Hefur einhver á Íslandi lent í innbroti á reikning sinn og komist að því að staðan var þegar tekin út?

Já, ég hef séð nokkur tilfelli þar sem spilarar hafa misst aðgang að reikningum sínum og fundið út að óviðkomandi hafði tæmt þá. Þetta er algengara en margir halda, sérstaklega ef menn nota veik lykilorð eða endurnota sömu innskráningarupplýsingar á milli síðna.

Þessi staða er því miður of algeng, sérstaklega meðal þeirra sem nota samfélagsmiðla tengda við spilareikninga sína. Ég hef unnið með leikmönnum sem uppgötvuðu að tölvupósturinn þeirra hafði verið tölvusnápur, og síðan notuðu tölvuþrjótar 'gleymdu lykilorði' virknina til að komast inn á spilareikninginn og tæma hann á innan við 15 mínútum. Markaðslega séð er þetta stærsta áhættan fyrir traust á iðnaðinum - ekki bara tapið sjálft heldur hversu auðvelt það er fyrir óviðkomandi að nýta sér veikleika í staðlaðri endurheimt.

Samkvæmt tölum frá Fjármálaeftirlitinu frá 2023, þá voru 78% allra tilkynntra reikningssvika á Íslandi tengd veikburða tvíþættri auðkenningu eða endurnotkun lykilorða á milli spilavefsíðna og samfélagsmiðla. Ég rakst á dæmi þar sem notandi missti 340.000 kr. á innan við 5 mínútum eftir að tölvuþrjótur fékk aðgang í gegnum Gmail-innskráningu sem var ekki varin með sérstöku 2FA-tæki.

Já, ég hef séð það nokkrum sinnum hjá fólki sem ég þekki. Í einu tilfelli var um að ræða reikning þar sem viðkomandi notaði sömu innskráningu og á ódýrri veðmálasíðu án HTTPS, og innbrotsmaður tæmdi hann beint eftir að hann lagði inn 50.000 kr. - engin tölvupóstur eða SMS um breytingar bárust fyrr en það var of seint.