Bądź cyberbezpieczny. Jak nie dać się złowić w internecie?

Piszemy zawsze, wszędzie, o wszystkim, niemal z każdym! Skoro piszemy, to także czytamy, oglądamy, klikamy. Kolega przesłał link do ciekawego profilu na Fejsie, koleżanka podesłała śmieszną fotkę, a my klikamy, pobieramy, udostępniamy. Nie zdajemy sobie nawet sprawy z tego, jak bardzo zagraża nam… phishing! – ostrzega Grzegorz Boruszewski* w nowym cyklu „Tygodnika Krąg”, który dotyczy bezpieczeństwa w internecie

Jedną z niekwestionowanych zalet istnienia internetu jest możliwość i wygoda pozostawania w ciągłym kontakcie. Od kiedy mamy do dyspozycji mejla lub internetowe komunikatory, nie musimy się trudzić pisząc na kartce wypracowania, pakować je w kopertę i przebierać nogami na widok listonosza – bo może odpisała/odpisał. Szczególnie dziś, w dobie pandemii, łatwo o kolejne przykłady korzyści z tego rodzaju komunikacji. Dzięki zdalnej wymianie danych pandemia nie zdestabilizowała doszczętnie systemu edukacji (przynajmniej w teorii).

Ale nie ma róży bez kolców. Piszemy zawsze, wszędzie, o wszystkim, niemal z każdym! Skoro piszemy, to także czytamy, oglądamy, klikamy. Kolega przesłał link do ciekawego profilu na Fejsie, koleżanka podesłała śmieszną fotkę, a my klikamy, pobieramy, udostępniamy.

Nie zdajemy sobie nawet sprawy z tego, jak bardzo zagraża nam… phishing!

To nie był zwykły dzień…

Jak nie dać się złowić w necie? Dlaczego w ogóle należy na to zwracać uwagę?

Poznajmy wroga. Phishing to proces uzyskiwania dostępu do danych ofiary w sposób nieuprawniony, z wykorzystaniem elektronicznych środków komunikacji i zabiegów socjotechnicznych. Jako dane w tym procesie możemy potraktować dane osobowe, np.: imię, nazwisko, adres, pesel czy numer telefonu.

To mogą być też inne dane – login i hasło czy jednorazowe kody autoryzacyjne, choćby do portalu społecznościowego albo do banku. Czym grozi ujawnienie takich danych? Na pewno znacie już odpowiedź: utratą konta, stratą oszczędności.

O ile kara za nieuwagę mierzona w walucie jest w sposób oczywisty bolesna, o tyle utratę dostępu do naszego konta możemy istotnie zlekceważyć. Byłby to jednak błąd, błąd daleko idący, bardzo daleko. Niechaj za przestrogę posłuży przykład.

Renata (imię zmienione, choć sytuacja prawdziwa) jak co dzień sprawdziła, co słychać w jej ulubionej facebookowej grupie poświęconej turystyce. To nie był jednak zwykły, szary dzień, o czym Renata za chwilę się przekona co najmniej dwukrotnie. Przekonają się też jej znajomi i Marta – ona z kolei ów dzień będzie przeklinać po stokroć. Kończąc przecieranie oczu ze zdumienia, Renata zdała sobie sprawę z tego, że los potrafi być łaskawy. Jej przyjaciółka – Marta – sprzedaje talony do jednego z uznanych i szanowanych biur podróży z 50-procentową zniżką!

Marta! To Marta mnie oszukała!”

Normalnie nie dałaby wiary, ale przecież to Marta sprzedaje. Ta Marta! One już razem tyle podróży zaplanowały, tyle skomentowały zdjęć zorzy w Tromsø i szmaragdowych jeziorek w Nowej Zelandii. Kupiła, a żeby mieć pewność, że podczas podróży życia niczego jej nie zabraknie, to kupiła nawet dwa talony! Radości nie zepsuły nawet pierwsze nieudane próby skorzystania z otrzymanych kodów-talonów. Dostała je dopiero trzy dni po zakupie. Trzeba było poczekać, aż się wygenerują? Dopiero przy czwartej próbie uzupełnienia coraz bardziej złowieszczego pola „kod rabatowy” Renata wysłała zdławione sygnały „stop” w kierunku małżonka, który już pakował walizki. Okazało się, że kody są już nieaktualne… „Marta! To Marta mnie oszukała!”.

Renata chwyciła za telefon i już miała przypomnieć sobie najgorsze przekleństwa, od których zwykle więdły jej uszy. Ale operator oznajmił, że Marta jest za granicą.

Po jakimś czasie okazało się, że nie tylko Renata kupiła talony. Jej znajomi z grupy FB też skorzystali z okazji. Siłą rzeczy nie skorzystała z okazji Marta, która w czasie, gdy ktoś z jej konta sprzedawał talony, realizowała, skrupulatnie opisując każdy szczegół, swoją własną podróż życia. Po powrocie nie miała bladego pojęcia ani o kodach, ani o promocji, ani tym bardziej o tym, że sprzedała je tak tanio. Ba, że w ogóle je sprzedała! Bo ktoś włamał się na konto Marty i wykorzystując to, że znajomi jej ufali, sprzedał nieistniejące talony do biura podróży.

Z tej historii mało kto wyszedł cało. Kupujący stracili pieniądze, Marta konto i zaufanie, tylko złodziej konta godności stracić nie mógł – bo jej nie miał, skoro oszukiwał i kradł.

Ten ostatni fakt to jednak wątpliwa pociecha.

Jak można się nadziać w internecie:

– Dostałem mejla od nieznanej mi osoby (lub od znanej, ale o jakiejś dziwnej, nietypowej treści) z załącznikiem, który polecono mi otworzyć – okazało się, że to złośliwe oprogramowanie przekazujące złodziejowi to, co wpisuję z klawiatury (więc także moje loginy i hasła),

– dostałem esemesa z informacją, że moja przesyłka czeka w paczkomacie, ale w treści dodatkowo zasugerowano zainstalowanie dodatkowej aplikacji. Okazało się, że ta aplikacja wykradła dostęp do mojego konta w banku,

– dostałem na FB link do ciekawego profilu, ale żeby go zobaczyć, musiałem się ponownie zalogować, a strona logowania miała dziwny adres (nie Facebook.com) – okazało się, że to podrobiona strona, która tylko wyglądała jak Facebook. I straciłem dostęp do mojego konta,

– mój bank przysłał mi wiadomość (esemesa lub mejla), w której poprosił o przejście na podaną stronę i ponowne podanie danych uwierzytelniających, a następnie o potwierdzenie kodem esemes ze względu na poważną awarię – okazało się, że ta strona nie była stroną banku, straciłem wszystkie oszczędności,

– ktoś zdecydował się kupić ode mnie produkt, który wystawiłem na znanym portalu aukcyjnym, podał mi link do strony (adres był dziwny), na której miałem podać dane karty płatniczej w celu odebrania płatności – okazało się, że ktoś dodał w ten sposób moją kartę do swojego elektronicznego portfela, straciłem wszystkie oszczędności.

Cztery zasady, by nie złapać haczyka

Na powyższe sztuczki nabierają się duzi i mali, starzy i młodzi. Bezczelny biznes kwitnie, choć policja już odnotowała sukcesy na placu boju. Co zrobić, żeby nie dać się złowić? Cztery podstawowe zasady powinny mocno ograniczyć ryzyko.

1) Jeśli coś jest nieprawdopodobne w rzeczywistości, to jest tak samo mało prawdopodobne w internecie. Cuda się ponoć zdarzają, ale nie w kontekście superwyprzedaży. Warto takie oferty co najmniej weryfikować (osobiście lub choćby telefonicznie).

2) Powstrzymaj się od instalowania oprogramowania ze źródeł innych niż oficjalne (szczególnie w telefonach komórkowych). Choćby się waliło i paliło, a bank prosił, błagał, groził – nie wolno i już!

3) Korzystanie z menedżera haseł eliminuje cały szereg potencjalnych zagrożeń: od podania hasła na podrobionej stronie, przez jego złamanie, aż po ryzyko kompromitacji jednego konta przez wyciek danych z innego (gdyż w obu były te same hasła). Dwuskładnikowe uwierzytelnianie tym bardziej podnosi jakość naszych zabezpieczeń.

4) Jeśli coś pojawiło się w internecie, to już z internetu nie znika – choćby się człowiek dwoił i troił. Kolejne zdjęcie z naszej superpodróży może podpowiedzieć inernetowemu cwaniakowi, że oto właśnie jest okazja.

W kolejnych wydaniach „Tygodnika Krąg” zabierzemy Was w ciekawą, intrygującą, budzącą uzasadnione obawy podróż przez powyższe punkty, omawiając szczegółowo każdy z nich i zachęcając: bądź cyberbezpieczny!

Grzegorz Boruszewski

*specjalista ds. cyberbezpieczeństwa, współpracuje z firmą Orange Polska jako ekspert działu rozwoju i transformacji technologii bezpieczeństwa, pentester, członek ISSA Poland

E-WYDANIE TYGODNIKA KRĄG

(red)
Latest posts by (red) (see all)
FacebooktwittermailFacebooktwittermail

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Skip to content