Jak bezpiecznie poruszać się po cyfrowym świecie?

rozmawiał Krzysztof Girgiel
opublikowano: 09-02-2021, 07:36

Od 2004 roku 9 lutego obchodzimy Dzień Bezpiecznego Internetu. Z tej okazji zapytaliśmy ekspertów czym właściwie jest bezpieczny internet, jak unikać cyfrowych zagrożeń i  bezpiecznie poruszać się w wirtualnym świecie. Swoją perspektywę na problem pokazali nam przedstawiciele świata biznesu, edukacji i technologii.

Andrzej Sowiński, Dyrektor Zarządzający HP Inc. Polska Sp. z o.o.

1. Jakich najważniejszych zasad powinniśmy przestrzegać korzystając z internetu?

Andrzej Sowiński, Dyrektor Zarządzający HP Inc. Polska Sp. z o.o.

Przy korzystaniu ze wszystkich najnowszych osiągnięć technologii najważniejsze jest, żeby pamiętać o tym, że wraz z połączeniem urządzenia z siecią internetową automatycznie tracimy anonimowość. Dlatego należy być bardzo ostrożnym w nawiązywaniu kontaktów. Zgodnie z ankietą firmy analitycznej Gurucul, blisko 70% ataków zaczyna się od zagrożenia wewnętrznego, czyli naruszenia zasad bezpieczeństwa przez któregoś z członków organizacji. Szczególnie narażone są te części przedsiębiorstwa, które mają kontakt ze środowiskiem zewnętrznym. Treści maili, hiperłącza i załączniki mogą zawierać złośliwe oprogramowanie, które otwierają dla napastników drogę do wewnętrznej sieci firmy. System cyberbezpieczeństwa danej organizacji jest zawsze tak mocny jak jego najsłabszy element, dlatego niezmiernie ważne jest przestrzeganie zasad bezpieczeństwa codziennie i nie tylko w godzinach pracy.

Zasadą, której szczególnie trzeba przestrzegać przy korzystaniu z sieci, jest unikanie nielegalnych treści. Jeżeli informacje znalezione w internecie naruszają prawa autorskie, przedstawiają przemoc lub wykorzystują ukradzione dane osobowe, to najprawdopodobniej pochodzą od osób, które nie mają dobrych intencji i dlatego należy ich unikać. Obecnie użytkownicy nie muszą aktywnie szukać nielegalnych treści, ponieważ często krążą one po mediach społecznościowych kusząc atrakcyjnymi tytułami lub darmowym dostępem, będąc w rzeczywistości zagrożeniem.

2. O czym najczęściej zapominamy w kontekście dbania o bezpieczeństwo w internecie?

Przy korzystaniu z internetu najczęściej zapominamy o tym, że nie pozostajemy anonimowi. Poruszanie się po stronach internetowych oraz innych usługach potrafi w ekspresowym tempie zdradzić nawet najbardziej wrażliwe dane osobowe. Ujawnienie informacji takich jak PESEL, dane adresowe czy numer telefonu pozwala na precyzyjne zidentyfikowanie użytkownika oraz na podszywanie się pod niego lub związaną z nim instytucję. Utrata danych osobowych wciąż najczęściej wynika z dobrowolnego ich ujawnienia przez nieostrożnych użytkowników. Dlatego należy unikać podawania danych osobowych, w miejscach, dla których działania nie są one niezbędne.

Kolejnym elementem, o którym zapominają użytkownicy jest zarządzanie swoimi hasłami. Hasła to często jedyny element, który blokuje dostęp do wrażliwych danych. Dobre hasło powinno być odpowiednio długie, zawierać niepowtarzające się ciągi znaków (wielkich oraz małych liter, znaków specjalnych oraz cyfr) oraz nie zawierać w sobie informacji, które łatwo ustalić takie jak imię, numer telefonu, PESEL czy na przykład imię domowego pupila.

3. W jakich obszarach jesteśmy najbardziej narażenia na ataki?

Nadal bardzo popularnym źródłem zagrożeń są skrzynki mailowe, a zagrożenie to coraz częściej pochodzi od ludzi – bez automatyzacji nadawania maili. Informacje takie jak firmowa stopka, sposób formułowania treści lub imiona i nazwiska pracowników są relatywnie proste do zidentyfikowania, dlatego coraz częściej na skrzynki trafiają maile do złudzenia podobne do oryginalnych maili firmowych. Taka praktyka, nazywana thread hijacking, oznacza włączanie się do wewnętrznej korespondencji firmowej osób spoza organizacji, które podszywają się pod regularnych użytkowników firmowych skrzynek mailowych. Do pracowników trafiają wtedy maile, które np. kradną dane logowania. Dalszy atak polega na przejęciu prawdziwej skrzynki mailowej członka organizacji i kontynuowanie infekowania kolejnych kont.

4. Jak przeniesienie wielu aktywności do internetu w związku z pandemią wpłynęło na cyberbezpieczeństwo? Czy pojawiły się jakieś nowe zagrożenia?

Źródłem największych zagrożeń jest przede wszystkim zacieranie się granicy pomiędzy komputerami prywatnymi a firmowymi. Przed wybuchem pandemii bardzo niewiele firmowych urządzeń opuszczało na stałe wewnętrzne sieci biurowe. Obecnie firmowe urządzenia łączą się z internetem za pośrednictwem domowych routerów, spośród których ponad 80% jest narażonych na potencjalne ataki cyberprzestępców. Poza atakami na routery zagrożenie stanowi również wykorzystywania służbowych urządzeń do prywatnych celów, co wielokrotnie mnoży potencjalne zagrożenia. Firmowi specjaliści cyberbezpieczeństwa mają też mniejszą kontrolę nad stanem oprogramowania sprzętu, a przeniesienie ich do domowych biur utrudnia udzielanie wsparcia technicznego.

Źródłem przecieków bywają też przeglądarki, pliki oraz aplikacje. Dobrym narzędziem prewencji są rozwiązania zawierające wielowarstwowe systemy ochrony, które korzystają z technologii samo-uczenia się, co pozwala na zapewnienie trwałej ochrony w czasie rzeczywistym. Sposobem na ochronę aplikacji pakietów biurowych jest izolowanie ich za pomocą specjalnych programów, czy usług takich jak np. HP Daas Proactive Security.

Anna Rywczyńska

Kierownik Zespołu Edukacji Cyfrowej w NASK oraz Koordynatorka Polskiego Centrum Programu Safer Internet

Anna Rywczyńska, Kierownik Zespołu Edukacji Cyfrowej w NASK oraz Koordynatorka Polskiego Centrum Programu Safer Internet

1. Jakich najważniejszych zasad powinniśmy przestrzegać korzystając z internetu? O których z nich najczęściej zapominamy?

Przed pandemią dużą uwagę poświęcaliśmy limitowaniu czasu spędzanego przed ekranem. Odkąd pojawiła się konieczność zdalnego nauczania, ograniczanie korzystania z komputera stało się trudniejsze. Ubiegłoroczne badanie NASK “Nastolatki 3.0” pokazało, że uczniowie coraz dłużej korzystają z internetu, w części przypadków ten czas dochodzi nawet do 12 godzin dziennie. Jako rodzice musimy więc pamiętać, żeby czas wolny po lekcjach zagospodarować jak najlepiej i zachować balans między rzeczywistością cyfrową, a realnym życiem. Musimy też pamiętać, że dzieci w internecie nie są bezpieczne i powinny być ostrożnie wprowadzane w ten świat. Niezbędna tu jest uważność rodziców na potrzeby dzieci i ich relacje z rówieśnikami, by rozpoznawać sygnały wskazujące na to, że dziecko padło ofiarą hejtu lub innej formy cyberprzemocy.

Równie ważna jest otwartość na potrzeby. Pamiętajmy, że młode osoby przeniosły do sieci znaczną część życia społecznego, więc jeśli chcemy ograniczać czas spędzany online, to najpierw zapytajmy czym ten czas jest wypełniony. Skupmy się na rozmowie i autentycznym poznaniu potrzeb - czy dziecko rozmawia z przyjaciółmi na komunikatorze czy może przegląda filmy na YouTube.

Trzeba rozmawiać o zagrożeniach i ograniczonym zaufaniu do osób, które dzieci mogą poznać w internecie. Zabezpieczenie się przed niepożądanymi treściami jest niezwykle ważnem zwłaszcza w przypadku dzieci, które dostają do ręki pierwszy komputer czy pierwszego smartfona. Często to właśnie w przypadku smartfona zapominamy o kwestiach bezpieczeństwa.

2. Czy edukacja na temat cyberbezpieczeństwa jest w Polsce wystarczająca? A jeśli nie, to jak to zmienić?

Potrzeby w zakresie cyfrowej edukacji będą coraz większe. Projekty realizowane przez NASK i inne organizacje szerzą wiedzę na temat bezpiecznego korzystania z internetu, wciąż jest jednak wiele do zrobienia. Zdalna edukacja może przyspieszyć wiele procesów i wzmocnić świadomość, że kwestie cyberbezpieczeństwa powinny być mocno obecne w podstawie programowej. W szkołach bardzo potrzebne są kadry rozumiejące ten temat. Dobrym kierunkiem byłoby włączenie w większym stopniu zagadnień dotyczących cyberbezpieczeństwa w programach studiów dla pedagogów, by wiedza mogła być przekazywania przez jak największą grupę nauczycieli i wychowawców.

3. Jak przeniesienie wielu aktywności do internetu (w związku z pandemią) wpłynęło na cyberbezpieczeństwo? Czy pojawiły się jakieś nowe zagrożenia?

Widzimy głównie te same zagrożenia, ale z większą częstotliwością. Dane potwierdzają dużą większą liczbę ataków phishingowych, czyli próby podszywania się pod różne instytucje i wyłudzenie w ten sposób danych. Rozkwit zakupów przez internet spowodował z kolei wzrost przestępstw na tym tle. Zagrożenia dotyczą też dzieci. Przybywa ataków, których celem jest wyciągnięcie od dziecka danych lub potencjalnie niebezpiecznych materiałów, dlatego rodzice powinni podchodzić do internetowych aktywności dzieci z jeszcze większą uwagą.

Jakub Słociński, odpowiedzialny za produkty ochrony przed atakami w sieci OVHcloud

OrderedDict([('strong', OrderedDict([('@id', 'strong-4ddbb5687d149eb19bc19e9c3d0aa5b5'), ('#text', 'Jakub Słociński, odpowiedzialny za produkty ochrony przed atakami w sieci OVHcloud')]))])
OrderedDict([('strong', OrderedDict([('@id', 'strong-4ddbb5687d149eb19bc19e9c3d0aa5b5'), ('#text', 'Jakub Słociński, odpowiedzialny za produkty ochrony przed atakami w sieci OVHcloud')]))])

1. Jakich najważniejszych zasad powinniśmy przestrzegać korzystając z internetu? O których z nich najczęściej zapominamy?

Istnieje kilka uniwersalnych reguł wzmacniających bezpieczeństwo w Internecie, jak korzystanie ze sprawdzonego oprogramowania antywirusowego na urządzeniu czy posługiwanie się unikalnymi hasłami zmienianymi co kilka miesięcy. Niemniej najbardziej uniwersalną wskazówką wydaje się ta, abyśmy online zachowywali się podobnie jak w świecie rzeczywistym.

Przykładowo rezygnujemy ze spaceru po niebezpiecznej dzielnicy, więc nie odwiedzajmy miejsc online, gdzie kieruje nas podejrzany link. Cyberprzestępcy stale szukają luk w systemach bezpieczeństwa. Świetnie wiedzą, jak osłabić naszą czujność, ponieważ są mistrzami wykorzystywania okazji, żerowania na naszych słabościach i chwili nieuwagi. Czy za profilowym zdjęciem roześmianej dziewczyny z kotkiem, z którą dopinamy transakcję na popularnej platformie zakupowej, może stać bezwzględny haker, który wyczyści nam kartę? Oczywiście! To klasyczny phishing, czyli podszywanie się przez oszustów pod inne osoby lub instytucje celem wyłudzenia poufnych informacji. Internetowy półświatek jest pełen pułapek, gdzie jedno nieostrożne kliknięcie może spowodować ujawnienie danych osobowych lub zainfekowanie telefonu czy komputera złośliwym oprogramowaniem.

2. Czy świadomość i edukacja na temat cyberbezpieczeństwa jest w Polsce wystarczająca? A jeśli nie, to co należałoby zmienić?

SMS z poleceniem groszowej dopłaty za przesyłkę, która „przekroczyła ciężar”, mail o zaległości finansowej z linkiem do opłaty albo prośba od znajomego przez popularny komunikator o pilne przelanie środków z linkiem do płatności, kto z nas z tym się nie spotkał? Wiedzy o cyberbezpieczeństwie nigdy nie będzie za dużo i im więcej będziemy upubliczniać podobne praktyki, uczulać, edukować i prowadzić kampanie uświadamiające, tym większa szansa, że okażemy się mądrzejsi przed szkodą. Wyrabiajmy w sobie dobre nawyki i m.in. weryfikujmy za każdym razem poprawność adresu, z którym się łączymy – nie tylko napis, który klikamy. Upewniajmy się również jaka witryna jest docelowo otwierana. Ja polecam nie klikać żadnych linków do systemów płatności i zamiast tego starać się być inicjatorem każdej płatności – jest to o wiele bezpieczniejsze podejście. Wiele firm stara się podnosić bezpieczeństwo i nie wysyła mailem linków do płatności, a jedynie przygotowuje je w panelu administracyjnym do realizacji po naszym zalogowaniu (standardowo używając głównego adresu strony czy z naszych zakładek w przeglądarce). Istotnym tematem jest autoryzacja płatności – czyli SMSy i aplikacje bankowe. Czytajmy zawsze dokładnie informacje autoryzacyjne – czy aby na pewno autoryzują naszą aktualną transakcję? Po co komuś kod weryfikacyjny naszej karty (CVC), którego się domaga? Nie instalujmy dodatków czy oprogramowania, o które prosi strona, którą przeglądamy. Starajmy się zawsze weryfikować źródło oprogramowania na telefonie komórkowym (poprzez choćby wyszukanie nazwy programu w wyszukiwarce i komentarzy pod nim), to zajmuje chwilę. No i standardowo - nie logujmy się do banku z obcych komputerów oraz obcych sieci (np. w kawiarenkach) – zasada zero zaufania w tym przypadku to podstawa.

3. Jak przeniesienie wielu aktywności do internetu (w związku z pandemią) wpłynęło na cyberbezpieczeństwo? Czy pojawiły się jakieś nowe zagrożenia?

Pandemia, którą cechuje m.in. poczucie zagrożenia i niepewności, sprzyja intensywniejszej aktywności cyberprzestępców. Odzwierciedla to raport CERT Polska pokazujący, że liczba ataków przy użyciu szkodliwego oprogramowania wzrosła w trzecim kwartale 2020 aż o 42 proc. Hakerzy są mistrzami okazji i wykorzystania tzw. „momentum”. W marcu święciły tryumfy metody pozwalające na wyłudzanie danych poprzez maile z ofertami środków dezynfekujących lub aplikacji pozwalających na śledzenie rozwoju pandemii. Teraz spodziewałbym się nowej fali związanej z informacjami na temat zapisów na szczepienia. Każda okazja, jak np. wyprzedaże, podobnie jak każda nowa funkcja wykorzystywanej powszechnie platformy otwiera pole do nadużyć i zawsze ktoś się złapie.

Wykorzystywany jest m.in. fakt, iż firmy chcąc dostosować się do nowej rzeczywistości wprowadzają zmiany w systemach IT, choćby wprowadzając nowe oprogramowanie w celu ułatwienia pracy zdalnej. Pracownicy są coraz bardziej przyzwyczajeni do zmian w ramach narzędzi czy stron na których muszą się logować, stąd ich czujność jest obniżona. Zwróćmy na to uwagę – nie klikajmy linków które są podejrzane, które pochodzą z innych domen (nadawca emaila) lub prowadzą do zewnętrznych stron, a każdą taką sytuację weryfikujmy niezwłocznie z działem security lub IT. Pamiętajmy, że cyberprzestępcy są wnikliwymi obserwatorami, nigdy nie działają w próżni.

Newsletter ICT
Nowości z firm IT z naciskiem na spółki giełdowe: przetargi, informacje z rynku, newsy kadrowe i inne.
ZAPISZ MNIE
×
Newsletter ICT
autor: Grzegorz Suteniec
Wysyłany raz w tygodniu
Grzegorz Suteniec
Nowości z firm IT z naciskiem na spółki giełdowe: przetargi, informacje z rynku, newsy kadrowe i inne.
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: rodo@bonnier.pl. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: iod@bonnier.pl. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

Bartosz Leoszewski, CEO (Famoc S.A.)

1. Jakich najważniejszych zasad powinniśmy przestrzegać korzystając z internetu? O których z nich najczęściej zapominamy?

Przede wszystkim zachowajmy rozsądek. W świecie rzeczywistym raczej rzadko zdarza się, aby ktoś za 1 pln oferował nam nowego iPhone’a lub Samsunga S21 - jeśli widzimy taką ofertę w internecie, bądźmy czujni. Dane naszej karty płatniczej przekazujmy jedynie serwisom, do których mamy zaufanie. Idealnie byłoby korzystać wyłącznie ze znanych, budzących zaufanie serwisów internetowych, nie zawsze jest to jednak możliwe. Zwracajmy uwagę na to, w jakie linki klikamy - przestępcy często wykorzystują adresy WWW łudząco podobne do tych prawdziwych. Jeśli dostajemy wiadomość e-mail z banku, od dostawcy naszej poczty e-mail, urzędu, kontrahenta - sprawdźmy dokładnie link, do kliknięcia w który jesteśmy zachęcani. Bezpieczniej będzie otworzyć przeglądarkę i wejść na stronę naszego banku z pominięciem klikania w otrzymany link. I przede wszystkim - nie wierzmy we wszystko, co czytamy w internecie, na Twitterze czy Facebooku - weryfikujmy informacje również w innych źródłach.

2. Czy świadomość i edukacja na temat cyberbezpieczeństwa jest w Polsce wystarczająca? A jeśli nie, to co należałoby zmienić?

Budowanie świadomości na temat cyberbezpieczeństwa to proces ciągły - nowe zagrożenia pojawiają się na bieżąco, więc również edukacja musi być prowadzona na bieżąco. Nie ma co ukrywać, że zarówno w temacie naszej świadomości, jak i samej edukacji, daleko nam do ideału. Już na etapie szkoły podstawowej powinniśmy edukować w zakresie bezpieczeństwa w sieci i uczyć dzieci bezpiecznego poruszania się w świecie wirtualnym. Niestety często jest tak, że obycia w cyberświecie dzieci uczą się same lub od swoich rówieśników. Mało który dorosły będzie w stanie wytłumaczyć dziecku działanie TikToka czy innych aplikacji, których rodzice nie znają i z których sami nie korzystają. Uważam, że zagadnienia cyberbezpieczeństwa powinny być uwzględnione w programie zajęć informatycznych w szkole, by edukować dzieci już od najmłodszych lat.

W zakresie ochrony danych firmowych, firmy dość często edukują swoich pracowników w tematach bezpieczeństwa danych i bezpiecznego korzystania z internetu. Dziś wiele czynności prywatnych wykonujemy z urządzeń służbowych i na odwrót - do danych firmowych mamy dostęp z urządzeń prywatnych, co rodzi kolejne, nowe zagrożenia. W interesie pracodawców jest edukacja pracowników, w dużo szerszym niż tylko ochrona danych firmowych, zakresie.

3. Jak przeniesienie wielu aktywności do internetu (w związku z pandemią) wpłynęło na cyberbezpieczeństwo? Czy pojawiły się jakieś nowe zagrożenia?

Niestety tak. Nasze domy stały się biurami. Urządzenia (laptopy, tablety, telefony), których na co dzień używaliśmy wyłącznie do pracy, są dziś de-facto urządzeniami rodzinnymi. Korzystamy z nich już nie tylko my - do pracy - lecz wszyscy domownicy: do nauki zdalnej, rozrywki, oglądania filmów i kontaktu z najbliższymi. Taki model wykorzystania urządzeń niesie za sobą wiele zagrożeń - od tych związanych z nieostrożnością dzieci, po zagrożenia związane np. z przesyłaniem służbowych plików z użyciem domowego WIFI (zazwyczaj słabiej zabezpieczonego niż infrastruktura firmowa). Wyzwaniem dla specjalistów bezpieczeństwa IT jest dziś to, że zamiast wprowadzać zabezpieczenia do jednego biura, zabezpieczać muszą setki lub tysiące biur domowych.

Radosław Kaczorek, Partner w Grant Thornton, ekspert od cyberbezpieczeństwa

Radosław Kaczorek, Radosław Kaczorek, Partner w Grant Thornton, ekspert od cyberbezpieczeństwa

1. Jakich najważniejszych zasad powinniśmy przestrzegać korzystając z internetu? O których z nich najczęściej zapominamy?

Internet niesie ze sobą ogromny potencjał, któremu towarzyszą ogromne zagrożenia. Świadome korzystanie z Internetu powinno być związane ze zrozumieniem tych zagrożeń i ochroną naszych firm i nas samych przed tymi zagrożeniami. Pamiętajmy, żeby nie wierzyć we wszystko co przeczytamy w Internecie i nie ufajmy każdemu kto podaje się za kogoś. Autentyczność treści i tożsamość w Internecie nie są czymś tak oczywistym jak w świecie fizycznym. Ogromna ilość cyberataków opiera się na założeniu, że ludzie są skłonni zaufać każdemu i uwierzyć we wszystko, jeśli tylko otrzymają odpowiednie argumenty. Ponad połowa ataków na świecie opiera się o socjotechniki, które wykorzystują tę słabość człowieka. Dopiero kiedy uzyskamy zrozumienie tego zagrożenia powinniśmy pomyśleć o tym, żeby zabezpieczyć swój komputer, co jakiś czas usuwać z niego ciasteczka (ang. cookies) zgromadzone przy odwiedzaniu stron internetowych oraz bezwzględnie korzystać z oprogramowania antywirusowego. I pamiętajmy żeby nigdy nie klikać na linki przesyłane nam w wiadomościach e-mail.

2. Czy świadomość i edukacja na temat cyberbezpieczeństwa jest w Polsce wystarczająca? A jeśli nie, to co należałoby zmienić?

Świadomość zagrożeń jest nadal niska, choć sytuacja się poprawia. Nadal myślimy o cyberbezpieczeństwie jako temacie dla informatyków. Uważamy, że ochrona komputera rozwiąże wszystkie problemy, ale tak nie jest. Najbardziej zagrożonym ogniwem jesteśmy my sami. Ufamy nadmiernie technologii, nie umiemy rozpoznać podejrzanej wiadomości e-mail, otwieramy niezaufane załączniki, klikamy w linki kierowani zwykłą ciekawością, popełniamy błędy jakich nigdy nie popełnilibyśmy w świecie fizycznym. Czy ktoś z nas zdecydowałby się zostawiać otwarty dom lub samochód na ulicy tylko dlatego, że tak jest wygodnie? Dlaczego zatem używamy prostych, żeby nie powiedzieć trywialnych do odgadnięcia haseł? Można to zmienić, ale żeby to się stało musimy przestać myśleć o cyberbezpieczeństwie jak o temacie informatycznym, a o hakerach jak o postaciach z filmów sensacyjnych. Rzeczywistość jest zupełnie inna.

3. Jak przeniesienie wielu aktywności do internetu (w związku z pandemią) wpłynęło na cyberbezpieczeństwo? Czy pojawiły się jakieś nowe zagrożenia?

Przeniesienie aktywności, kontaktów osobistych i biznesu do Internetu to wybuch nowych zagrożeń i incydentów cyberbezpieczeństwa. Pierwsze podsumowania 2020 roku wskazują na ogromny, bezprecedensowy wzrost liczby cyberataków. Ofiarami ataków były firmy, ale też wielu zwykłych użytkowników. Wycieki danych, wycieki nagrań ze spotkań, szantaże, podszywanie się pod kontrahentów, fałszowanie faktur, kradzież tożsamości to tylko kilka z przykładów zagrożeń, których skala w ubiegłym roku przekroczyła najśmielsze prognozy. Jednym z ciekawych zagrożeń napędzanych pandemią były oszustwa związane ze sprzedażą w Internecie, do którego przeniósł się cały handel – fałszywe bramki płatności, fałszywe żądania dopłat do przesyłek kurierskich, a nawet… kradzież dowodów osobistych przez fałszywych kurierów. To ostatnie oszuści wykorzystywali do zaciągania kredytów na konto ofiar ataków.

KOMENTARZ PARTNERA

Krzysztof Trela, dyrektor Departamentu Cyberbezpieczeństwa w Banku Ochrony Środowiska

Krzysztof Trela, dyrektor Departamentu Cyberbezpieczeństwa w Banku Ochrony Środowiska

Kluczowa jest świadomość zagrożeń

Aktualnie najczęściej spotykanym zagrożeniem dla klientów banku są próby wyłudzenia danych uwierzytelniających (login, hasło, kody) z pomocą phishingu. Metoda ta polega na podszyciu się przez oszusta pod instytucję lub osobę w celu pozyskania danych niezbędnych do zalogowania do bankowości. Ataki realizowane są w formie e-maili lub SMS-ów przypominających treścią i elementami graficznymi wiadomości od banku, operatora telekomunikacyjnego, firmy kurierskiej czy instytucji rządowej. Zamieszone w nich załączniki lub linki przekierowują na fałszywą stronę banku lub tzw. bramkę szybkich płatności, gdzie oszuści pozyskują podane im dane związane z kontem lub kartą. Uruchomienie załącznika lub linku może też spowodować zainfekowanie komputera bądź telefonu złośliwym oprogramowaniem pozwalającym przestępcom na przejęcie kontroli nad urządzeniem. W efekcie, nieświadoma ofiara logując się do bankowości przekazuje wiedzę o loginie i haśle do bankowości oszustom, co najczęściej w ciągu kilku minut prowadzi do utraty środków z rachunku klienta.

Nasilającym się zjawiskiem jest również odmiana phishingu tzw. vishing, czyli wykonywanie przez oszustów telefonów do klientów banków i podszywanie się pod pracownika instytucji rynku finansowego oferującej wyjątkowo korzystne inwestycje. Celem działania oszustów jest takie zmanipulowanie ofiary by dokonała przelewu na rachunek przestępców. Znane są przypadki nakłaniania do korzystnej inwestycji w kryptowaluty, gdzie dzwoniący pod pozorem pomocy w przeprowadzeniu transakcji lub „szkolenia” z obsługi platform inwestycyjnych, nakłania ofiarę do instalacji na komputerze oprogramowania służącego do zdalnej kontroli nad komputerem. Na oczach ofiary oszuści dokonują kradzieży jej środków nadając transakcji pozory inwestycji.

Coraz popularniejszą metodą stosowaną przez cyberprzestępców jest również wyłudzanie środków od osób sprzedających przedmioty na popularnych portalach ogłoszeniowych. Oszust udając zainteresowanie zakupem wystawionej rzeczy, podsyła poprzez komunikator internetowy link, gdzie sprzedający w celu uwierzytelnienia ma podać np. dane karty płatniczej oraz otrzymany SMS-em kod, co rzekomo zatwierdza transakcję sprzedaży, a w rzeczywistości jest przelewem na wirtualny portfel oszustów.

Innym sposobem oszustów na przejęcie dostępu do konta bankowości elektronicznej klienta jest mechanizm zamieszczania płatnych fałszywych reklam w wyszukiwarce internetowej. Działanie to nakierowane jest przeciwosobom, które zamiast mieć zdefiniowany link czy zakładkę do bankowości w swoim banku, używają wyszukiwarki internetowej do znalezienia strony bankowości. Fałszywa reklama powoduje wypromowanie fałszywej strony bankowości – do złudzenia podobnej graficznie do oryginalnej, nierzadko umieszczonej w domenie o nazwie nieznacznie różniącej się od oryginalniej. Klient, po wejściu na nią wpisuje dane potrzebne do logowania, przekazuje je oszustom i w konsekwencji traci środki zgromadzone na koncie bankowym.

Coraz częściej pojawiają się również informacje o wyłudzeniach z wykorzystaniem systemu płatności mobilnych BLIK. W jednym ze scenariuszy oszust włamuje się na konto na portalu społecznościowym bazując np. na zbieżności hasła do portalu społecznościowego z hasłem z sklepu internetowego, z którego zanotowano wyciek danych klientów, a następnie podszywając się pod właściciela komunikuje się poprzez komunikator z jej znajomymi i prosi o szybką pożyczkę pieniędzy przekazaną kodem BLIK. Ofiara logując się do swojego banku, musi wygenerować w aplikacji kod do płatności telefonem, a następnie przesłać go oszustowi podszywającemu się pod znajomego. Przestępca natychmiast realizuje wypłatę w oparciu o otrzymany kod BLIK.

Choć większość przedstawionych powyżej scenariuszy dotyczyć może klientów bankowości detalicznej, to cyberoszuści wykonują ataki także wobec firm, próbując wykorzystywać do wyłudzeń np. mechanizmy Tarczy Antykryzysowej. Oferują przedsiębiorcom pomoc w wypełnieniu wniosków, a w trakcie współpracy wyłudzają od nich dane dostępowe do bankowości elektronicznej. Innym przykładem jest mechanizm wyłudzenia płatności na podstawie podmiany numeru rachunku bankowego na fakturze. Choć w tym przypadku z pomocą klientom przyszedł wprowadzony przez Ministerstwo Finansów mechanizm tzw. „białej listy podatników VAT”, to wciąż zdarzają się oszustwa z wykorzystaniem tego scenariusza. Także spotykanym są próby wyłudzenia środków od firm polegające na przesyłaniu fikcyjnych – choć opatrzonych pieczęciami i podpisami – wezwań do zapłaty, kar czy opłat.

Działania zaradcze

Kluczowe jest zachowanie szczególnej czujności podczas potwierdzania transakcji. Zawsze trzeba sprawdzić czy potwierdzenie rzeczywiście dotyczy aktualnie przeprowadzanego zakupu. Należy też zadbać o to, aby hasła w bankowości elektronicznej, sklepach internetowych oraz mediach społecznościowych różniły się między sobą. Trzeba również zatroszczyć się o ich okresową zmianę, pamiętając jednocześnie, by były wystarczająco silne.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane