Bezpieczny smartfon. Jak się bronić przed atakami socjotechnicznymi?
Chociaż wiele mówi się o technicznych aspektach cyberbezpieczeństwa, takich jak antywirusy, to wciąż socjotechnika, wykorzystująca ludzką skłonność do zaufania i ulegania emocjom, jest głównym narzędziem oszustów. Szczególnie duże możliwości do działania dają im smartfony, bez których trudno jest nam cokolwiek załatwić. Jak działają te mechanizmy i jak się przed nimi zabezpieczyć?
O cyberbezpieczeństwie mówi się dziś znacznie częściej niż kilka lat temu. Rośnie liczba ataków na firmy i osoby prywatne, co wynika zarówno z coraz większej liczby urządzeń, z których korzystamy, jak i coraz większej liczby spraw, które dzięki komputerom czy smartfonom możemy załatwić. Skoro niemal każdy aspekt naszego życia wydaje się być powiązany z technologią, często zapominamy, że najbardziej zaawansowane systemy zabezpieczeń mogą zostać pokonane przez najstarsze i najprostsze metody manipulacji – socjotechniki. To właśnie człowiek, z jego naturalnymi skłonnościami do zaufania, chęci pomocy czy uleganiu takim uczuciom jak strach lub nawet panika, staje się celem cyberprzestępców.
Socjotechnika, znana również jako inżynieria społeczna, to szereg metod oddziaływania psychologicznego wykorzystywanych przez oszustów. Ich celem jest skłonienie ofiary do podjęcia określonych działań, takich jak udostępnienie poufnych informacji. Warto zauważyć, że socjotechnika nie wymaga zaawansowanych narzędzi technicznych. Często nawet zwykła rozmowa telefoniczna, e-mail czy wiadomość tekstowa mogą być furtką, która pozwoli przestępcom na osiągnięcie ich celu.
W kontekście cyberbezpieczeństwa warto też wspomnieć, że znacznie mniejszą wagę przywiązujemy do niego, korzystając ze smartfona niż komputera. A tymczasem liczba ataków na urządzenia mobilne stale rośnie, podobnie jak ich udział w ogólnych ruchu w internecie (to już ponad 50 proc.). Przestępcy wiedzą, że nasz główny kontakt ze światem odbywa się za pośrednictwem smartfonów, więc w tę stronę kierują swoje działania.
Phishing, smishing czy vishing?
Badania Deloitte wskazują, że aż 91 proc. ataków hakerskich rozpoczyna się od phishingu. To rodzaj oszustwa, w którym atakujący podszywa się pod zaufaną instytucję, aby wyłudzić od ofiary dane logowania lub inne poufne informacje.
W przypadku urządzeń mobilnych przybiera różne formy – od SMS-ów, które podszywają się pod wiadomości od naszego banku czy dostawcy usług (tzw. smishing), po e-maile wyglądające na prawdziwe wiadomości od rzeczywistych firm czy osób. Wszystkie te wiadomości mają jeden cel: skłonić nas do kliknięcia w złośliwy link lub podania naszych danych na fałszywej stronie internetowej. Voice phishing, czyli vishing, to kolejna odmiana tego zagrożenia. Oszuści dzwonią do nas, próbując wyłudzić informacje poprzez wykorzystanie naszego zaufania i często strachu (np. przed utratą pieniędzy na koncie)
Jednak socjotechnika to nie tylko phishing. Oszuści mogą podawać się za przełożonego w pracy, prosząc o przesłanie ważnych dokumentów lub za członka rodziny w nagłej potrzebie. Mogą również tworzyć scenariusze, w których ofiara jest informowana o nieistniejącym ataku hakerskim lub problemach z oprogramowaniem, co ma na celu wywołanie paniki i skłonienie do nieprzemyślanych działań.
Niebezpieczeństwa czyhają również w sklepach z aplikacjami. Cyberprzestępcy tworzą fałszywe programy, które na pierwszy rzut oka wydają się być prawdziwymi i przydatnymi narzędziami. Jednak po zainstalowaniu działają w ukryciu, kradnąc dane lub monitorując naszą aktywność.
Jak się bronić?
Cyberprzestępcy nieustannie rozwijają swoje działania, aby nadążyć za postępem technologicznym i znajdować nowe sposoby na wyłudzanie danych. Dlatego tak ważne jest, aby być na bieżąco z metodami, którymi się posługują, i regularnie aktualizować swoją wiedzę na temat cyberbezpieczeństwa.
Uważność w działaniu w sieci to pierwsza linia obrony.
Po pierwsze, każdy e-mail czy SMS, który wydaje się pochodzić od znanej firmy lub instytucji, wymaga dokładnej analizy. Zwróćmy uwagę na to, czy w treści komunikatu nie pojawiają się błędy ortograficzne lub literówki, które mogą świadczyć o próbie oszustwa. Sprawdźmy również, czy adres mailowy nadawcy jest zgodny z oficjalnymi adresami instytucji. W przypadku jakichkolwiek wątpliwości najlepiej jest skontaktować się bezpośrednio, ale nie przez podany w wiadomości link czy numer telefonu, lecz za pomocą oficjalnych kanałów komunikacji, takich jak infolinia. Nigdy nie powinniśmy klikać w podejrzane linki ani otwierać załączników, które mogą zawierać złośliwe oprogramowanie.
Kiedy otrzymujemy wiadomość, która wywiera na nas presję, byśmy podjęli szybkie działanie – np. wniesienie opłaty czy zainstalowanie aplikacji – powinniśmy zachować spokój i nie podejmować pochopnych decyzji. Zastanówmy się, czy oczekiwane przez nas przesyłki rzeczywiście wymagają dodatkowej opłaty, czy też może to być próba wyłudzenia.
Bądźmy również bardzo ostrożni, gdy ktoś pyta nas o poufne dane. Pracownicy banków czy innych instytucji finansowych nigdy nie powinni prosić nas o podanie PIN-u do karty czy innych wrażliwych informacji. Wszelkie próby wyłudzenia takich danych powinny natychmiast wzbudzić nasze podejrzenia. W takiej sytuacji najlepiej jest natychmiast przerwać rozmowę.
Zawsze warto sprawdzić, czy adres strony nie zawiera literówek, które mogłyby sugerować, że mamy do czynienia z fałszywą witryną. Po wejściu na stronę upewnijmy się, że jest ona zabezpieczona certyfikatem SSL, co zazwyczaj sygnalizowane jest ikoną zamkniętej kłódki w pasku adresu przeglądarki. Należy kliknąć w kłódkę i sprawdzić, czy informacje o zabezpieczeniach dotyczą rzeczywiście tej firmy czy instytucji, której stronę oglądamy.
Nie bez znaczenia jest w tym wszystkim zabezpieczenie techniczne. Silne hasła, które są kombinacją liter, cyfr i symboli, a także uwierzytelnianie dwuskładnikowe znacznie utrudniają nieautoryzowany dostęp do naszych danych. Regularne aktualizacje oprogramowania to nie tylko nowe funkcje, ale przede wszystkim naprawione luki bezpieczeństwa. Oprogramowanie antywirusowe też jest ważnym narzędziem w ochronie przed złośliwym oprogramowaniem.
Unikanie publicznych sieci Wi-Fi przy przesyłaniu poufnych danych lub korzystanie z sieci VPN, która szyfruje nasze dane, to podstawowe nawyki, które mogą nas uchronić przed niechcianym dostępem do naszych informacji.
Bądź pewny w sieci
Edukacja w zakresie bezpieczeństwa cyfrowego to inwestycja, która zawsze się opłaca. Bycie na bieżąco z aktualnymi zagrożeniami i uczestnictwo w szkoleniach z cyberbezpieczeństwa pozwala nie tylko lepiej zrozumieć ryzyko, ale także nauczyć się, jak je ograniczać.
Takie jest główne zadanie drugiej już edycji ogólnopolskiej kampanii "Pewni w sieci", inicjatywy T-Mobile, która w tym roku została objęta patronatem honorowym Ministerstwa Cyfryzacji oraz NASK. Ma ona dostarczyć internautom kluczowych i użytecznych wskazówek z zakresu cyberbezpieczeństwa i właściwych zachowań wobec niebezpieczeństw w świecie online.
W najnowszym odcinku swoją ekspercką wiedzą podzielił się Paweł Dobrzański, dyrektor bezpieczeństwa w T-Mobile.
„PEWNI W SIECI” sezon 2, odcinek 6 – BEZPIECZNY SMARTFON
Wszystkie filmy edukacyjnej z kampanii można znaleźć na stronie www.pewniwsieci.pl oraz na oficjalnym kanale YouTube T-Mobile Polska.
Dodatkowo treści są dostępne jako audiopodcasty na platformach takich jak Spotify oraz Google Podcast. Strona kampanii oferuje również artykuły eksperckie, które pomogą zgłębić temat bezpieczeństwa w sieci.
Odwiedź stronę pewniwsieci.pl i dbaj bezpieczeństwo online. Również korzystając ze swojego smartfona.
