Śledząc doniesienia medialne z ostatnich tygodni, wszyscy chyba już słyszeli o cyber atakach na skrzynki mailowe polityków w naszym kraju. Niestety nie jest to nic nowego,
a z tego typu zdarzeniami agencja detektywistyczna Detektyw 24, podobnie zresztą jak służby, ma do czynienia już od kilku lat. Niepokojące jest także to, że skala cyber-zagrożeń nie maleje, a wręcz przeciwnie jest z miesiąca na miesiąc coraz większa i może dotyczyć praktycznie każdego z nas, jako obywatela globalnej, wirtualnej społeczności.
Poniżej prezentujemy kilka podstawowych rad jak temu przeciwdziałać i próbować się zabezpieczyć – najważniejsze jednak aby nie ułatwiać przestępcom ich działalności.
Korzystaj z GMAILA
Gmail na ten moment jest jednym z najbezpieczniejszych serwisów dostarczających darmową pocztę e-mail. W Gmailu pracuje całodobowo zespół ekspertów i specjalistów. Jeżeli tylko pojawia się informacja o jakiejś podatności w samej usłudze – jest ona natychmiast zabezpieczana. Podatność bezpieczeństwa nie czeka, aż administrator przyjdzie w poniedziałek rano do pracy. Z Gmaila korzysta ok 20% ludzi na świecie. Tak duży zasób kont powoduje, że Gmail praktycznie natychmiast wie o wszelkich masowych kampaniach Spamu, czy atakach. Wystarczy, że kilka-kilkanaście osób oznaczy wiadomość jako podejrzaną, a Gmail uchroni całą resztę swoich użytkowników. Gmail wykrywa miejsca logowania. Jeżeli zawsze logujemy się z Polski, a teraz próbujemy zalogować się z innego kraju – Gmail automatycznie wymusi dodatkową weryfikację np. przez kod sms lub potwierdzenie na telefonie. 2 użytkowników Gmaila może między sobą przesyłać bezpieczne wiadomości, których odczytanie jest możliwe tylko po podaniu kodu z smsa. Dodatkowo nadawca może zablokować możliwość drukowania takiej wiadomości i ustawić czas kiedy sama ma się zniszczyć. A co ważne, Gmail wspiera 2 etapowe uwierzytelnianie przez klucze fizyczne U2F.
Jeżeli to możliwe, zakup 2 klucze U2F Yubikey.
Klucze U2F chronią konto np. konto Gmail przed atakami phishingowymi. Jest to jedyna metoda ochrony. Każda inna metoda przy atakach phishingowych jest zawodna.
Atak phishingowy polega w skrócie na wysłaniu do odbiorcy wiadomości, która udaje wiadomość prawdziwą. Cyberprzestępca wysyła wiadomość, która udaje np. wiadomość od administracji Gmaila, banku, operatora komórkowego itd. Treść zazwyczaj sugeruje, że trzeba szybko kliknąć w link, bo inaczej Twoje konto zostanie zablokowane. Link nie prowadzi jednak do prawdziwego Gmaila, a do panelu logowania przestępcy, który wygląda identycznie jak prawdziwy Gmail. Jedyne co je różni, to adres w pasku internetowym. Jeżeli wpiszemy login i hasło, a nasze konto nie jest chronione 2 etapowym uwierzytelnianiem np. przez kod SMS, to przestępca od razu ma komplet danych pozwalających mu na logowanie na nasze konto.W ten sposób najprawdopodobniej zaatakowany został Minister Dworczyk, którego maile zostały przejęte i są publikowane.
Czytaj także: czym jest cyberbezpieczeństwo, czyli jak być bezpiecznym w sieci?
Jeżeli mamy dodatkowe potwierdzenie np. w aplikacji lub kodem sms, to znacznie utrudnimy pracę przestępcy, ale nadal może on dostać się na nasze konto. Kiedy my podamy na jego fałszywej stronie login i hasło, on wejdzie na prawdziwego Gmaila i spróbuje się zalogować, ponieważ potrzebuje np. kod z sms pokaże nam okienko, że mamy podać kod z sms. Jeżeli go przepiszemy, to znów z nim przegraliśmy. Tak mniej więcej wygląda schemat ataku. Jeżeli natomiast mamy i używamy klucza U2F, przestępca nie jest w żaden sposób w stanie przechwycić komunikacji między kluczem, a witryną. Zaleca się dodanie 2 kluczy i usunięcie wszystkich innych metod odblokowujących konto. Jeśli przestępca zobaczy, że mimo klucza można też użyć kodu sms pokaże nam komunikat, że dziś jest awaria obsługi kluczy i dlatego podaj mi kod z sms. Drugi klucz, analogicznie jak kluczyki do samochodu, warto schować na dno szuflady i traktować go jako zapasowy na wypadek zgubienia pierwszego klucza lub jego awarii.
Bank nie poprosi nigdy o Twoje hasło, ani o instalację aplikacji do zdalnego połączenia !
Coraz częściej cyberprzestępcy dzwonią na losowe numery, podają się np. za dział techniczny banku. Informują nas, że na naszym koncie pojawiły się nieautoryzowane transakcje i dlatego muszą pilnie sprawdzić nasz telefon. W związku z tym zachęcają nas do instalacji aplikacji Anydesk lub Teamviewer. Dzięki niej otrzymają oni zdalny dostęp do naszego telefonu. Następnie poproszą o zalogowanie się do banku lub podanie ustnie danych do logowania. Ponieważ są połączeni z naszym telefonem – sami potwierdzą sobie transakcje. Co ważne! Numer który nam się wyświetli będzie wyglądał tak jak numer banku (Cyber przestępca wykorzystuje się w tym przypadku technikę podszywania pod inny numer telefonu). Ang. Spoofing Caller ID. Jeżeli masz wątpliwości, rozłącz się i sam zadzwoń na infolinię banku! Jeżeli bank coś od Ciebie chciał to ma to zapisane w swoim systemie CRM.
Czytaj także: jak nie paść ofiarą hackera?
Zapisz strony do ulubionych
Podstawowe strony, z których korzystasz jak np. poczta e-mail, strona banku itd. Zapisz
w ulubionych. Część osób chcąc wejść do swojego banku wyszukuje stronę banku w google. Przestępcy często płacą Google za reklamę, żeby ich strona była na 1 miejscu. Nim bank się zorientuję i zgłosi sprawę do Google – każdy kto odruchowo kliknie w 1 link trafi na stronę przestępców, a nie prawdziwego banku.
Korzystaj z różnych haseł do różnych serwisów i portali
Do każdej usługi najlepiej zastosować osobne i mocne lub nawet bardzo mocne hasło. Jeżeli Twoje hasło wycieknie nawet tylko z jednej usługi, przestępcy będą próbować użyć go także w innych usługach. Najbezpieczniej skorzystać z coraz bardziej popularnego menadżera haseł (np. Keepass) i tam zapisywać wszystkie hasła. Najmocniej chroń hasło do swojego banku i poczty email. Jeżeli przestępcy dostaną się do Twojej skrzynki e-mail (ponownie przykład Ministra Dworczyka), mogą zresetować hasło do wszystkich usług, gdzie podałeś właśnie ten e-mail.
Potrzebujesz pomocy w zakresie cyberbezpieczeństwa? Skontaktuj się z nami!
Sprawdź najpopularniejsze wpisy na blogu:
Adwokat i detektyw – partnerzy czy rywale?
Alimenty – kość niezgody pomiędzy małżonkami
Alimenty na czas rozwodu – świadczenie zabezpieczające potrzeby rodziny
Alimenty należą się także po rozwodzie bez orzekania o winie
Alimenty natychmiastowe – kiedy, ile i dla kogo?
Alimenty od dziadków – kiedy się należą
Alimenty po rozwodzie a nowy związek
Apelacja od wyroku rozwodowego – kiedy warto
Badanie ojcostwa – zlecenie dla detektywa
Bądź bezpieczny w internecie. Jak uniknąć cyberataku – poradnik
Co dzieci robią w internecie?
Co można robić na zwolnieniu lekarskim?
Wyrok rozwodowy. Blog detektywistyczny
Cyber-zagrożenia w czasie epidemii koronawirusa
Człowiek najsłabszym ogniwem
Czy badanie ojcostwa jest nieetyczne?
