Niedawno do internetu wyciekł plik z bazą danych użytkowników forum dyskusyjnego jednej z sieci telefonii komórkowej. Hakerzy ujawnili adresy e-mail, adresy IP czy daty urodzenia osób zarejestrowanych na forum. Wielki koncern telekomunikacyjny w mig uporał się z atakiem hakerskim. Co jednak ma zrobić przeciętny Kowalski, by nie paść ofiarą złodziei haseł i tożsamości?
O bezpieczeństwie w sieci rozmawiamy z inż. Danielem Lehunem, specjalistą IT, właścicielem firmy SoftFair.
Przez jakie niebezpieczne zachowania w sieci najczęściej wpadamy w tarapaty?
- Śmiało można powiedzieć, że przez zwykły pośpiech. Ten potrafi zgubić nawet osoby dobrze zaznajomione z branżą IT. Jednak to brak choćby elementarnej wiedzy o tym, jak bezpiecznie korzystać z dobrodziejstw i udogodnień globalnej sieci, jest zgubą dla nieświadomego zagrożeń użytkownika. Warto taką wiedzę zdobyć i co jakiś czas ją odświeżać.
Jakie są lub mogą być konsekwencje nieostrożności w sieci? Gdzie szukać pomocy?
- Istnieje szeroki wachlarz „strat”, które możemy ponieść. Od ujawnienia naszych danych i informacji, które nie powinny być jawne, po dotkliwe straty finansowe - niejednokrotnie będące dorobkiem całego życia. Nawet niewinnie wyglądający wyciek naszych danych osobowych może się skończyć wyłudzeniem kredytu na nasze nazwisko. Nasza karta płatnicza może posłużyć do zrealizowania nieautoryzowanej przez nas operacji. Możemy również nieświadomie autoryzować dostęp osób trzecich do naszego rachunku bankowego. To niestety tylko kilka z wielu możliwości. Czasem wydaje się, że wyobraźnia przestępców nie ma granic.
Każda z sytuacji wymaga różnego podejścia. Nie ma uniwersalnej porady. Logika podpowiada, żeby zgłaszać się na policję. Bez wątpienia tak należy zrobić. Natomiast trzeba mieć świadomość, że lokalne posterunki nadal dość często same nie bardzo wiedzą, co z tym zrobić. Sam zresztą miałem nieprzyjemność w ten sposób być potraktowany, a ostatecznie sprawa i tak została umorzona. Mimo wszystko zgłoszenie wszelkich przestępstw internetowych popełnionych na nas może okazać się pomocne w dowodzeniu racji przed bankami czy przed różnymi organami. Rzetelnych informacji, jak postępować w konkretnych sytuacjach, warto szukać w serwisach internetowych. Godne polecenia są niebezpiecznik.pl i zaufanatrzeciastrona.pl.
Na czym polega scam (czyli oszustwo) przez e-mail? Jak się przed nim bronić?
- Ataki typu scam sprowadzają się przeważnie do tego, że otrzymujemy e-mail informujący nas o nadzwyczajnej wygranej (pomimo że nawet nie braliśmy udziału w konkursie), o udziale w jakimś intratnym interesie lub z niesamowicie opłacalną ofertą pracy. Stara zasada głosi - „nie ma nic za darmo”. I tego należy się trzymać - jeśli coś jest zbyt piękne, aby było prawdziwe, z dużą miarą prawdopodobieństwa jest to próba oszustwa. Na taki atak rozwiązanie jest najprostsze z możliwych - nie klikać w żadne linki umieszczone w mailu i skasować tę wiadomość z naszej skrzynki.
Poza scamem możemy otrzymać również różnego rodzaju wiadomości podszywające się pod instytucje, banki, firmy. Dla przykładu: z jednego z polskich biur podróży przestępcy pozyskiwali na bieżąco informacje o nowych zamówieniach na wycieczki. Wysyłali do klientów maile z prośbą o drobną dopłatę do zaliczki, dzięki której uzyska się dodatkowy rabat do całości. Taka wiadomość mogła wyglądać naprawdę wiarygodnie. Była szczególnie niebezpieczna, ponieważ upewniała klientów, że otrzymana wiadomość jest rezultatem ich wcześniejszych kontaktów z biurem podróży.
Polecam odwiedzić serwis phishingquiz.withgoogle.com, gdzie można przetestować swoją odporność na różnego typu oszustwa.
W sieci należy używać silne hasła. Czyli jakie? Dlaczego są tak ważne? Skąd brać na nie pomysły?
- Należy unikać prostych (słabych) haseł i nigdy nie stosować tego samego hasła w dwóch różnych serwisach. Jeśli z jednego serwisu zostanie wykradziony nasz login/e-mail i hasło, to przestępcy automatycznie uzyskają dostęp do wszystkich serwisów, do których użytkownik stosował te same dane (lub ich nieco zmienione warianty). Sporo serwisów sugeruje lub wymaga zastosowania hasła silnego, tj. złożonego z kombinacji wielkich i małych liter, znaków specjalnych i cyfr. Warto doprecyzować, że hasło „A!4M4K0t4” nadal nie jest silne, bo jest tylko aberracją istniejącego hasła słownikowego „Ala ma kota”. Pod żadnym pozorem nie powinniśmy tworzyć haseł z dat urodzin dzieci albo z prawdziwych słów. Najlepiej generować hasła w sposób losowy i przechowywać je w jakimś podręcznym managerze haseł - specjalnym programie np. bezpłatnym KeePass.
Warto zauważyć, że nasze przeglądarki internetowe (np. Chrome) oferują możliwość zapamiętywania haseł. Zatem, jeśli korzystanie z managera haseł jest dla nas zbyt wielkim wyzwaniem, warto do generowania losowych haseł i ich zapamiętywania wykorzystać właśnie narzędzia oferowane przez przeglądarki. Jedyne hasło, które będziemy musieli zapamiętać, to to, którego użyjemy do dostępu do samej przeglądarki. Pamiętajmy jednak, aby było ono wystarczająco skomplikowane. Warto również wspomnieć o tzw. autoryzacji dwuskładnikowej (2FA), znanej z serwisów bankowych. Jest ona coraz powszechniej udostępniana również w innych serwisach np. w mediach społecznościowych. Polega na konieczności wprowadzenia dodatkowego jednorazowego klucza przekazywanego do nas np. SMS-em lub specjalną aplikacją na smartfonie. Jeśli mamy możliwość - korzystajmy z niej. Zawsze to dodatkowa kłoda pod nogi hakerów.
Czy korzystanie z banku przez internet jest bezpieczne? Czym lepiej płacić podczas internetowych transakcji - kartą czy przelewem?
- Logowanie się do banku przez internet jest bezpieczne. Ważne, aby stronę banku otwierać zawsze ze znanego nam adresu - nigdy nie klikać w linki podesłane mailem. Bank nie przesyła (a przynajmniej nie powinien) wiadomości z linkami, które miałyby służyć do autoryzacji klienta.
Co do płatności, osobiście wybieram i polecam kartę, bo oferuje wiele udogodnień, w szczególności natychmiastową płatność oraz procedurę „Chargeback”, która umożliwia dość szybką i dogodną formę zwrotu środków za omyłkową czy fałszywą transakcję. Płatność kartą, którą w naszym imieniu wykonaliby oszuści, można cofnąć i odzyskać skradzione pieniądze.
☐
Materiał powstał w ramach projektu Stowarzyszenia Gazet Lokalnych z Polsko-Amerykańską Komisją Fulbrighta „Media bliżej ludzi”, finansowanego ze środków Departamentu Stanu USA
Komentarze