Videosamtal och onlinekonferenser: hur du håller dig säker för hackare

I och med covid-19 har många aktiviteter som tidigare utfördes fysiskt migrerat online. Från distansundervisning till att arbeta hemifrån till att hålla kontakt med vänner och familj: vi är allt mer beroende av internet för att kommunicera, och det är en trend som ser ut att fortsätta.

Videokonferenser har haft en central roll i detta. I april 2020 meddelade Zoom att de hade 300 miljoner mötesdeltagare per dag, en ökning från 10 miljoner per dag i december 2019 — trettio gånger fler på bara fyra månader. Pandemin har gjort att Zoom-appen har blivit en av de appar som laddats ned mest under de senaste månaderna. Elever och studenter, lärare, familjemedlemmar, företag och ideella organisationer av alla storlekar använder videokonferenser för att utföra uppgifter och aktiviteter — och likaså användare med hög profil som Alan Greenspan, tidigare riksbankschef i USA, och Boris Johnson, Storbritanniens premiärminister. Men hur säkra är videochattjänster och vad kan du göra för att hålla dig säker?

Här diskuterar vi nyckelfrågor relaterade till videokonferenssäkerhet och vad du kan göra för att säkerställa säkra videosamtal.

Hur säkra är videosamtal och konferenssamtal online?

Regeringen i USA anser att trenden mot fjärrarbete är en fråga om nationell säkerhet, på grund av möjligheterna för hackare. NSA släppte nyligen en utvärdering av 13 av de populäraste videochattverktygen.

Bland betygskriterierna fanns:

• Använder tjänsten start-till-slut-kryptering, vilket begränsar möjligheterna för utomstående att spionera eller tjuvlyssna på samtalet?
• Använder den flerfaktorsautentisering, ett alternativ som låser användarkonton på ett säkert sätt?
• Är tekniken baserad på offentligt tillgänglig öppen källkod, som anses vara mer säker än hemlig programvara som ägs av ett företag?

• Delar verktyget data med tredje part eller dotterbolag?
• Kan användarna på ett säkert sätt radera data från tjänsten och dess lagringsutrymmen vid behov (både från klientsidan och serversidan)?

Du kan läsa hela rapporten här, men som sammanfattning drog NSA slutsatsen att alla videochattjänsterna har minst en säkerhetsbrist. Exempel:

• Google G Suite och Microsoft Teams har inte start-till-slut-kryptering och använder inte öppen källkod
• Cisco WebEx, Zoom, Slack och Skype for Business har policyer för dataradering som inte är optimala
• GoToMeeting har ingen möjlighet till flerfaktorsautentisering

NSA gav sina högsta betyg till Facebooks WhatsApp, Signal (vars kod används av WhatsApp) och chattappen Wickr. Även om NSA:s rapport inte är sista ordet, är det en användbar översikt över de viktigaste problemen med videokonferenssäkerhet, och framhäver det faktum att ingen av de produkter som finns på marknaden uppfyller alla kraven på garanterad säkerhet.

Vanliga problem med onlinevideosäkerhet

Vanliga problem med videokonferenssäkerhet är bland annat:

Finns det start-till-slut-kryptering?

Detta är krypterade videokonferenser som säkrar kommunikationen så att den endast kan ses av de inblandade användarna och ingen som sitter mellan dem, inte ens själva appen. Om du vill veta mer om datakryptering och hur den fungerar kan du läsa vår artikel ’What is data encryption’.

Kan videosamtal fångas upp och spelas in av en tredje part?

Kan andra spionera på samtalet och kanske spela in det? Vem kan gå med i era samtal och hur kan de ta sig in? När skolor använder Zoom för onlinelektioner kan integritetsbrott innebära problem med säkerheten för barn. Zoom-möten går att komma åt med en kort, sifferbaserad URL, som lätt kan genereras och gissas av hackare.

Hur används dina kontodata?

 I vilken utsträckning följs ramverk för integritet som EU:s dataskyddsförordning eller Kaliforniens Consumer Privacy Act? Hur transparenta är apparna gentemot användarna beträffande vilka data som samlas in och vilka tredje parter som kan komma åt dessa data?

Var lagras de data som hör till din videoapp på din dator eller telefon?

Detta är speciellt relevant om du handskas med känslig information och känsliga dokument.

Exempel:

• I Skype sparas foton som du tar emot på din enhet om du inte ändrat inställningen. (Gå till Meddelanden i Inställningar i Android eller iOS för att konfigurera alternativet.)
• Om du laddar ned den chattlogg som medföljer ett videosamtal i Zoom, ingår även privata chattar mellan två deltagare i samtalet. Detta kan vara ett problem för jobbsamtal där du kanske har en privat konversation som du inte vill att andra ska kunna se.

Finns det övervakning inuti appen?

Zoom har till exempel fått kritik för funktionen för ”uppmärksamhetsspårning”, som gör att värdarna kan se om någon klickar bort sig från ett Zoom-fönster i 30 sekunder eller mer. Med denna funktion kan arbetsgivare kontrollera om anställda verkligen närvarar på ett jobbmöte, och lärare kan se om eleverna verkligen tittar på en presentation.

Kan potentiellt skadlig kod laddas ned av misstag och resultera i hackarintrång?

Kan till exempel användare utan att märka det ladda ned appar som får tillgång till kameran och mikrofonen? Appen eller den skadliga koden kan lämna ut personuppgifter till en hackare, som sedan utnyttjar dem.

Speciellt vad gäller Zoom: flera säkerhetsluckor i Zoom har rapporterats. 2019 avslöjades det till exempel att Zoom hade installerat en dold webbserver på användarnas enheter som gjorde att användare kunde läggas till i ett samtal utan att de gett tillåtelse till det. En annan bugg gjorde det möjligt för hackare att ta över en Zoom-användares Mac, inklusive att spionera på webbkameran och hacka mikrofonen. Zoom har därför arbetat hårt för att lösa säkerhetsfrågor och lämnar regelbundna uppdateringar på företagets blogg.

Exempel på onlinevideo som hackats

Ett av de mest omtalade exemplen på videokapning på sistone är ”Zoom-bombning”. Detta är när hackare tar sig in i chattrum och skriker rasistiska slagord eller kommer med hot om båld. Även om termen ”Zoom-bombning” kommer från Zoom-appen har liknande incidenter inträffat på andra videokonferensplattformar, till exempel WebEx och Skype. 30 mars 2020 meddelade FBI att man undersökte en ökning i antalet fall av videokapning.

I forums som Reddit och Discord har det förekommit koordinerade försök att störa Zoom-sessioner. På Twitter har olika konton lämnat ut lösenord till videokonferenser som då blev utsatta för att man kunde gå med utan tillåtelse. Vid vissa lärosäten har elever framhållit videokapning som ett sätt att störa onlinelektioner.

Komprometterade Zoom-sessioner — där oinbjudna användare tar sig in för att störa sessionen genom att säga saker som är oanständiga, rasistiska eller antisemitiska, så att värden stänger ned sessionen — delas sedan av hackare på videodelningsplattformar som TikTok och YouTube.

Tidigare kunde enkla Google-sökningar efter URL-adresser som innehöll "Zoom.us" hitta konferenser som inte var lösenordsskyddade, och därför lätta för hackare att gå med i utan inbjudan.

Även om kapade möten är störande och oroande för deltagarna, är det ett potentiellt farligare hot med folk som gör intrång på möten och inte avslöjar sin närvaro — vilket utgör allvarliga risker för både företagssäkerhet och privatliv.

Forbes rapporterade nyligen om en hackare som sålt över 500 000 stulna inloggningsuppgifter till Zoom, inklusive URL-adresser till personliga möten och Zoom-värdnycklar. Antagligen var en stor del av dessa inloggningsuppgifter återanvända lösenord som hackarna hade hittat någon annanstans.

Som svar meddelade Zoom följande:

 ”Vi har redan anlitat flera underrättelseföretag för att söka upp dessa lösenordsdumpar och de verktyg som användes för att skapa dem, samt ett bolag som har stängt tusentals webbplatser som försökt lura folk att ladda ned skadlig kod eller avslöja sina inloggningsuppgifter. Vi fortsätter våra undersökningar, vi låser konton som vi upptäcker har utsatts för intrång, vi ber våra användare att byta till säkrare lösenord och vi planerar att implementera ytterligare tekniska lösningar för att förstärka ansträngningarna ytterligare.”

Så skyddar du dina Zoom-samtal

Även om Skype är välkänt och etablerat, och folk var vana att använda FaceTime för videosamtal med vänner, är Zoom den videokonferensapp som har varit populäras sedan början på covid-19-krisen.

Den snabba ökningen av antalet användare har ökat kritiken mot att Zoom inte har tagit användarnas oro för videokonferenssäkerhet på tillräckligt allvar. Att Zoom inte — tvärtemot vad vissa användare trodde — har start-till-slut-kryptering har väckt oro. Zoom har tillhandahållit instruktioner för att låsa möten i ett blogginlägg och en video, men detta lägger fortfarande ansvaret för att skydda sig på användarna.

7 tips som hjälper dig att skydda dina Zoom-samtal

1. Lås mötesrummet genom att använda lösenord och kräva autentisering. Då kan bara de du vill tala med gå med i samtalet. Ta bort oönskade eller störande deltagare.
2. Lås skärmdelning. På så sätt kan bara de dela sina skärmar som du vill ska kunna det.
3. Var försiktig med att klicka på länkar och öppna dokument som skickas till dig. Verifiera via en annan kommunikationskanal att avsändaren verkligen skickat länken eller dokumentet till dig.
4. Var försiktig med vad du visar i bakgrunden. Flytta till exempel undan personliga tillhörigheter eller foton av barnen så att de inte syns i bild om du inte vill att de ska synas. Zoom erbjuder också möjligheten att ändra bakgrunden bakom dig. (Andra mötesappar — till exempel Skype — ger dig möjlighet att göra bakgrunden oskarp.)
5. Var försiktig med vad som finns på din skärm innan du använder skärmdelningsfunktionen. Detta gäller till exempel andra flikar eller privata chattfönster som kam vara öppna, eller dokument som kan visa känslig ekonomisk eller personlig information. Se till att du inte oavsiktligt visar post med din adress eller oavsiktliga närbilder av en ID-handling, ett kreditkort eller något annat som du kanske inte vill att en främling ska få se.
6. Kontrollera dina inställningar. Vissa säkerhetsinställningar är inte aktiverade som standard. Zoom har olika inställningar för skrivbordsdatorer och mobiler — inställningarna för skrivbordsdatorer är med detaljerade och ger mer kontroll än mobilversionen. Värdar har till exempel fler hanteringsverktyg och användare kan bara hantera blockerade konton på skrivbordsdatorer. 
7. Håll utkik efter nyheter om uppdateringar till appen. Om du håller dig uppdaterad har du en bättre överblick över de olika inställningar för integritet och säkerhet som är tillgängliga.

Hur du håller videochatt säker från hackare

Exakt hur du skyddar varje videochatt beror på vilken plattform du använder, så det är viktigt att du bekantar dig med detaljerna i hur den plattform du valt fungerar. Men många av de grundläggande principerna är desamma, oavsett vilken videochattapp du använder.

Här är några viktiga tips för säkerhet gällande onlinevideochatt:

Se upp med vad du delar

Var noga med vad du delar online, och det gäller också det du säger och gör i videosamtal. Eftersom det finns en risk att obehöriga får tag på en inspelning av samtalet eller deltar utan att du märker det ska du vara försiktig med vad du avslöjar. Håll inne med personlig information om det inte är absolut nödvändigt att dela den.

Var försiktig med vem du ger inbjudningslänken till

Publicera den inte i offentliga inlägg på sociala medier, i e-postmeddelanden till grupper, onlineprofiler eller någonstans där andra kan se den. Bjud in deltagare direkt från konferensprogrammet — och säg åt dem att inte dela länkarna.

Lägg upp varningar för vidarebefordrade möten

Ange varningar så att du vet när mötesinbjudningar skickas till andra med e-post. På så sätt kan du kontrollera att ytterligare inbjudna är legitima och ifrågasätta att en inbjudan vidarebefordras. Schemalägg vid behov ett nytt möte med ny inloggningsinformation.

Välj ett starkt lösenord

De flesta appar för videosamtal ger dig möjlighet att lösenordsskydda samtal. Välj ett starkt lösenord som är svårt att gissa. Använd starka lösenord och olika lösenord för olika appar och tjänster.

Välj start-till-slut-kryptering i dina videokonferensverktyg

Detta säkerställer att ingen annan kan komma åt din kommunikation. Ledande videoappar med start-till-slut-kryptering är bland annat:

• Google Duo
• Apples FaceTime
• Ciscos WebEx
• GoToMeeting
• WhatsApp
• Signal

Håll din programvara uppdaterad

Uppdatera apparna regelbundet. När sårbarheter och integritetsluckor utnyttjas, gäller detta oftast i äldre versioner av apparna. Uppdateringar innehåller ofta korrigeringar och säkerhetsuppdateringar som löser problem och sårbarheter. Att hålla din videokonferensapp uppdaterad är ett av de bästa sätten att hålla dig säker för hackare, eftersom ett företag som släpper en korrigering för att lösa ett säkerhetsproblem gör detta genom en uppdatering. Detta är en förebyggande säkerhetsåtgärd som du ska göra för alla appar, inte bara appar för videochatt och videokonferenser. Att hålla appar och enheter uppdaterade är enkelt på alla de större plattformarna. Oftast behöver du inte göra mer än att bekräfta uppdateringarna. Dubbelkolla att alla mötesdeltagare använder den senaste version som är tillgänglig.

Lås möten när alla deltagare är närvarande

Men om en giltig deltagare hoppar ur måste du låsa upp mötet så att de kan gå med igen, och sedan låsa det igen.

Använd väntrumsfunktioner i videokonferensprogram

Sådana funktioner placerar deltagarna i ett separat virtuellt rum före mötet, och gör så att värden kan släppa in bara de som ska vara i rummet. Konferenssamtalets ordförande eller värd bör kontrollera insläpp. Bjud in varje deltagare att säga några ord i början av mötet för att identifiera eventuella okända deltagare.

Känn till reglerna

Det lönar sig att känna till hur videoprogram fungerar innan du använder dem, så gör hemläxan. Ta dig tid att klicka genom alla inställningar, kontrollera din användarprofil och titta på allt annat du kommer åt för att se om du behöver ändra på något. Om du blir förvirrad av något och inte är säker på vad du ska göra antecknar du detta och slår upp det senare, för att se om du behöver vidta åtgärder.

Aktivera extra integritetsfunktioner

Det är alltid värt besväret att själv gå igenom inställningarna för videochatt och se om du kan aktivera extra integritetsinställningar.

Exempel:

• I Skype kan du välja om andra användare ska kunna leta upp dig efter telefonnummer eller e-postadress.
• I FaceTime kan du styra om andra användare ska kunna hitta dig med hjälp av ditt telefonnummer eller din e-postadress. Om du inte vill att gamla skolkamrater eller avlägsna släktingar ska kunna hitta dig, kan det vara bra att stänga av det här alternativet.
• I Google Duo finns funktionen Knack-knack, som visar ditt videoflöde för kontakter när du ringer upp dem men innan de svarar. Om du inte vill att det ska hända trycker du på de tre punkterna i övre högra hörnet i huvudfönstret i Duo, sedan på Inställningar, sedan Samtalsinställningar och slutligen på Knack-knack för att stänga av funktionen.

Ladda alltid ned appar från de officiella appbutikerna

Lär dig identifiera bluffappar. Kontrollera betyg och recensioner från användare, och akta dig för appar från icke auktoriserade webbplatser.

Chatta bara med folk du verkligen känner

Se till att den person du har en videokonferens med är pålitlig innan du delar något privat. Acceptera inte inbjudningar till chatt eller samtal från okända. Besvara inte samtal från okända.

Lägg upp flerfaktorsautentisering

Det gör det svårare för hackare att få tillgång till någons enhet eller onlinekonton, eftersom det inte räcker att känna till personens lösenord: det krävs en extra PIN-kod.

Se till att appen inte är igång när du inte sitter i samtal

Företag spionerar på dig så fort de får en chans, så ge dem inte den chansen. Täck över din webbkamera när den inte används och se till att du stänger appar och program helt när du är klar med dem.

Förhindra att möten spelas in

Blockera alla deltagare förutom ordföranden eller värden från att spela in mötet, eller lägg upp aviseringar som meddelar vilka deltagare som har börjat spela in.

Stäng av allt som ger appen för mycket behörighet

Till exempel allt som kan tillåta att information delas med tredje part och allt som påstår sig förbättra din upplevelse genom att ge annonsörer eller partners tillgång till dina data. Stäng av inställningar som gör att främlingar kan hitta dig, lägga upp dig som vän, gå med i din grupp eller ditt rum eller skicka meddelanden till dig. Stäng av möjligheten för alla andra att spela in dig. Använd lösenord överallt.

Använd inte video för ett samtal om det inte behövs

Om du stänger av din webbkamera och lyssnar på ljudet förhindrar det möjligheten att ta reda på mer om dig via föremål i bakgrunden. Ett samtal med endast ljud spar också bandbredd för internetanslutningen, vilket förbättrar mötets ljud- och bildkvalitet.

Om du har samtal med många deltagare kan du överväga att använda webbsändning istället för videokonferens

En webbsändning är ett konferenssamtal eller en presentation som visas online. Deltagarna kan visa presentationen och skicka frågor till talaren eller chatta med andra deltagare. Webbsändningar ger bara kontrollen till värden och utvalda presentatörer, och kan hjälpa dig att ha bättre kontroll över stora möten.

Var försiktig när du använder offentliga Wi-Fi-nätverk

Såväl hackare som konsumenter dras till kostnadsfri Wi-Fi av samma skäl: det krävs ingen autentisering för att ansluta till nätverket. Det ger hackarna ett gyllene tillfälle att få obegränsad tillgång till oskyddade enheter på nätverket. Använd försiktighetsåtgärder när du använder dem.

Lämna inte din telefon till andra än de du litar på

Någon som har fysisk tillgång till din telefon kan enkelt installera hackningsappar och orsaka problem.

Kom ihåg: hackare och cyberbrottslingar utnyttjar tillfället. Så ökad användning av videokonferenser har gjort dem till en måltavla. Allteftersom videosamtalstekniken utvecklas kommer de främsta aktörerna att behöva fortsätta sitt arbete för att säkerställa användarnas säkerhet.

Under tiden är ett sätt att hålla dig säker att använda Kasperskys Antivirus-skydd, som skyddar dig från virus på din dator och dina Android-enheter, säkrar och lagrar dina lösenord och privata dokument samt krypterar de data du skickar och tar emot online med VPN.

Relaterade artiklar:

• Vad är spionprogram?
• iPhone-kryptering: hur du krypterar din iPhone
• Allt om nätfiske och hur du förebygger det: vad du behöver veta
• Vad är dataintegritet?