vanliga skrivbordsapplikationer.1 Detta har i sin tur öppnat upp dörrarna för cyberkriminalitet då dessa grupper nu har fått nya kanaler att sprida malware och implementera webbläsarbaserade attacker genom. Bland annat handlar det om JavaScript-injektioner för att stjäla användaruppgifter och värdefull information. Oron över säkerheten för personliga uppgifter och onlineprofiler växer, särskilt när skadliga webbläsartillägg är på väg att bli en av de mest komplexa hoten att både upptäcka och förhindra. Spelar dina användare på jobbet eller kanske surfar de på suspekta webbsidor? Då finns det risk för att de någon gång blivit utsatta för allt från keyloggers till annonsinjektioner, phishing-försök och skadlig kod i installerade webbläsartillägg. "Online-Gaming" har blivit en stor industri, med en stadigt växande marknad och ekonomi som involverar företag som investerar stora belopp för att utveckla nästa stora "hit". Det drivs också av en enorm marknad av spelare som är villiga att spendera seriösa mängder pengar, inte bara för att köpa nya spel och plattformar, utan också för att få ett försprång genom spelobjekt och "in-game" valuta.2 År 2017 förväntas den globala spelmarknaden dra in makalösa 109 miljarder dollar, varav mobila enheter står för hela 42 % av intäkterna. Detta är en ökning med 8 respektive 19 procent från föregående år. Den främsta källan är mikrotransaktioner, köp av fördelar i spelet, som uppges till 8090 % av spelutvecklarnas intäkter. Vid 2020 beräknas intäkterna från mobilspel utgöra minst hälften av den totala marknaden och spelindustrin. 3 Bedragarna, som bland annat stjäl kontouppgifter och annan värdefull information, använder försäljningen av både spelkonton, objekt och virtuell valuta som ett sätt att tvätta pengar från andra brottsliga verksamheter. När en transaktion mellan spelare och säljare görs via en tredjeparts webbplats omvandlas intäkterna ofta till andra former av virtuell valuta - inklusive Bitcoin - för att hålla uppmärksamheten borta från polismyndigheten. Cyberkriminella kan sedan återinvestera pengarna i sin verksamhet för andra brott, casha ut eller använda den för att köpa mer virtuell valuta för senare försäljning. Ett återupplivat fenomen och hot, nu när nya distributionsmodeller för skadlig kod påfunnits, är ”Manin-the-Browser”-attacker (MitB). Dessa fungerar på så vis att de replikerar autentiska webbsidor och får användare att skriva in sina uppgifter på vad de tror är exempelvis sin internetbank eller Facebook. Eko är ett nytt exempel på en MitB-attack som skapade stora rubriker. Upptäckt på Facebook Ryssland i början av 2015, spred den skadlig kod via direktmeddelanden och bluffvideoposts. Offren skickades länkar till phishing-webbplatser som då replikerade Facebook (även YouTube) och uppmanade användarna att installera tillägg för videospelaren, för att kunna se filmklippet, som naturligtvis innehöll skadlig kod. Svårigheten med att skydda sig mot MitB-attacker beror på platsen där den skadliga koden lagras, ofta på en avlägsen server, vilket innebär att en infekterad PC inte behöver innehålla någon skadlig kod över huvud taget. Det är också väldigt svårt att urskilja skadliga skript från nödvändig och autentisk kod. Från användarens perspektiv kan ett skadligt webbläsartillägg se riktigt ut, vara användbart och även funktionellt bete sig som det skall, för att sedan efter en lång tid börja göra skada. Webbläsartillägg lever också bara i webbläsaren i sig och lämnar inga spår i kritiska systemområden, och de har inte några utmärkande indikatorer för att ha äventyrat systemet och dess filer. Detta gör dem svåra för olika antivirusprodukter att upptäcka. Hur skyddar man då sig? Spel är, tror det eller ej, inte bara för nördar längre. Med tillgängligheten som finns i dag – i och med de olika plattformar som erbjuds – har det möjliggjort att gammal som ung, kontorschef till snickare har åtkomst. Detta främst via smartphones. Därav behöver vi vara medvetna om integritetsriskerna som finns, speciellt när majoriteten av spelen har antingen en onlinekomponent eller en affärsmodell som bygger på "pay-as-you-play" (mikrotransaktioner). För att säkerställa dataintegritet ska du tänka på att minimera de konto-/personuppgifter som finns möjliga att lämna. Denna information blir för bedragarna i slutändan mer värdefull än själva spelkontot eller "in-game"-objekten därigenom eftersom det antingen kan säljas vidare dyrt på cyberkriminella svarta marknader eller användas för att ytterligare invadera offrets integritet genom att få tillgång till e-post och andra onlinekonton. En bra idé kan vara att skapa ett helt nytt e-postkonto där du registrerar allt som har med spel och exempelvis nyhetsbrev att göra. På så vis både sållar du bort "skräp" och slipper lämna ut en e-postadress som innehåller mer viktig information. Kom ihåg att inte koppla ickearbetsrelaterade saker till din företagsadress, detta då din privata identitet och den för ditt arbete inte skall blandas med varandra. Gång på gång när det kommer till IT-säkerhet tycks nyckelordet vara medvetenhet, så även här. “Even with all the solutions in the world you still need to create awareness among the crowd." 4 Vad vi som IT-leverantör erbjuder är utbildning för användarna om de senaste och mest vanliga hoten. Vi erbjuder även tjänster där vi sätter upp skydd i era miljöer såsom antivirus, webbläsarskydd och anti-spam. Det är ytterst viktigt med rutiner för hur vi arbetar mot klienter/servrar, för att säkerställa en bra identitetshantering. Exempel på genomtänkt arbetsmetod kan vara att efterleva en "least privileges"-policy. Som IT-ansvarig kan och bör du i samband med din HR-avdelning även sätta upp policies för den dagen det inträffar en incident. Vad gäller på respektive arbetsplats och vilka konsekvenser leder det till för både organisationen och den enskilda användaren. För att den över huvud taget skall finnas och ha funktion måste man först av allt ta fram policies för de anställda och hur de ska och får bruka sina IT-arbetsverktyg. Detta innefattar både datorer och mobiltelefoner samt program och system på respektive. Är det OK att ladda hem/fildela på arbetsdatorn, får man surfa till vilken hemsida man vill? och så vidare. Alla inblandade måste arbeta tillsammans över leden för att motverka en sådan sak som exempelvis webbläsarattacker. En detekterings- och skyddspolicy från både serversidan (via webbtjänster) och klientsidan (från webbläsare och AV-leverantörer) kan ge ett överlappande skydd för att stoppa exempelvis MitB-attacker. På kundsidan kan användarna stärka onlinesäkerheten genom att använda webbläsare med ytterligare säkerhetsmekanismer (Internet Explorers "Enhanced Protected Mode", AD-block, trusted sites, avaktivera ActiveX/Javascript) och genom att installera antivirusprogram (ofta idag med Web Browsing Protection). Även om webbläsare har sina egna skyddsmekanismer kommer en kombination av antivirusprogram, skydd på server- och klientsidan och eventuell AI-teknik (maskinlärande) att bidra till att bekämpa kapning av innehåll och skadliga webbtillägg. Inte att förglömma, det kanske viktigaste av allt, är att hålla sin programvara uppdaterad. Det japanska mjukvaruföretaget Trend Micro, specialiserat på antivirusprogram, säger att om spelare använder ”Real Money Trading” (RMT) för att få en orättvis fördel kan detta leda till att spelutvecklaren tar skada då andra spelare ger upp sitt spelande och därmed en stor del av den förstnämndes inkomst. Företaget menar också på att tvångsarbete nu är ett vanligt tema, med så kallade ”sweatshops” där man får de anställda att arbeta (spela) långa timmar för att tjäna virtuella pengar och spelobjekt som ska vidareförsäljas online. Detta gör de med låg lön - eller ingen alls – och utsätts även för dåliga arbetsförhållanden. År 2005 uppskattades att minst 100 000 kinesiska spelare arbetade i dessa anläggningar och år 2009 var denna siffra uppe i en miljon människor. 5, 6 Det är upp till spelutvecklare och leverantörer att hålla kontosäkerheten så tight och sömlös som möjligt – men det vore omöjligt att helt förhindra handel med spelvalutor på nätet. För att spelarna ska kunna hålla sina konton och pengar säkra och borta från exploatering, behöver de i stället nyttja bättre personlig säkerhet och vara försiktig med online-köp som verkar för bra för att vara sanna. Ibid "I grundläggande mening är det inte olagligt att köpa och sälja online-spelvalutor. Spelarna bör dock vara försiktiga när de deltar i ett sådant utbyte, eftersom de trots allt kan komma att finansiera cyberkriminella handlingar som får förödande implikationer i den verkliga världen." Ibid Källor 1 Information Age magazine. Browser-based malware: evolution and prevention (30 dec 2016). http://www.information-age.com/browser- based-malware-evolution-prevention-123463799/ (Hämtad 2017-05-02) 2 Trend Micro. Data Privacy and Online Gaming: Why Gamers Make for Ideal Targets (25 okt 2016). https://www.trendmicro.com/vinfo/us/security/news/online-privacy/data-privacy-and-online-gaming-why-gamers-make-for-ideal-targets (Hämtad 2017-05-02) 3 The Global Games Market Will Reach $108.9 Billion in 2017 With Mobile Taking 42% (20 apr 2017) https://newzoo.com/insights/articles/the-global-games-market-will-reach-108-9-billion-in-2017-with-mobile-taking-42/ (Hämtad 2017-0509) 4 TechCrunch. The gaming industry can become the next big target of cybercrime (8 jun 2016). https://techcrunch.com/2016/06/08/the- gaming-industry-can-become-the-next-big-target-of-cybercrime/ (Hämtad 2017-05-02) 5 ZDNet. Business is booming: How online gaming fuels cybercrime (11 okt 2016). http://www.zdnet.com/article/business-is-booming- how-online-gaming-fuels-cybercrime/ (Hämtad 2017-05-02) 6 Dyer-Witheford, Nick (2009). Games of Empire: Global Capitalism and Video Games. Minneapolis: University of Minnesota Press. p. 142. ISBN 9780816666102 – via ProQuest.