Spørgsmål og svar om hackerangreb

Først og fremmest vil vi fra Danske Bioanalytikere endnu engang understrege, at vi er dybt berørte over sagen og den uro og de besværligheder, det medfører hos jer.

Vi har på denne side forsøgt at samle al den information og viden, vi har om hackerangrebet på dbio's it-systemer lige nu.

Siden vil blive opdateret løbende.

Hvad skal jeg gøre?

Her får du 6 gode råd fra IT-ekspert Kristian Rieper-Holm fra Protech-X, som rådgiver Danske Bioanalytikere i forbindelse med hackerangrebet.

Kreditadvarsel

Kreditadvarsel er en markering i CPR om, at du ønsker at advare mod, at der ydes lån og kredit i dit navn.

Virksomheder med en berettiget interesse kan få besked fra CPR om markering om kreditadvarsel. 

En markering om kreditadvarsel vil være et signal til virksomhederne om at være særligopmærksomme i forbindelse med deres identitetskontrol, før der ydes lån eller kredit. 

Der kan findes vejledning på borger.dk

Politianmeldelse 

Uanset om du har fået oprettet en profil på B365 eller ej, er det en god ide at lave en politianmeldelse, og efterfølgende gemme dokumentationen på det, så du har tilgængelig, hvis der skulle opstå noget på et senere tidspunkt. 

Mere information findes på politi.dk. Direkte link til anmeldelse.

Kontakt til forsikringsselskab 

Tag proaktivt fat i dit forsikringsselskab for at høre, om du har dækning for eventuelt identitetstyveri. Hvis du har dækning, så hør, hvordan du skal forholde dig vedr. anmeldelse. Skal der oprettes noget allerede på nuværende tidspunkt, eller er det først, hvis du opdater et reelt misbrug.  Det er godt at være på forkant.

Kontakt Bauta Forsikring

Skift adgangskoder 

Vær især opmærksom, hvis du har haft genbrugt den adgangskode, som du har benyttet til dbio andre steder. Sørg for at benytte en unik adgangskode til hver tjeneste (Ikke genbruge den samme).

Aktiver 2-trinsgodkendelse 

2-trins fungerer ved at tilføje et ekstra lag af sikkerhed til dine onlinekonti. Det kræver ekstra login-legitimationsoplysninger - ud over blot brugernavnet og adgangskoden - for at få adgang. Det ekstra lag kan være en kode, der sendes på sms, e-mail, eller genereret på en app på din telefon. Det anbefales at installere en app til 2-trinsgodkendelse. Her kan nævnes bl.a. Google authenticator og Microsoft authenticator 

Vejledning til Facebook, vejledning til LinkedIN og hjælp til Google. Danske Bioanalytikere har aktiveret 2-trinsgodkendelse på vores systemer.

Benyt en passwordmanager

Password-manageren er en tjeneste, hvor du har samlet alle dine kodeord, som du kan få adgang til på enten web eller på en app. Den kan altså hjælpe dig med at holde styr på koderne. Dine kodeord kan du selv lave og gemme i password-manageren. Password-manageren gemmer dine passwords krypteret og for at få adgang til passwords, skal du bruge dit brugernavn adgangskode. Det anbefales også at aktivere 2-trinsgodkendelse på sin passwordmanager. Her kan nævnes Lastpass og 1Password.

Spørgsmål og svar

FAQ'en er opdelt i en række emner, som berører hackerangrebet på dbio's it-systemer. Siden vil blive opdateret løbende,

Hvad gør jeg nu, og hvad skal jeg være opmærksom på

Hvad skal jeg gøre nu?

Vores it-sikkerhedsekspert anbefaler følgende:

  1. Kreditadvarsel 
  2. Politianmeldelse 
  3. Kontakt til forsikringsselskab 
  4. Skift adgangskoder  
  5. Aktiver 2-trinsgodkendelse på internet tjenester  
  6. Benyt en passwordmanager.

Læs mere i toppen af denne side, hvor alle seks råd er beskrevet.

Hvor længe skal jeg holde øje?

Du skal generelt være opmærksom på svindel kontinuerligt og særligt nu, da dine personlige oplysninger kan være en del af hacket hos dbio. Hvis du følger rådene fra IT-sikkerhedseksperten, så har du gjort meget forebyggende i forhold til at sikre at svindlere ikke får held med misbruge dine oplysninger fremadrettet.

 

Hvad gør jeg hvis mit cpr.nr. misbruges til bestille medicin?

Hvis man opdager at ens CPR-nummer er blevet brugt til at bestille receptpligtigt medicin hos en læge, kan man få ens læge eller apotek til at oprette en kode på CPR-nummeret. 

Samtidig kan din egen læge notere i din journal, at det ikke er dig, der bruger medicinen, så andet sundhedspersonale ikke fejlvurderer dig. 

Hvordan beskytter jeg mig mod phishing?

Hvad er phishing:

Phishing er falske e-mails, der bruges til at forsøge at lokke personlige informationer ud af modtageren. Det kan f.eks. være betalingsoplysninger, NemID/MitID-oplysninger eller andre private oplysninger. Afsenderen forsøger typisk at udgive sig for at være en kendt virksomhed (f.eks. din bank, PostNord eller Microsoft), en offentlig myndighed (f.eks. Skattestyrelsen) eller en person (f.eks. en kollega eller en ekstern samarbejdspartner). E-mailen vil typisk indeholde et link, som afsenderen forsøger at lokke modtageren til at trykke på. Når linket åbner, vil man blive bedt om at indtaste forskellige information, hvorved de får adgang til ens oplysninger.

Sådan kan du undgå phishing:

Vær opmærksom på indholdet i mailen og især afsenderen.

Selvom mailen ved første øjekast ligner, at den er ægte, vil der typisk være nogle klassiske tegn på, at det er phishingmail. Ægte virksomheder og myndigheder vil f.eks. aldrig bede dig om at udlevere personlige oplysninger i en mail eller på SMS. På E-mail vil domænet på mailadresse vil typisk også se helt forkert ud. En god tommelfingerregel er, at e-maildomænet skal matche organisationens hjemmeside (f.eks. e-maildomænet @dbio.dk og www.dbio.dk). Phishingmails indeholder også ofte mange stave- og formateringsfejl, som man ikke normalt ser i ægte e-mails.

Hvis du modtager mails eller SMS fra et pakkeleveringsfirma, kan du tjekke det pakkenummer de oplyser på det pågældende firmas hjemmeside, inden du trykker på links i e-mailen eller SMS beskeden. Vær her også særlig opmærksom på, om du overhovedet forventer en levering.

Kontakt afsenderen, hvis du er i tvivl

Hvis du har fulgt ovenstående råd, men stadig er i tvivl om hvorvidt en mail eller SMS besked er phishing eller ej, kan du altid kontakte den påståede afsender. Indtast manuelt deres hjemmeside i din browser, brug ikke links fra e-mailen eller SMS beskeden.

Beskyt dig selv

  • Skulle uheldet alligevel være ude, bør du have et antivirusprogram, som kan scanne links og vedhæftede filer, inden de infiltrerer din computer
  • Lav sikre passwords, som du ikke genbruger. Brug gerne en passwordmanager, som kan danne og gemme stærke passwords
  • Opsæt to-faktorgodkendelse alle steder hvor det er muligt
  • Sørg for, at dine enheder og programmer er opdaterede, da opdateringer kan indeholde vigtige sikkerhedsopdateringer
  • Scan aldrig dit nøglekort og opgive ikke konto oplysninger til nogle du er usikker på eller ikke kender
  • Brug din sunde fornuft.

Forbrugerrådet Tænk har lavet en app, Mit digitale selvforsvar, som advarer om aktuelle forsøg på digital svindel, som man også kan tjekke hvis man er i tvivl. 

 

Beskyt dig mod fupopkald

Når du bliver ringet op af en svindler, der prøver at snyde dig, kalder man det et fupopkald. Der er mange typer af fupopkald, og de kan være svære at gennemskue, da de kan komme fra både danske og udenlandske numre. De to mest benyttede typer af fupopkald kaldes wangiri og spoofing.

Fupopkald der kommer fra udlandet, ”gemmer sig” ofte bag et dansk nummer. Dette kaldes spoofing. Ved spoofing-opkald, vil målet typisk være at franarre offeret personlige oplysninger. Et velkendt svindelnummer er også, at svindlerne udgiver sig for at ringe fra f.eks. Microsoft, for at prøve at få adgang til din computer og derigennem få fat i dine personlige oplysninger.

Wangiri betyder ’et opkald og læg på’ på japansk – og det er netop det, der sker. Svindlerne programmerer en computer til at ringe op til tilfældige telefonnumre og afslutte opkaldet efter få sekunder. Ofte vil du ikke kunne nå at tage telefonen, og når du at besvare opkaldet, er der ikke nogen i den anden ende. Svindlerne håber, at det ubesvarede eller mislykkede opkald vil få dig til at ringe tilbage, og gør du det, kan det komme til at koste dig dyrt, da opkaldsprisen er mange gange højere end normalt.  

Undgå at blive snydt

  • Giv aldrig personlige oplysninger ud over telefonen, hvis det ikke er i forbindelse med opkald, du selv har taget initiativ til. Svindlere kan være interesserede i at få adgang til din computer, dine adgangskoder eller kortoplysninger. Offentlige instanser, banker og troværdige firmaer vil aldrig bede dig om at udlevere disse oplysninger over telefonen.
  • Slå numre op inden du ringer tilbage, f.eks. på www.krak.dk eller www.180.dk.
  • Ring aldrig tilbage til udenlandske numre du ikke kender.
  • Meld nummeret til dit teleselskab, så de kan vurdere om det skal blokeres fra at ringe op til deres kunder.

Forløbet

Hvorfor bliver det ikke taget seriøst i første omgang?

Danske Bioanalytikere har taget alle henvendelser seriøst.

dbio bliver i begyndelsen af juli gjort bekendt med at bioanalytikere ansat i Region Midtjylland har talt sammen om at de alle har modtaget et brev fra Bet365 om at der er oprettet en konto i deres navn.

Både dbio og medlemmerne deler opfattelsen af, at et af de mistænkelige fælles træk er, at de berørte er Bioanalytikere.

Derfor undersøger dbio sammen med leverandørerne af de IT-systemer vi bruger, om vi er blevet hacket. Dette kan ikke bekræftes.

dbio orientere blandt flere Region Midtjylland om hvad medlemmerne har oplevet, og at det ikke kan bekræftes at vi er blevet hacket. Samtidig informeres der bred i organisation om, at der skal være opmærksomhed om svindlen.

Senere i juli opstår der en samtale på Facebook Gruppen for Bioanalytikere. Flere bioanalytikere deler viden og informationer på tværs af landet om, at de har fået samme brev fra Bet365.

Herefter - forsætter og intensiverer – dbio sin undersøgelse af et muligt hack på et af systemerne.

I bunden af denne side kan du se en video fra webinaret om hackerangrebet, hvor der også bliver redegjort for forløbet.

Hvorfor fik pressen besked før medlemmerne?

Vi kontaktede ikke pressen.

dbio prioriterede at informere medlemmerne først. Men når ca. 6500 medlemmer skal have den samme mail, tager det omkring 4 timer for vores system at sende mailen ud til alle. Derfor nåede pressen at få nys om sagen, inden alle medlemmer havde fået deres mail fra os.

Har dbio indberettet berørte navne til Datatilsynet?

dbio har meldt hacket til Datatilsynet. dbio forventer at der kommer en yderligere dialog med Datatilsynet herom ligesom i tilsvarende sager.

I forbindelse med anmeldelsen har dbio beskrevet at nuværende og tidligere medlemmer kan være berørt, men Datatilsynet skal ikke bruge enkelte navne til behandlingen af sagen. Det skal politiet derimod til deres efterforskning af sagen, derfor skal du anmelde det til politiet.

Information

Hvordan får tidligere medlemmer besked?

Vi har løbende informeret via dbios Facebook gruppe samt via vores hjemmeside. Det har vi gjort for at fange så mange medlemmer og tidligere medlemmer som muligt.  

Link til webinaret er også lagt offentligt tilgængeligt på vores hjemmeside, så alle har mulighed for at deltage.

Vi har d. 18. august sendt mail til alle berørte tidligere medlemmer. Hvis vi ikke har sendt mail til dig, skyldes det enten at dine data ikke er berørte eller at vi ikke har en gyldig mailadresse på dig. 

Har du ikke modtaget mailen, kan du skrive til dbio@dbio.dk og få tilsendt en kopi. 

Hvordan får døve besked om webinaret

Videoen fra webinaret er nu blevet tekstet.

Derudover kan man altid følge med på dbio.dk, hvor de vigtigste informationer vil blive meldt skriftligt ud.

Hvornår afholdes næste webinar?

Næste webinar afholdes torsdag den 18. august fra kl. 20-21.

Et direkte link til webinaret vil blive offentliggjort på vores hjemmeside et par timer før start.

Kan der afholdes webinar på en anden dag end en torsdag?

Vi tager løbende bestik af behovet for flere webinarer fx på en anden dag end en torsdag.

Derudover arbejder vi på at få lavet/optaget dele af webinaret, så alle har mulighed for at se det, når det passer bedst for dem.

Optages webinaret

Ja, og størstedelen af webinaret kan ses i en video i bunden af denne side, så alle har mulighed for at se det, når det passer bedst for dem.

Hvilke data er blevet lækket?

Alle stamoplysninger i medlemssystemet, som I i sin tid indtastede, som en del af jeres medlemskab, kan være kompromitteret.

Navn, adresse, fødselsdato, cpr-nr., telefonnummer, oplysning om arbejdssted, eventuelle tillidshverv, email-adresse, fagforeningsmæssigt tilhørsforhold.

Hackerne har ikke fået adgang til jeres betalingsoplysninger.

Manglende sikkerhed

Hvordan kan man have et system, der ikke opdager angreb løbende?

dbio har ikke gjort det godt nok på dette område.

Vi arbejder sammen med vores IT-sikkerhedseksperter om at sikre at det ikke kan gentage sig.

Hvorfor bruger man ikke NemID/MitID til login?

dbio vil se på at udbrede anvendelsen af NemID/MitID. Der kommer hele tiden nye muligheder i vores systemer, og der er også allerede systemer, hvor det er muligt, og hvor vi anvender dette.  Det vil indgå som et element til drøftelsen med vores IT-sikkerhedseksperter.

Hvad betyder det, at svindlerne har hacket sig ind i et undersystem, som dbio selv står for?

Svindlerne har hacket sig ind i et dagsordenssystem, som vi selv har udviklet, og den vej rund fået adgang til stamoplysninger til medlemmer og tidligere medlemmer.

Konsekvenser

Har I overvejet at skifte it-udbydere?

Alle elementer omkring sikkerhed af det berørte system bliver gennemgået. Herunder valg af udbyder.

Får I en bøde for det her?

Vi er i dialog med Datatilsynet, som har vejledt os løbende i forbindelse med sagen.

Sagen er anmeldt til Datatilsynet, og de skal vurdere både angrebet, it-sikkerheden, samt det efterfølgende forløb. Derefter er det op til Datatilsynet om dbio skal tilkendes en bøde.

Andet

Er det kun hos BET365 eller andre spiludbydere?

Så vidt vi ved, er oplysningerne pt. kun blevet brugt til oprettelse af spilkonti på BET365.

Vi anbefaler dog, at du løbende er opmærksom på eventuelle henvendelser fra andre firmaer som du ikke kender til.

Hvordan kontakter jeg BET365

BET365 kan kontaktes enten via en Live chat eller via E-mail

  • Gå til siden www.bet365.dk
  • Scroll ned i bunden og vælg ”Kontakt os”
  • Vælg nu enten at sende en mail hvorefter dit mail programmer starter en ny mail eller vælg ”Live chat” (åben chat)
  • Når chatten åbner så skal du vælge ”Jeg kan ikke logge ind” og skriv dit navn og din E-mail og tryk ”Start chat”
  • Du kommer nu i en kø og kan vælge at åbne chatten. Du kan først starte med at skrive når det er din tur.

Hvis man mister noget økonomisk på det her, hvem står så til ansvar?

Hvis man følger vejledningen særligt vedrørende politianmeldelse, kontakt til forsikringsselskabet og kreditadvarsel så er man godt sikret i forhold til ikke at miste noget økonomisk.

Kan dbio gøre noget centralt for at undersøge misbrug?

dbio har tilbudt at dele informationer om angrebet med politiet, men det er politiet, der som myndighed skal efterforske misbrug.

Video fra webinar

Se eller gense webinaret om hackerangrebet på dbio's it-systemer. Deltagere: IT-ekspert Kristian Rieper-Holm fra Protech-X, formand Martina Jürs og organisatorisk chef Janus Pill Christensen.

Videoen har undertekst, hvis man slår det til i afspilleren med hjælp af det lille tandhjul.

Udklip_webinar_hackerangreb.PNG

Opdateret senest 4. januar

Særligt benyttede sider på dbio.dk

Job

Løn

FAQ

Bliv medlem

På mit dbio kan du ændre dine brugeroplysninger, tilmelde dig kurser og tilgå indhold kun for dig.