Cyberbezpieczeństwo: Nie musisz mieszkać w bunkrze i jeździć czołgiem
Czujesz się zagrożony w sieci? Słusznie! Ale w realnym świecie też nie jest całkiem bezpiecznie, a przecież radzimy sobie bez problemu. Zamiast się bać, warto zrozumieć co i dlaczego nam grozi i jak się ochronić.
Jeśli się nad tym zastanowić głębiej, świat jest niebezpiecznym miejscem. Nigdy nie wiadomo, kiedy spadnie na nas pozostawiona na orbicie chińska rakieta, albo w którym momencie uderzy tornado. Mimo to nie przenosimy się do wkopanego w ziemię, żelbetonowego bunkra i nie jeździmy do pracy czołgiem, chociaż zamykamy drzwi na klucz wyjeżdżając na wakacje i zapinamy pasy w samochodzie. Dlaczego? Odpowiedź jest prosta - od urodzenia mamy do czynienia z różnymi niebezpieczeństwami w naszym otoczeniu i nauczyliśmy się właściwie oceniać poziom zagrożenia, dobierając właściwe środki zapobiegawcze.
Zupełnie inaczej jest w internecie. Wirtualny świat pozostaje obcy, nawet jeśli od wielu lat korzystamy z jego cyfrowych możliwości. Wciąż brakuje nam odpowiednich narzędzi do tego, żeby odruchowo i bez wysiłku oceniać sytuację, brakuje punktów odniesienia i wyrobionych nawyków. Nic dziwnego, że tak wiele osób zapomina o metaforycznym zapinaniu pasów, albo, równie metaforycznie, zostawia klucz do mieszkania pod wycieraczką. Z drugiej strony, kiedy media donoszą o jakimś poważniejszym ataku hakerskim, zrozumiałym odruchem jest próba zamiany najbezpieczniejszego nawet samochodu na czołg i zatrzaśnięcia się w bunkrze.
W tym artykule chcielibyśmy opowiedzieć wam, jak najlepiej zadbać o swoje bezpieczeństwo w internecie i dlaczego najlepsze dla was środki ostrożności to niekoniecznie te, które stosuje się w radach nadzorczych globalnych korporacji albo urzędach zajmujących się tajnymi dokumentami.
Kto (i dlaczego) poluje na ciebie w internecie
Jeśli nie jesteś ministrem, ani wysokiej rangi wojskowym, albo nie masz dostępu do informacji, których mógłby pożądać obcy wywiad lub konkurencyjna korporacja, najprawdopodobniej nigdy nie będziesz celem ataku przygotowanego specjalnie z myślą o tobie, przeprowadzonego żeby wykraść sekretne dane, które masz na swoim dysku. Nie masz też zapewne dość pieniędzy, żeby cyberprzestęcom opłacało się montować operację okradzenia Cię. Skoro tak, to czemu możesz i powinieneś czuć się zagrożony?
Ponieważ oprócz cyber-rekinów, polujących na grube ryby, czyli na przykład atakujących wielkie firmy za pomocą oprogramowania szyfrującego i żądających milionowych okupów, internet pełen jest cyber-wielorybów - przestępców, których pojedyncze łupy mają małą wartość, ale którzy zgarniają ich tak dużo, że niczym wieloryb mogą najeść się maleńkimi krylami.
Warto przy tym pamiętać, że dla cyberprzestępców wartościowe są nie tylko twoje pieniądze, wpłacone na przykład jako okup za zaszyfrowane dane. Swoją wartość mają twoje dane osobowe, które można sprzedawać firmom wysyłającym reklamy (w tej formie jesteś wart ok. XX dolarów) czy numer twojej karty kredytowej, który wraz z tysiącami innych trafi na jakąś giełdę i ostatecznie posłuży do dokonywania transakcji, po których ktoś nie będzie chciał zostawiać śladów. Co ciekawe, czymś, na co chętnie połaszą się cyberprzestępcy jest też moc obliczeniowa twojego komputera i jego łącze internetowe: mogą one stać się częścią sieci "komputerów-zombie", wykorzystywanych do przeprowadzania ataków na duże serwisy czy sieci korporacyjne. Wreszcie, wszelkie konta social media, które można wykorzystać chociażby do rozsyłania linków do kradnącego żywą gotówkę złośliwego oprogramowania.
Jak widać, cyberprzestępcy, które ci zagrażają nie atakują konkretnie ciebie. To nie jest zespół świetnie wyposażonych włamywaczy, którzy od miesiąca przygotowywali skomplikowany skok na twój dom, rozgryzając jego zabezpieczenia - to ekipa gości z prostym wytrychem, którzy na szybko próbują otwierać drzwi do tysięcy mieszkań w nadziei, że kilka setek z nich okaże się niezabezpieczonych. Wystarczy, że twoje drzwi będą miały solidny zamek, a po prostu zostawią je w spokoju.
Jak atakują cyberprzestępcy i jak się przed nimi ochronić?
Skoro już użyliśmy metafory z drzwiami do mieszkania, pociągnijmy ją dalej. Drzwi, jakie stanowią zabezpieczenia twojego komputera, twoich kont pocztowych czy kont social media nie są pancerne i dałoby się je sforsować. Jednak tak jak wspomnieliśmy wcześniej, cyberprzestępcy nie będą zawracali sobie tym głowy, ponieważ mniejszym kosztem zdobędą to, czego chcą gdzie indziej - tam, gdzie ktoś nie zamknął drzwi, zgubił klucze, albo… sam zaprosił włamywaczy. Postaraj się po prostu nie być jedną z tych osób. Jak?
Jeśli używasz "słabego" hasła, czyli takiego, które jest zbyt krótkie, zawiera imiona lub popularne słowa i frazy (zapraszamy do naszego artykułu na temat tego, jak tworzyć bezpieczne hasła [link]) to tak, jakbyś zostawił dom zamknięty na najprostszy zamek, którego otwarcie zajmuje sprawnemu włamywaczowi sekundę lub dwie. W sieci dostępne są listy popularnych haseł, które specjalny program może wypróbować w mgnieniu oka.
Listy te powstają dzięki ludziom, którzy "zgubili swoje klucze", czyli pochodzą z wycieków z firm i instytucji, w których możesz mieć swoje konta. Kiedy cyberprzestępcom uda się włamać na serwery dużej firmy, takiej jak Amazon czy Google, mogą uzyskać hasła do kont użytkowników, nawet jeśli są one dobrze skonstruowane i bezpieczne. Tak naprawdę w większości wypadków z tych włamań uzyskują hasła w postaci zaszyfrowanej, i muszą je dopiero "złamać", co dla mocnych haseł jest dużo, dużo trudniejsze. Kiedy jednak taki atak się powiedzie, na cyberprzestępczej giełdzie pojawia się twoje hasło i właśnie dlatego w każdym miejscu, do którego się logujesz powinieneś używać innego hasła.
W końcu, czy zdecydowałbyś się na to, żeby ten sam klucz otwierał twoje mieszkanie, samochód, skrytkę bankową, domek na działce i zapięcie do roweru?
Doskonałym sposobem jest też tak zwane dwuskładnikowe uwierzytelnianie. Chodzi o to, że za każdym razem, kiedy logujesz się z nowego komputera lub innego miejsca, system upewnia się, czy to na pewno ty prosząc o potwierdzenie przez przesłany oddzielnie kod. W ten sposób nawet jeśli twoje hasło wpadło w czyjeś ręce, będzie dla niego bezużyteczne. To tak, jakby przy drzwiach siedział odźwierny i kiedy próbowałby je otworzyć ktoś, kogo nie zna mówiłby mu "Masz klucz, ale nie wyglądasz na Kowalskiego - pozwól, że zanim cię wpuszczę, najpierw zadzwonię do niego i sprawdzę, czy to ty odbierzesz!". Oczywiście, także i ten mechanizm da się pokonać, ale wymaga to wysiłku, którego nikt nie będzie podejmował specjalnie dla ciebie, skoro dookoła jest wiele łatwiejszej zdobyczy.
Nie zapraszaj złodzieja do mieszkania!
Ostatni wreszcie przypadek to ten, kiedy sam zaprosisz przestępców do mieszkania. Co mamy na myśli? Takim zaproszeniem może być kliknięcie w link lub otwarcie pliku, ponieważ jedno i drugie może prowadzić do zainfekowania twojego komputera oprogramowaniem, które udostępni jego zawartość przestępcom albo pozwoli im przejąć nad nim kontrolę. Tu musisz postarać się być nieufny. Jeśli ktoś przysłał ci fakturę, wezwanie do zapłaty albo informację o zamówieniu które nie zgadzają się z tym, co pamiętasz - nie otwieraj żadnych załączników i nie klikaj linków. Jeśli jakakolwiek instytucja czy firma mailowo prosi cię, żebyś kliknął w łącze i zalogował się, żeby "potwierdzić hasło", albo "uniknąć zamknięcia konta", nie rób tego. Pamiętaj, firmy i instytucje z zasady nie robią takich rzeczy. Jeżeli jednak masz wątpliwości, zawsze możesz zadzwonić na infolinię (numer sprawdź w internecie, nie bierz go z maila!) albo wejść na stronę (nie klikając w link!) i tam sprawdzić, o co może chodzić.
Niestety, musisz uważać też wiadomości od firm i osób, które znasz. Pamiętasz, jak pisaliśmy, że dla przestępców konta mailowe i social media także mają wartość? Skompromitowane konto kogoś, kogo znasz może posłużyć do tego, żeby rozesłać do jego znajomych prośbę o pożyczkę niewielkiej sumy pieniędzy, albo link do "śmiesznego filmu". Jeżeli dostaniesz wiadomość, która wygląda nietypowo - na przykład jest w obcym języku, albo niegramatyczna, nie zawiera żadnego opisu a tylko link lub po prostu nie pasuje treścią do osoby, od której pochodzi, nie klikaj. Skontaktuj się z tym kimś innym kanałem - przez telefon, SMS, inny czat - i zapytaj, czy to faktycznie on.
