Dzień Bezpiecznego Internetu 2022: oto 5 najważniejszych kwestii

Podczas codziennych działań w internecie, nie tylko w Dzień Bezpiecznego Internetu, nie należy zapominać, że niezmiennie jednym z głównych zagrożeń pozostają fałszywe e-maile, czyli po prostu phishing. Do skrzynki e-mail może trafić w każdej chwili wiadomość, która tylko udaje autentyczną, a celem atakującego jest skuszenie odbiorcy albo do pobrania zainfekowanego załącznika albo kliknięcia linku - najczęściej prowadzącego do spreparowanej strony.

Fałszywe wiadomości można najczęściej rozpoznać już na pierwszy rzut oka. Większość nie jest dopracowana od strony wizualnej, a treść pisana zwykle łamaną polszczyzną i bywa lakoniczna, by wywołać u potencjalnej ofiary dodatkowe zainteresowanie lub strach. Powtarzające się tematy to m.in. straszenie rzekomym nagraniem z kamery w laptopie, nieuregulowaną należnością czy koniecznością zweryfikowania swoich zamówień lub faktur - a takie ataki mogą być szczególnie skuteczne, gdy zostaną wycelowane w firmy.

Podejrzanych linków i załączników nie należy więc klikać, bo zwykle może się to źle skończyć. Fałszywe strony logowania mogą przejmować loginy i hasła (także do bankowości internetowej, co prowadzi do utraty pieniędzy), a zawirusowane załączniki po instalacji otwierają przestępcom drogę do zdalnego zarządzania komputerem ofiary i wykradania danych.

Chociaż ataki wycelowane w użytkowników smartfonów nie są nowością z ostatnich tygodni, bez wątpienia liczba kampanii realizowanych na dużą skalę wzrosła głównie w ostatnich miesiącach i latach. Praktycznie każdy może dziś dostać fałszywego SMS-a udającego wiadomość od firmy kurierskiej, poczty głosowej czy Blika, ale łączy je jedno - załączony link (zwykle skrócony, w nietypowej domenie), który prowadzi do fałszywej strony lub aplikacji.

Sygnały o kolejnych fałszywych SMS-ach otrzymujemy na bieżąco od naszych czytelników i dzięki temu wiemy, jak szybko zmieniają się formy ataków, które są aktywne w danej chwili. Powyższe zrzuty ekranu to tylko wybrane SMS-y z ostatnich tygodni, o których ostrzegaliśmy na łamach dobrychprogramów. Podobnie, jak w przypadku phishingu, fałszywe linki prowadzą m.in. do spreparowanych stron, co docelowo grozi utratą pieniędzy z konta. Lepiej ich nie klikać.

Warto wiedzieć, że wszystkie fałszywe wiadomości można na bieżąco przekazywać do analizy bezpieczeństwa ekspertom z CERT Polska. W ten sposób kolejne podobne ataki SMS-owe mogą zostać w przyszłości zablokowane:

Inne bieżące zagrożenie to niezmiennie spoofing telefoniczny, czyli podszywanie się pod pracowników banków (ale nie tylko) w rozmowach telefonicznych. Oszuści mają przy tym narzędzia, by podmienić numer telefonu dzwoniącego, więc odbiorca nie ma żadnej pewności od kogo odbiera telefon.

Rozmowa to najczęściej manipulacja z rzekomym zagrożeniem środków na koncie w tle, która zmierza do zmuszenia ofiary do instalacji oprogramowania zdalnego dostępu w telefonie lub komputerze. Później kradzież pieniędzy to formalność. Niedawno o wciąż aktualnym zagrożeniu tego rodzaju ostrzegał m.in. ING Bank Śląski.

Ostatnie typowe zagrożenie w smartfonie to zainfekowane aplikacje, a tutaj problem dotyczy głównie Androida. Nawet w oficjalnym sklepie Google Play na co dzień można trafić na szkodliwe programy, co ostatnio zdarza się coraz częściej.

Atakujący upodobali sobie ostatnio metodę tworzenia z pozoru bezpiecznych programów, które dopiero z czasem pobierają szkodliwy kod z zewnętrznych serwerów. Dzięki temu zabezpieczenia Play Protect mają trudność, by wykryć zagrożenie i jak widać w praktyce - bywają nieskuteczne. Korzystanie z zainfekowanej aplikacji może prowadzić zarówno do utraty danych, jak i - ponownie - pieniędzy z konta, jeśli program przechwytuje SMS-y, ekran czy klawiaturę, a ofiara korzysta z aplikacji bankowych.

Kolejna ważna kwestia to szeroko rozumiane dbanie o swoje hasła. Chociaż metod tworzenia najlepszych haseł jest zapewne tyle, ilu ekspertów bezpieczeństwa się o to zapyta, niezmienne pozostają uniwersalne zasady bezpieczeństwa, czyli:

• używanie różnych haseł do różnych usług,
• regularne zmienianie swoich haseł,
• stosowanie uwierzytelniania dwuetapowego (2FA) wszędzie tam, gdzie jest to możliwe.

Dzięki regularnej zmianie haseł i stosowaniu różnych kombinacji do różnych usług można mieć pewność, że skutki ewentualnego wycieku danych z jakiejś bazy będą możliwie małe. W wyniku ataku na serwery firmy X i wycieku danych logowania do sieci, nikomu nie uda się wówczas zalogować do konta tej samej osoby w firmie Y. Możliwe, że zdobyty login i hasło nie dadzą nawet dostępu do konta w firmie X, jeśli są to dane sprzed kilku miesięcy, a od tamtego czasu hasło zostało już zmienione.

Uwierzytelnianie dwuetapowe (2FA) daje natomiast dodatkowy poziom ochrony. W praktyce chodzi zazwyczaj o konieczność posiada przy sobie telefonu, na który wysyłany jest dodatkowy kod uwierzytelniający. Nawet, jeśli ktoś zdobędzie login i hasło do konta, nie uda mu się do niego zalogować, jeśli nie zdobędzie smartfonu poszkodowanego. Chociaż istnieją nieliczne przypadki, w których stosowanie 2FA doprowadziło do komplikacji, co do zasady zdecydowanie polecamy je włączyć.

Podczas dbania o swoje bezpieczeństwo przy komputerze i w sieci nie należy zapominać o oprogramowaniu, które może w tym tylko pomóc. Oprócz bieżącego aktualizowania systemów i antywirusów, polecamy dodatkowo zadbać o swoje dzieci, a w tym może pomóc program Beniamin.

Beniamin to rozwijany od lat program do kontroli rodzicielskiej, który pozwala zablokować dostęp do wybranych stron lub tych o konkretnej tematyce. W praktyce pozwala to "wyciąć" sprzed wzroku dzieci na przykład strony erotyczne. Inne ciekawe narzędzie tego rodzaju to Anti-Porn.

Do przeglądania internetu bardziej anonimowo przyda się natomiast VPN. W dużym skrócie jest to usługa przekierowująca ruch z komputera użytkownika przez serwer zlokalizowany w wybranym miejscu, co utrudnia lub w praktyce uniemożliwia wyśledzenie ruchu z zewnątrz. Tutaj polecamy na przykład popularny OpenVPN.

Najważniejsza zasada dnia to śledzenie najświeższych informacji o bezpieczeństwie. Większość ataków jest skuteczna, bo potencjalne ofiary nie mają pojęcia o metodach stosowanych przez oszustów.

W Dzień Bezpiecznego Internetu warto więc zacząć śledzić serwisy branżowe, a także oficjalne konta CERT Polska, konkretnych operatorów czy CSIRT KNF, które można znaleźć w mediach społecznościowych. Na bieżąco pojawiają się tam ostrzeżenia o nowych atakach w szeroko rozumianej cyberprzestrzeni.

Istotne jest również uświadamianie swoich pociech o zagrożeniach związanych z korzystaniem z komputera i internetu. By to ułatwić, z okazji Dnia Bezpiecznego Internetu na platformie WP Pilot w Strefie Pilota można znaleźć specjalne materiały dla najmłodszych przygotowane wraz z Da Vinci.