Edukacja w obszarze cyberbezpieczeństwa przy zapobieganiu zagrożeniom jest najistotniejsza. Świadomość tego, że świat cyfrowy to nie tylko praca, nauka i rozrywka, ale miejsce, gdzie może dojść do kradzieży naszej tożsamości, środków finansowych, szantażu, wyłudzenia czy hejtu, pozwoli zidentyfikować potencjalne zagrożenia i zapobiec nieszczęściu.
Co musimy wiedzieć? Przede wszystkim to, że nie wszystko, co widzimy i czytamy w Internecie, jest prawdą, ludzie nie mają wyłącznie dobrych intencji, a hackerzy to normalni przestępcy, tylko bez kija bejsbolowego. Nadawca maila czy wiadomości na czacie lub autor SMS, nie zawsze jest osobą, za którą się podaje. Cyberprzestępcy są bardziej skuteczni, ponieważ zazwyczaj są nieuchwytni, działają anonimowo i z dowolnego miejsca na świecie. Cyberprzestępczość to rosnąca i wysoce dochodowa “branża”. Koszty cyberprzestępczości (straty dla firm, zapłacone okupy, skutki szpiegostwa gospodarczego, zyski cyberprzestępców) osiągną w 2025 roku kwotę 10,5 biliona dolarów do 2025 roku i będzie to trzecia co do wielkości “gospodarka” na świecie, po Stanach Zjednoczonych i Chinach.
Dane osobiste
Czym one są? To nasze dane osobowe, numery telefonów, adres zamieszkania, karty badań i diagnostyki medycznej, numery kart kredytowych, zdjęcia dokumentów tożsamości, nasza korespondencja prywatna i zawodowa, zdjęcia naszych bliskich, a także dane dostępowe do serwisów czy aplikacji. Większość społeczeństwa uważa, że nie ma ważnych danych, ale to nie jest prawda. I poddaje w wątpliwość fakt, że ktoś będzie chciał te dane pozyskać drogą nielegalną i wykorzystać w celach przestępczych. A skutkami ataku może być utrata wszystkich oszczędności własnych czy pieniędzy. Jak ? Przez znajomych na Facebooku, zadłużenie się bez swojej wiedzy czy wykorzystanie dokumentów do popełnienia przestępstw kryminalnych.
Warto pamiętać o tym, żeby nie udostępniać danych osobowych osobom postronnym, nie przesyłać skanów dokumentów tożsamości, nie ujawniać ich w mediach społecznościowych.
Od phishingu do invoice hacking
Phishing to najczęstszy początek problemów. Jest to atak polegający na próbie kradzieży pieniędzy lub tożsamości poprzez nakłonienie użytkownika do ujawnienia danych osobowych – takich jak numery kart kredytowych, informacje bankowe lub hasła – na przykład na stronach internetowych, które udają legalne. Atak może być przeprowadzony za pośrednictwem wielu kanałów komunikacyjnych – najczęściej w wiadomości e-mail, przez wiadomość SMS, komunikację na czacie, czy przez telefon w czasie rozmowy głosowej podając się np. za pracownika banku. Hakerzy opierają swoje działania na inżynierii społecznej, tak aby ofiara była przekonana, że rozmawia z osobą, za którą przestępca się podaje. Wykorzystuje w tym celu nierzadko informacje pozyskane np. w mediach społecznościowych czy przejmując komunikację w innych kanałach (np. czat czy mail).
Powodzeniem akcji phishingowej (z punktu widzenia hackera) może być przejęcie tożsamości w bankowości internetowej czy też uruchomienie złośliwego programu, który może nieść różne skutki. Może to być ransomware (oprogramowanie szyfrujące dysk komputera i jednocześnie żądające okupu od ofiary za udostępnienie klucza deszyfrującego), keylogger (pozwalający pozyskać informacje o naciskanych klawiszach np. podczas wpisywania hasła) czy inne oprogramowanie szpiegujące.
Inne popularne rodzaje ataków to kradzieże danych (które są zapisane na dyskach twardych jako pliki, czy dane w systemach, z których korzystamy, szpiegostwo (nie tylko gospodarcze) czy invoice hacking (wysyłanie podrobionych faktur różniących się numerem konta).
Jak nie dać się hackerom?
Sama świadomość tego, że ktoś może chcieć nam zaszkodzić i że możemy stać się ofiarą cyberprzestępstwa to nie wszystko. Każdy z użytkowników Internetu, smartfona czy notebooka powinien stosować szereg metod i środków zaradczych. Jakie to metody? Najważniejsze z nich, to:
- Nie używaj uprawnień administratora na swoim komputerze – w czasie, gdy nie instalujesz żadnej aplikacji, stosuj odrębne konto do „zwykłej pracy”. Dzięki temu możesz uniknąć sytuacji, że zainfekujesz swoje urządzenie złośliwym oprogramowaniem, które wymaga do instalacji właśnie praw administratora.
- Nie używaj poczty służbowej do celów prywatnych – na maile służbowe nie zakładaj kont w serwisach niezwiązanych z pracą, nie dokonuj zakupów. Dlaczego? Ułatwia to profilowanie, ułatwia phishing ukierunkowany, zapewnia przestępcom zasłonę dymną i więcej wysyłanego masowo phishingu i szkodliwego oprogramowania w skrzynce odbiorczej.
- Hasła: Używaj długich i różnych haseł, zmieniaj hasła, używaj menadżera haseł. I może to być zeszyt, alei też odpowiednie oprogramowanie. Dlaczego różnych w różnych serwisach? Bo wyciek danych logowania w jednym serwisie może służyć przestępcom jako wskazówka do prób włamania do innych serwisów (zazwyczaj naszym identyfikatorem jest adres e-mail) i jeśli hasła w różnych miejscach są takie same – jest to dziecinnie proste.
- Aktualizuj oprogramowanie na swoich urządzeniach – oprogramowanie ma błędy, a żeby uniknąć sytuacji, gdzie hackerzy wykorzystują owe błędy w oprogramowaniu (nazywane podatnościami), należy je aktualizować zaraz po tym, gdy owa aktualizacja została przygotowana przez producenta.
- Zawsze myśl o tym, co robisz – nie klikaj pochopnie w linki, nie wierz w promocje, które kończą się za 1h, a można w nich wygrać nowego iPhona, nie wierz w to, że seksowna blondynka chce się z Tobą umówić na randkę, bo widziała Twoje zdjęcie profilowe na Instagramie.
- Regularnie się dokształcaj – czytaj blogi, grupy poświęcone cyberbezpieczeństwu, interesuj się nowymi metodami ataków, czytaj portale poświęcone cyberzagrożeniom.
Narzędzia
Drugą grupą środków zapobiegających skuteczności ataków, jest stosowanie kilku środków technologicznych, do których możemy zaliczyć:
- Oprogramowanie antywirusowe – uaktualniaj je regularnie, skanuj zgodnie z harmonogramem, skanuj też wszelkie pliki pobierane z poczty czy Internetu. Warto korzystać z oprogramowania komercyjnego, płatnego, ponieważ w przeszłości było wiele przypadków sprzedawania danych użytkowników korzystających z darmowych wersji. Zwróćcie uwagę, czy do pakietu antywirusowego (antymalware) dołączona jest osobista zapora ogniowa.
- Uwierzytelnianie wielo/dwuskładnikowe (MFA/2FA) to kolejna warstwa ochrony. Pamiętajcie, aby włączyć uwierzytelnianie wieloskładnikowe dla wszystkich kont i usług, które na to pozwalają. Wykorzystanie drugiej formy weryfikacji, takiej jak tymczasowy kod, SMS lub skan biometryczny chroni przed nieautoryzowanym dostępem, nawet jeśli hasła zostaną złamane czy wykradzione.
- Backup: Po co robić backup? Jest kilka powodów – to ochrona plików przed oprogramowaniem ransomware, uszkodzeniem dysku, czy kradzieżą/utratą komputera. Używaj dedykowanego oprogramowania do tworzenia kopii zapasowych, które pozwala na przechowywanie kopii plików na innym urządzeniu i/lub w chmurze. Absolutne minimum to regularna ręczna kopia na zabezpieczonym pendrive lub dysku zewnętrznym.
- Nie zapomnij o szyfrowaniu: Szyfrowanie to ostatni poziom ochrony, zwłaszcza w momencie, gdy cyberprzestępca złamie pozostałe zabezpieczenia, dostanie się do serwera poczty, czy przejmie Twoje konto komunikatora. Jeśli dane będą właściwie zaszyfrowane, to możesz być pewny, że przejęte informacje nie będą stanowić żadnej wartości dla cyberprzestępcy. Używaj narzędzi bazujących na szyfrowaniu asymetrycznym, bez trzeciej strony. Absolutne minimum to zahasłowany plik PDF albo archiwum ZIP i hasło przesłane innym kanałem komunikacyjnym.
- Wspomniany menadżer haseł
Edukacja
Podsumowując, aby zapewnić maksymalne bezpieczeństwo, ważne jest, aby być na bieżąco z najnowszymi najlepszymi praktykami z zakresu bezpieczeństwa. Warto szukać wiedzy u wiarygodnych źródeł, takich jak blogi, publikacje i komunikaty ostrzegawcze. Dobrą praktyką jest także uczestnictwo w szkoleniach i webinarach, które zwiększą naszą świadomość bezpieczeństwa. Pamiętajmy, że ciągłe uczenie się i podnoszenie świadomości to kluczowe elementy minimalizowania ryzyka. Zachowując te zasady, zwiększymy naszą ochronę przed stale rozwijającymi się zagrożeniami i technikami ataków.