W ostatnim czasie niepokojąco dużo dostaje od was wiadomości z prośbą o pomoc – „ktoś mnie zhakował, co mogę zrobić?”. Pamiętaj, że żadna firma nie będzie dbała o bezpieczeństwo Twoich danych jeżeli nie będzie mieć w tym interesu. To Ty musisz sama/sam o to zadbać. W temacie cyberbezpieczeństwa podobnie jak w medycynie prewencja jest łatwiejsza niż leczenie. Dlatego mam dla Ciebie kilka rad jak poprawić swoje bezpieczeństwo w sieci.
1. Do każdego z serwisów używaj innego długiego hasła, minimum 8 znakowego. Najłatwiejsze do zapamiętania, a jednocześnie trudne do złamania hasło to po prostu abstrakcyjna fraza np. „LubięZielone2Kwadraty!”.
Współczesne komputery mają ogromną moc obliczeniową i dodatkowo można takową zamówić jako usługę w chmurze. Oznacza to, że krótkie hasła o małej przestrzeni znakowej są bardzo szybko łamane. Jak pokazał to Michał Sajdak, wystarczą 4 minuty, żeby złamać hasło, którym będzie numer pesel. Ja z kolei pokazałem we wpisie „Publicznie dostępne wyniki badań na koronawirusa – czyli jak nie zabezpieczać danych„, że data urodzenia również nie stanowi dobrego zabezpieczenia. Należy pamiętać, iż komputery nie „myślą” jak ludzie. Oznacza to, że dużo łatwiejsze jest dla nich złamanie krótkich skomplikowanych haseł niż długich, ale łatwych do zapamiętania dla człowieka.
2. Zacznij używać menadżerów haseł np. KeePaasa – dzięki temu będziesz musiał pamiętać tylko o swoim jednym głównym haśle, a resztę za Ciebie zapamięta właśnie on.
Menadżer haseł to taki sprytny program, który przechowa dla Ciebie hasła w postaci zaszyfrowanego pliku. Żeby się do nich dostać, będziesz musiał pamiętać tylko jedno, swoje główne hasło. Więcej na ten temat można poczytać na Zaufanej Trzeciej Stronie .
3. Wszędzie gdzie się da włącz drugi faktor autentykacji – gdy ktoś wykradnie Twoje hasło będzie potrzebował jeszcze dodatkowego kodu żeby zalogować się na Twoje konto.
Podobnie jak w banku gdy do potwierdzenia przelewu wymagany jest dodatkowy kod, który przychodzi na Twój numer telefonu, tak samo w różnego rodzaju serwisach (np. Facebook, Gmail) możesz włączyć mechanizm podwójnej weryfikacji. Po jego włączeniu oprócz loginu i hasła do zalogowania będzie potrzebny dodatkowy kod. 2FA może uchronić Cię przed przejęciem Twojego konta w przypadku wycieku Twoich danych logowania. Więcej na Zaufana Trzecia Strona.
4. Jeżeli masz możliwość zacznij korzystać z kluczy U2F – ochroni Cię to przed skutkami phishingu.
Klucze U2F to najlepsza metoda, jaką możesz wykorzystać do dwuskładnikowego uwierzytelniania. Za ich bezpieczeństwo odpowiada kryptografia z mechanizmem kluczy prywatnych i publicznych. Niebezpiecznik nagrał dobry film na temat ich działania więc odsyłam Cię do niego – klik.
5. Sprawdź na stronie https://haveibeenpwned.com/ czy Twoje dane nie wyciekły z jakieś strony. Jeżeli tak i gdzie indziej używałeś tego samego hasła, czym prędzej je zmień.
Serwis Have I Been Pwned został założony przez Troy Hunt, bezpiecznika z Microsoft. Agreguje on większość publicznych wycieków danych w Internecie. Dzięki temu za jego pomocą możesz sprawdzić, czy i kiedy Twoje dane wyciekły z jakiegoś serwisu. Przestępcy często używają tego typu baz do przejmowania kolejnych kont użytkowników — po prostu sprawdzając, czy nie używa on tego samego hasła w różnych serwisach.
6. Nie klikaj w linki od nieznajomych, ani w podejrzane od znajomych. Tyczy się to także linków otrzymanych np. smsem od banku. Czasami samo kliknięcie w link może spowodować infekcje.
Psychologia mówi, że atak na użytkownika rozpoczyna się już na etapie gdy dostajemy powiadomienie o nowej wiadomości. Otrzymujemy wtedy zastrzyk dopaminowy i oczekujemy, że zaraz wydarzy się coś ciekawego. Nie dajmy się zwieść wbudowanemu w nas systemowi autonomicznemu i zawsze przełączajmy się w takiej sytuacji na system analityczny. Czy oczekiwałem tej wiadomości? Czy znam osobę, która wysyła mi tę wiadomość? Czy ktoś się mógł podszyć pod daną osobę, instytucję? Nie działaj odruchowo i dwa razy zastanów się, zanim podejmiesz akcję, do jakiej ktoś Cię namawia.
7. Zielona kłódka na stronie nie oznacza, że jest ona bezpieczna. Oznacza to tylko tyle że komunikacja z nią odbywa się szyfrowanym kanałem.
W Internecie istnieje wiele mitów i jednym z nich jest mit bezpieczeństwa związany z zieloną kłódką. Bierze się on z czasów gdy tylko duże instytucje było stać na certyfikaty SSL oraz z błędnej interpretacji „Połączenie jest bezpieczne”. Zielona kłódka oznacza tylko, (aż) tyle, że połączenie pomiędzy Twoją przeglądarką a serwerem, na którym dana strona jest hostowana odbywa się szyfrowanym kanałem. Przestępca też może stworzyć stronę z ważnym certyfikatem SSL i Twoje połączenie z nim będzie odbywać się szyfrowanym kanałem. Tym samym będziesz widział przy jej adresie zieloną kłódkę.
8. Nie ufaj wyświetlanym numerom telefonów. To, że wyświetla on, że dzwoni do Ciebie bank, nie oznacza, że tak jest. Pod numery telefonów w łatwy sposób da się podszyć.
Niestety spoofing numeru telefonu, czyli podszywanie się pod dany numer telefonu jest możliwe i prawdopodobnie jeszcze długo będzie możliwe. Protokoły komunikacji używane w sieciach telefonii komórkowej są stare i nie umożliwiają wiarygodnego uwierzytelnienia rozmówców oraz weryfikacji czy danym numerem posługuje się faktycznie jego właściciel. Tym samym nie powinno się budować zaufania na podstawie tego, kogo numer telefonu wyświetla się u nas. Sytuacja tyczy się zarówno połączeń telefonicznych jak i wiadomości sms. Przestępcy używają tego typu manipulacji do nakłonienia Cię do podjęcia różnego rodzaju akcji. Piotr Konieczny odbył na ten temat bardzo fajną rozmowę z Przemysławem Dębą z Orange, do której Cię odsyłam – klik.
9. Do ogłoszeń w Internecie np. olx używaj oddzielnego numeru telefonu, dedykowanego tylko do tego celu.
Gdy numer telefonu używany tylko do ogłoszeń wycieknie i ktoś będzie chciał podszyć się pod zaufaną dla Ciebie osobę, bądź instytucję dzwoniąc/smsując na niego — od razu o tym będziesz wiedzieć, ponieważ tego numeru używałeś tylko do ogłoszeń. Dodatkową zaletą tego rozwiązania jest to, że z łatwością możesz takiego numeru się pozbyć, bez obawy, że ktoś na kim Ci zależy, utraci kontakt z Tobą.
10.Tryb prywatny w przeglądarce nie zapewnia anonimowości.
Jedyne co robi tryb prywatny w przeglądarce to to, że nie zapisuje historii odwiedzonych stron. Tym samym nie służy on do zachowania anonimowości i w tym kontekście nic nie zmienia.
11. Wykup usługę alertów BIK https://www.bik.pl/ – dostaniesz powiadomienie gdy ktoś będzie próbował wziąć kredyt na Twoje dane.
Gdy ktoś pozyska Twoje dane, może wykorzystać je do kupienia dowodu kolekcjonerskiego. To z kolei może posłużyć mu to do wzięcia kredytu na Ciebie. O takim przypadku zazwyczaj dowiesz się dopiero wtedy gdy do Twoich drzwi zapuka komornik. Jest na to sposób — banki czy inne firmy pożyczkowe bardzo często przed podjęciem decyzji kredytowej sprawdzają historię kredytową w organizacjach typu Biuro Informacji Kredytowej. Możesz wykupić alerty (na SMS lub e-mail), gdy tylko ktoś odpyta BIK o Twoje dane, tym samym zawczasu zareagować i ustrzec się przed problemem.
12. Wyłącz makra w pakiecie Office.
Najczęstszym i jednym z łatwiejszych do przeprowadzenia (swoją drogą też często z tego korzystam) scenariuszem ataku na użytkownika jest podesłanie mu dokumentu z dopisanym kawałkiem kodu w makro. Ten kod z kolei ściąga już właściwego „wirusa” i uruchamia na komputerze ofiary. Popularność tej technika bierze się z błędnie ogólnoprzyjętego zaufania do dokumentów pakietu Office oraz tego, że ta technika pozwala często na ominięcie różnego rodzaju oprogramowania antywirusowego. Prawdopodobnie jako przeciętny użytkownik komputera nie potrzebujesz włączonej obsługi makr, więc je po prostu wyłącz. Instrukcja jak to zrobić tutaj – makra.
13. Za zakupy w internecie płać kartą. Płatność kartą daje możliwość reklamacji w banku i chroni konsumentów procedurą chargeback.
Każdą transakcję na karcie przeprowadzoną przy pomocy karty płatniczej masz prawo reklamować. Najlepiej od razu robić to w trybie procesowym chargeback. Bank jako wydawca karty zobowiązany jest do prowadzenia procesu chargeback zgodnie z regulacjami międzynarodowej organizacji płatniczej VISA lub MasterCard. Cała procedura chargeback jest regulowana wewnętrznymi przepisami organizacji płatniczych, w jej treść nie ingeruje natomiast prawo krajowe. Często banki podchodzą do tych reklamacji niechętnie, czasami nawet nie informując klienta o takiej możliwości. Niemniej domaganie się przeprowadzenia reklamacji w trybie chargeback jest skuteczne, o czym sam miałem okazję się przekonać. Dzięki tej procedurze skutecznie odzyskałem pieniądze od „oszukańczego” sklepu.
14. Nie wierz komentarzom, opiniom i reklamom w Internecie.
Papier jest cierpliwy i wszystko zniesie. Podobnie jest z Internetem — słowo pisane nie musi być prawdziwe i często też tak nie jest. Komentarze, opinie, a także reklamy często są fałszywe. Podpisują się pod nimi nieistniejący eksperci, co tylko ma uwiarygodnić daną informację. To, że dany specyfik jest reklamowany przez lekarza (który de facto nie istnieje) nie oznacza, że jest skuteczny. To samo tyczy się naciągaczy na różnego rodzaju okazje finansowe — bądź ostrożny.
15. Zablokuj premium SMS WAP Billing.
Żeby zasubskrybować się do usługi płatnych SMS-ów np. z wróżbami, nie zawsze wymagane jest wysłanie jakieś wiadomości z potwierdzeniem. Istnieje stara zapomniana metoda SMS WAP Biling, która rejestruje użytkownika do subskrypcji jedynie poprzez kliknięcie w odpowiedni link. Scenariusz ataku jest prosty — przeglądasz Internet na telefonie albo przez modem z kartą sim i klikniesz w niegroźnie wyglądający link, a jakaś płatna subskrypcja zostanie automatycznie aktywowana. Prawdopodobnie dowiesz się o niej dopiero przy opłacaniu rachunku za telefon. SMS-y premium możesz zablokować u swojego operatora.
16. Na bieżąco aktualizuj oprogramowanie na swoich urządzeniach.
Zdecydowana większość ataków hakerskich opiera się na dobrze już znanych podatnościach, na które jest dostępna łatka bezpieczeństwa. Nie aktualizując oprogramowania na swoich urządzeniach, niejako zapraszasz przestępców do zhakowania twojego sprzętu.
17. Jeżeli stałeś się ofiarą ataku w Internecie albo ktoś próbował Cię oszukać – zgłoś to do CERT Polska https://incydent.cert.pl/
CERT Polska (Computer Emergency Response Team) jest organizacją, która ma techniczne możliwości na reagowanie na incydenty bezpieczeństwa w Internecie. Może ona np. doprowadzić do wyłączenia fałszywego sklepu albo stron wyłudzających dane osobowe.
