Mało kto jest ekspertem od cyberbezpieczeństwa. Większość z nas po prostu korzysta z internetu, aplikacji mobilnych, gier, programów komputerowych i usług online absolutnie nie zaprzątając sobie głowy, jak to wszystko działa. Za naszą wschodnią granicą, na Ukrainie trwa konflikt zbrojny, przeprowadzane są również cyberataki, jednak naiwnością byłoby myśleć, że my jesteśmy od nich wolni. Tak naprawdę cyberwojna trwa od dawna, a jej celem może być każdy. Jak możesz się obronić, nie będąc ekspertem od cyberbezpieczeństwa? Przygotowaliśmy przydatny zestaw porad i działań, które warto podjąć w celu ochrony własnych danych i własnego komputera.
Częścią rosyjskiej strategii jest wykorzystywanie błędnej, fałszywej lub złośliwej informacji do manipulowania opinią publiczną. Każdy reżim poszukuje również środków do zasilania własnego funkcjonowania, co z kolei najlepiej widać po północnokoreańskich cyberatakach na portfele kryptowalutowe. Wreszcie każdy internauta i każde urządzenie podłączone do globalnej sieci może być celem ataków cyberprzestępców, którzy w cyberprzestrzeni prowadzą działania od dziesięcioleci.
Problem cyberataków jest o tyle poważny, że może dotknąć praktycznie każdego z nas. Według danych opublikowanych w raporcie Digital 2022 opracowanego przez firmę Hootsuite na początku 2022 r. z internetu w naszym kraju korzystało aż 87 proc. populacji (wliczając w to niemowlęta i wiekowych seniorów!). Zgodnie z danymi Ministerstwa Cyfryzacji już pod koniec 2020 r. ponad 90 proc. gospodarstw domowych w naszym kraju było połączonych z Siecią. Rok później – pod koniec 2021 r, GUS ujawnił, że odsetek ten wzrósł już do ponad 92 proc. Zatem dostęp do globalnej sieci i znajdujących się w niej aplikacji, gier, usług, treści itp. jest powszechny.
Mało kto jednak jest ekspertem od bezpieczeństwa danych. Na szczęście można znacząco podnieść poziom własnej ochrony w cyberprzestrzeni bez konieczności ukończenia trzech fakultetów na technicznych uczelniach z kierunkami z cyberbezpieczeństwa. Warto też mieć na uwadze, że nie istnieje jakiś cudowny program, czy urządzenie, które zapewniłoby nam stuprocentową ochronę przed cyberzagrożeniami. To, czy staniemy się ofiarami cyberataku, w znacznym stopniu zależy od nas samych. Im lepiej się przygotujemy, tym większa szansa, że potencjalny agresor zrezygnuje i obierze inny, łatwiejszy cel. Opisywane przez nas czynności mają być z założenia proste, chodziło nam o pokazanie działań, które są nie tylko skuteczną prewencją i znaczącym utrudnieniem dla potencjalnych atakujących nasze dane, ale są również proste do wdrożenia jak np. umycie rąk skutecznie chroniące nas przed infekcją wirusową.
Zadbaj o bezpieczeństwo twoich haseł
Skąd dany serwis internetowy “wie”, że my to my? To proste, gdy zaczęliśmy korzystać z jakiejś usługi, zarejestrowaliśmy nasze konto, do którego dostęp chroniony jest hasłem. To hasło dostępowe powinno być znane tylko nam, a wiele serwisów online wymusza na użytkownikach tworzenie odpowiednio złożonych haseł. Złożonych, czyli na tyle skomplikowanych by ich “odgadnięcie” metodami algorytmicznymi było przynajmniej bardzo trudne. Wciąż wiele osób stosuje proste hasła, będące popularnymi wyrazami (np. “komputer”) czy bardzo łatwymi do odgadnięcia ciągami znaków (“QWERTY”, czy “123456”). Wiele usług online podczas rejestracji konta stara się przeciwdziałać takim hasłom wymuszając reguły ich tworzenia, że hasło musi zawierać np. małe litery, duże litery, liczby czy znaki specjalne. Bardzo ważne jest, by żadne hasło do różnych usług online, z których korzystamy nie było takie samo – to proszenie się o kłopoty. W sytuacji, gdy utracimy hasło, które zapewniało nam dostęp do bardzo wielu usług, cyberprzestępca również uzyska do nich dostęp. Zgadzamy się, że zapamiętanie wielu skomplikowanych haseł jest bardzo trudne, ale możemy to sobie ułatwić korzystając z programów – menedżerów haseł (takich jak np. instalowana na komputerze aplikacja KeePass), albo menedżerów haseł działających online (jak np. LastPass). Dobrym pomysłem jest też korzystanie ze sztuczek mnemotechnicznych podczas tworzenia haseł. Np. zamiast frazy “Ala ma kota” (co byłoby fatalnym hasłem), można użyć “@1a_Ma-k0TA”, co jest hasłem spełniającym wszystkie wymienione wcześniej cztery reguły (małe litery, duże litery, cyfry, znaki specjalne). Jednak hasła to jedno, ale znacznie ważniejszym działaniem w kontekście bezpieczeństwa jest ustawienie podwójnej weryfikacji tożsamości.
Podwójna weryfikacja tożsamości, czyli uwierzytelnianie wieloskładnikowe – znacząca poprawa ochrony
Niestety, nawet najbardziej wyrafinowane i skomplikowane hasło, którego “odgadnięcie” metodami matematycznymi byłoby niezwykle trudne może zostać zwyczajnie skradzione, podpatrzone czy w inny sposób przejęte. Dlatego hasła nie są już wystarczającym sposobem na ochronę naszych kont przed przejęciem przez cyberprzestępców. Znakomitą poprawę bezpieczeństwa dostępu do naszych kont stanowi tzw. uwierzytelnianie wieloskładnikowe, najczęściej określane też jako dwuskładnikowe (2FA – Two Factor Authentication; ze względu na dwa składniki potwierdzające naszą tożsamość). Taka metoda weryfikacji tożsamości jest znacznie pewniejsza niż samo hasło. Z jednej strony usługodawca, do którego usług się logujesz ma pewność, że faktycznie jesteśmy tą osobą, za którą się podajemy, z drugiej – wykradzenie tożsamości weryfikowanej podwójnie przez cyberprzestępców jest znacznie, znacznie trudniejsze. Nawet jeżeli haker pozna w jakiś sposób twoje hasło dostępowe do konta, to i tak nie będzie mógł z niego skorzystać ze względu na brak dostępu do drugiego składnika weryfikacji tożsamości.
W Polsce poprawę bezpieczeństwa korzystania z usług bankowości elektronicznej wymusiło również prawo. Dziś bankowość elektroniczna działająca w naszym kraju ma prawny obowiązek stosowania uwierzytelniania dwuskładnikowego. Najczęściej jest to realizowane w ten sposób, że logując się do naszego konta bankowego w bankowości internetowej najpierw musimy podać naszą nazwę użytkownika (identyfikator), następnie podajemy hasło, a następnie musimy jeszcze wprowadzić specjalny kod poprzez aplikację mobilną danego banku. Wcześniej banki stosowały zamiast aplikacji konieczność podania specjalnego kodu wysyłanego SMS-em, ale obecnie nie jest to już najbezpieczniejsza forma dwuskładnikowego uwierzytelniania.
Generalnie uwierzytelnianie dwuskładnikowe opiera się na dwóch filarach: tym co wiesz (twoje hasło) i tym co posiadasz (twój smartfon z aplikacją mobilną). Nawet gdy przestępcy przejmą twoje hasło, to wciąż nie mają twojego smartfonu z aplikacją generującą unikalne kody logowania.
W każdym razie warto aktywować funkcje 2FA (podwójnej weryfikacji tożsamości) możliwie w każdej usłudze online, z której korzystamy. Wiele usług online (np. wspomniane usługi bankowości elektronicznej w Polsce) ma już na starcie aktywną podwójną weryfikację użytkownika, ale w wielu innych usługach warto to zrobić samodzielnie. Nie jest to specjalnie skomplikowane. Np. w przypadku Facebooka po zalogowaniu się do niego należy wejść w Ustawienia, wybrać kategorię Bezpieczeństwo i logowanie, następnie w części zatytułowanej Uwierzytelnianie dwuskładnikowe wybrać Używaj uwierzytelniania dwuskładnikowego. Na kolejnej stronie zobaczysz dostępne metody zabezpieczenia, zdecydowanie zalecanym sposobem jest aplikacja uwierzytelniająca (Facebook proponuje m.in. bardzo dobrą aplikację Google Authenticator, którą możemy wykorzystać również do generowania kodów uwierzytelniających dla wielu innych usług online). Analogiczne funkcje włączania uwierzytelniania dwuskładnikowego znajdziemy w wielu innych, popularnych usługach online i sieciach społecznościowych: gmail. Twitter, Instagram, Linkedin i wiele, wiele więcej. Jeżeli jakaś usługa nie zapewnia funkcji dwuskładnikowego uwierzytelniania, to zdecydowanie warto odpuścić sobie korzystanie z takiego rozwiązania, jest ono po prostu zbyt niebezpieczne.
Dbaj o regularne aktualizacje
Kolejne bardzo ważne działanie z punktu bezpieczeństwa danych, które jednocześnie jest banalnie proste dla każdego. Dbałość o regularne aktualizacje oprogramowania to nie jest jakaś zaawansowana wiedza i technologia. W większości przypadków producenci oprogramowania nas w tym wręcz wyręczają sami rozsyłając stosowne pakiety aktualizacyjne, które użytkownik, np. systemu Windows, musi jedynie zatwierdzić do instalacji. Nie odkładajmy w czasie automatycznych aktualizacji, bo dzięki nim używane przez nas oprogramowanie jest chronione przed najnowszymi zagrożeniami. Brak aktualizowania używanego oprogramowania to proszenie się o kłopoty. Cyberprzestępcy nieustannie poszukują luk w popularnych programach, a z kolei twórcy tych programów nieustannie te luki powinni łatać. Jeżeli jakieś oprogramowanie jest porzucane przez twórców i przestaje być dalej rozwijane i aktualizowane, a wciąż jest stosowane przez liczną grupę użytkowników, to z czasem staje się “tylnymi drzwiami” dla złośliwych programów atakujących nasz komputer.
Nie daj się nabrać na phishing – nie klikaj w linki!
Choć ataki cyberprzestępców są coraz bardziej wyrafinowane, to wcale nie stosują oni jakiejś niezwykle zaawansowanej techniki. Wręcz przeciwnie, najczęstsze ataki prowadzone są bardzo prostymi środkami, na masową skalę i wielokrotnie powtarzane, a nuż w końcu ktoś się skusi (i zazwyczaj tak jest). Phishing to słowo, które wymawiamy podobnie jak fishing (łowienie ryb z ang.), co ma oddawać charakter tego ataku, gdyż jego sednem jest skłonienie ofiary poprzez odpowiednio spreparowaną wiadomość email, poprzez media społecznościowe, czy komunikatory, by wymusić na nas jakieś działanie: najczęściej kliknięcie w link prowadzący do specjalnej strony zawierającej złośliwe oprogramowanie i/lub udającej np. serwis online jakiegoś banku czy innej popularnej usługi. Co do zasady nie klikamy w jakiekolwiek linki, które otrzymujemy od nieznanych nam osób poprzez SMS/MMS, sieci społecznościowe, komunikatory etc. Co więcej, nawet jak znajomy podeśle nam dziwną wiadomość np. za pośrednictwem Facebooka, również warto przed kliknięciem upewnić się (np. kontaktując się z daną osobą) czy faktycznie dana wiadomość pochodzi od niej. Na szczęście wiele wiadomości pochodzących od cyberprzestępców wyłudzających dane czy pieniądze jest fatalnie zredagowana, liczne błędy językowe, niepoprawna gramatyka, interpunkcja, czy dziwne litery zamiast polskich znaków świadczą o tym, że dana wiadomość może być próbą wyłudzenia danych/pieniędzy.
Jak bezpiecznie korzystać z mediów społecznościowych?
Najlepszym wyjściem jest zastosowanie przedstawionych tu porad. Jeżeli chcesz korzystać z jakiejś sieci społecznościowej zadbaj kolejno o:
- Ustawienie silnego, niepowtarzalnego hasła dostępowego;
- Aktywuj dwuskładnikowe uwierzytelnianie;
- Dodawaj do listy znajomych wyłącznie osoby, które faktycznie znasz i do których masz zaufanie;
- Zadbaj o ukrycie na swoim profilu danych, co do których nie chcesz, by były dostępne publicznie (dla każdego odwiedzającego dany serwis);
- Nie klikaj w żadne linki przesyłane za pośrednictwem sieci społecznościowych, o ile nie zweryfikujesz ich prawdziwości i intencji nadawcy;
- Nie ufaj udostępnianym w sieciach społecznościowych aplikacjom;
- Korzystaj z oprogramowania antywirusowego na bieżąco monitorującego sytuację i weryfikującego bezpieczeństwo danych, z których korzystać przez przeglądarkę internetową
Włamano mi się na konto! Co robić? Kogo powiadomić?
Zacznijmy od tego, w jaki sposób możesz stwierdzić, że z dużym prawdopodobieństwem, twój profil w mediach społecznościowych, czy konto w jakiejś usłudze online zostały przejęte przez cyberprzestępców? O włamaniu może świadczyć np. wiadomość e-mail generowana automatycznie przez konkretny serwis i informująca cię, że zmieniłeś dane logowania lub logowałeś się z nowego urządzenia, mimo że nic takiego nie miało miejsca. Kolejny symptom to otrzymywanie bardzo dużej ilości spamu, czy wyświetlanie Ci się nagle ponadnormatywnej ilości reklam w odwiedzanych serwisach. Jeżeli atak nastąpił na profil w sieci społecznościowej o podejrzanej aktywności możesz się przekonać, że nagle w twoim imieniu publikowana jest zawartość, której nie tworzyłeś, a w gronie znajomych pojawiają się nowe konta, których nie znasz.
Jak zareagować? Jeżeli wciąż masz dostęp do swojego konta, które – jak podejrzewasz – zostało zaatakowane, sprawdź w ustawieniach profilu czy nie pojawił się żaden nowy nr telefonu czy adres e-mail do weryfikowania/zmiany hasła i ustawień prywatności. Tylko twój adres e-mail i twój numer telefonu powinien być widoczny w ustawieniach profilu – jeżeli jest inaczej natychmiast usuń inne adresy e-mail i/lub numery telefonów. Ponadto natychmiast spróbuj zmienić hasło na inne (bezpieczne i silne), a także uaktywnij uwierzytelnianie dwuskładnikowe, o ile wcześniej tego nie zrobiłeś (a raczej nie, jeżeli twoje konto stało się celem ataku). Popularne sieci społecznościowe publikują własne informacje na temat procedur postępowania, jakie należy podjąć w razie gdy twoje konto zostanie zaatakowane. Np. w przypadku Facebooka fakt włamania na twoje konto można zgłosić za pośrednictwem strony Report compromised account (facebook.com). Z kolei Twitter publikuje stosowne informacje na temat zgłaszania naruszeń bezpieczeństwa na tej stronie: Jak zgłaszać naruszenia Zasad Twittera i Zasad użytkowania? Podobne informacje znajdziemy praktycznie w każdej popularnej usłudze online.
Jednocześnie warto pamiętać, że włamanie i kradzież tożsamości czy pieniędzy online to przestępstwa, a te należy zgłaszać odpowiednim służbom. Zgodnie z sugestiami Ministerstwa Cyfryzacji przypadki podejrzenia włamań na konta w serwisach online czy mediach społecznościowych można zgłaszać do policyjnego Biura do Walki z Cyberprzestępczością (cyber-kgp@policja.gov.pl), a także do Wydziałów do Walki z Cyberprzestępczością obecnych w każdej wojewódzkiej komendzie policji. Incydenty dotyczące naruszenia bezpieczeństwa warto zgłaszać również do CSIRT NASK (cert@cert.pl oraz https://incydent.cert.pl)
