Niedawno do mojej skrzynki pocztowej trafił mail z opisem kolejnej formy phishingu; metody oszustwa, która ma na celu zainfekowanie komputera lub wyłudzenie cennych danych. Takich wiadomości dostaję całkiem sporo. Tym razem chodzi o złośliwą odmianę CAPTCHA, czyli mechanizmu mającego sprawdzać, czy użytkownik „jest człowiekiem”.

Ta CAPTCHA sprawdza raczej, czy jest on człowiekiem na tyle nieostrożnym, by dać się złapać na perfidny podstęp. Wystarczy, że zgodnie z wyświetloną na stronie internetowej sugestią naciśnie on dwie kombinacje klawiszy: WIN+R i CTRL+V. Potem jeszcze tylko gwóźdź do cyfrowej trumny – ENTER – i system Windows, jeśli to z niego korzysta użytkownik, wykona umieszczone w schowku przez hakera złośliwe polecenie, które zainfekuje komputer. Czym to grozi? Nie bez powodu napisałem o cyfrowej trumnie, albowiem w zależności od rodzaju infekcji, możemy być narażeni na kradzież właściwie wszystkiego, co przechowujemy na urządzeniu: loginów i haseł do kont, pieniędzy czy plików…

 

Co to jest cyberbezpieczeństwo?

 

Banałem będzie stwierdzenie, że dla zdecydowanej większości z nas korzystanie z internetu stało się codziennością, a cyfryzacja życia sięga coraz dalej. Komunikujemy się przez sieć, robimy zakupy online, korzystamy z bankowości internetowej i mediów społecznościowych; coraz częściej też zdalnie sterujemy oświetleniem, ogrzewaniem i innymi aspektami funkcjonowania „inteligentnych domów”. Wszystko to jest rzecz jasna bardzo komfortowe i mało kto chciałby zrezygnować z tych udogodnień, lecz – pozwolę sobie tu przytoczyć słowa Ryszarda Ochódzkiego z kultowego „Misia” – rozchodzi się o to, żeby te plusy nie przesłoniły nam minusów.

 

Minusami są zagrożenia, które wiążą się z wygodą nowoczesności. Dlatego warto poznać choćby podstawy cyberbezpieczeństwa (ang. cybersecurity) i dowiedzieć się, jak chronić swoje dane i prywatność. Czym jest cyberbezpieczeństwo? Jest to ogół metod i narzędzi mających na celu ochronę systemów komputerowych i sieci przed nieautoryzowanym dostępem, który może skutkować kradzieżą lub fałszowaniem danych. Wbrew pozorom nie chodzi tylko o skomplikowane zabezpieczenia stosowane przez firmy, lecz o proste zasady bezpieczniejszego postępowania w internecie, jakich może przestrzegać każdy z nas.

 

Typowe zagrożenia w sieci

 

  1. Phishing. O tej formie oszustwa pisałem już na wstępie. Dostałeś kiedyś SMS z informacją o oczekującej przesyłce albo o konieczności dopłaty niewielkiej kwoty w celu jej doręczenia? A może otrzymałeś wiadomość z banku, z której wynika, że rzekomo musisz podać wrażliwe dane? Komunikaty tego rodzaju są skonstruowane tak, by przypominały informacje od instytucji finansowych albo popularnych firm świadczących usługi kurierskie, lecz przekierowują na złośliwe strony. Imitacje są niekiedy bardzo przekonujące, a oszuści zakładają wciąż nowe, perfidne pułapki, w które może wpaść nawet osoba mająca jakieś pojęcie o bezpiecznym postępowaniu w internecie.
  2. Malware i ransomware. Złośliwe oprogramowanie, które może zainfekować komputer, zaszyfrować dane lub umożliwić hakerom dostęp do systemu. Obawy może budzić zwłaszcza ta druga forma ataku, gdyż jak sama nazwa wskazuje (ang. ransom oznacza okup), po skutecznym sparaliżowaniu systemu ofiary szantażyści żądają pieniędzy za odblokowanie go bądź odszyfrowanie plików. Przestępcy nie znają litości; na przykład w 2022 roku obrali za cel Instytut Centrum Zdrowia Matki Polki i Lotnicze Pogotowie Ratunkowe.
  3. Ataki typu brute-force. Próby zgadnięcia haseł poprzez systematyczne wypróbowywanie różnych kombinacji. Jeśli hasło jest słabe, haker może je łatwo złamać.
  4. Nieaktualne oprogramowanie. Systemy operacyjne, przeglądarki czy programy, które nie są na bieżąco aktualizowane, stanowią łatwy cel dla cyberprzestępców. Wiele ataków wykorzystuje znane luki w oprogramowaniu, które są sukcesywnie usuwane w jego nowszych wersjach.

 

Jak się chronić?

 

Każdy użytkownik może podjąć kilka prostych kroków, pozwalających ograniczyć ryzyko cyberzagrożeń:

 

  1. Stosuj silne i unikatowe hasła. Nawet jeśli nie oglądasz kanału HRejterzy, być może wpadł ci w oko opracowany przez jego autorów billboard z napisem stylizowanym na wpis w serwisach społecznościowych: „A ja to mam jedno hasło do wszystkiego”. (Pod hasłem widnieje informacja o 2048 łapkach w górę od hakerów). Napis bawi, lecz problem „mania jednego hasła” wcale nie jest wyssany z palca. Dostęp do wszystkich ważnych kont powinien być chroniony inną, trudną do odgadnięcia sekwencją znaków. Dobrym rozwiązaniem jest używanie menedżera haseł, który przechowa dane logowania do różnych serwisów w bezpieczny sposób, a przy tym poinformuje cię, że jakieś hasła się powtarzają.
  2. Włącz uwierzytelnianie dwuskładnikowe. Dzięki dodatkowej warstwie zabezpieczeń, nawet jeśli ktoś pozna twoje hasło, będzie musiał podać drugi kod, wysyłany na przykład na telefon, aby uzyskać dostęp do konta.
  3. Aktualizuj oprogramowanie. Regularnie instaluj aktualizacje systemu operacyjnego, przeglądarek oraz programów. Aktualizacje często zawierają łatki bezpieczeństwa, które chronią przed najnowszymi zagrożeniami.
  4. Zachowaj ostrożność przy podejrzanych e-mailach i linkach. Nie otwieraj wiadomości od nieznanych nadawców ani nie klikaj podejrzanych linków. Nawet jeśli wiadomość wygląda na autentyczną, sprawdź dokładnie adres nadawcy i zachowaj zdrowy rozsądek, szczególnie gdy ktoś żąda podania danych osobowych. Nie bez powodu wszystkie banki podkreślają, że ich pracownicy nigdy nie proszą o żadne poufne dane, pozwalające na uzyskanie dostępu do konta.
  5. Bezpiecznie korzystaj z sieci Wi-Fi. Używaj zaufanych sieci Wi-Fi. Przy dokonywaniu transakcji online unikaj publicznych hotspotów lub używaj w takich przypadkach wirtualnej sieci prywatnej (VPN), która zaszyfruje Twoje połączenie.
  6. Regularnie rób kopie zapasowe. Wykonuj kopie zapasowe ważnych danych. W przypadku ataku typu ransomware posiadanie kopii zapasowej pozwoli Ci odzyskać pliki bez konieczności płacenia okupu.
  7. A jeśli mleko już się rozlało? Przede wszystkim zachowaj spokój. Jeśli doszło do wycieku wrażliwych danych, który stwarza ryzyko nieuprawnionego dostępu do twoich kont lub usług, koniecznie zmień hasło lub hasła, które mogły wpaść w niepowołane ręce. Zgłaszaj odpowiednim organom wszystkie próby bezprawnego wykorzystania twoich danych, na przykład numeru PESEL i (lub) numeru dowodu osobistego w celu wyłudzenia kredytu.

 

Niestety, przestępcy nieustannie się uczą i wpadają na wciąż nowe pomysły. Oznacza to, że aby nie zostać w tyle i zminimalizować ryzyko, że zostaniemy oszukani, my także powinniśmy się dokształcać. Warto na bieżąco śledzić informacje o nowych zagrożeniach i metodach ochrony. Komunikaty tego rodzaju są publikowane w serwisach internetowych specjalizujących się w cyberbezpieczeństwie. Staraj się też zachowywać zdroworosądkowe zasady postępowania w internecie, bo na nic się zdadzą nawet najbardziej wyrafinowane zabezpieczenia, gdy zawiedzie człowiek - a to on właśnie najczęściej jest najsłabszym ogniwem. (Pisał o tym między innymi słynny haker Kevin Mitnick w książce Sztuka podstępu. Łamałem ludzi, nie hasła).

 

Oszustwo jest stare jak ludzkość, a cyberprzestrzeń stała się po prostu kolejną areną, na której cwani przestępcy próbują wykorzystywać naszą naiwność albo nieuwagę. Areną tym groźniejszą, że wciąż nową i nieustannie się zmieniającą. Zdając sobie sprawę z zagrożeń, warto dbać o swoje cyfrowe bezpieczeństwo podobnie, jak staramy się chronić w prawdziwym świecie: wychodząc, zamykamy przecież drzwi na klucz, blokujemy samochody i wystrzegamy się spacerowania po nocach podejrzanymi zaułkami. Nie unikniemy wszystkich zagrożeń, ale szczypta nieufności i zdrowego rozsądku pomoże nam skuteczniej chronić bram do cyfrowego królestwa.