Poniedziałek, 02 grudnia 2024
Imieniny: Balbina, Paulina, Bibiana
pochmurno
3°C
Instalacja oprogramowania, wymiana danych, logowanie do systemów, operacje bankowe online – to tylko przykłady czynności, w trakcie których możliwy jest cyberatak. Jakie działania podejmować, aby korzystając z Internetu, zabezpieczyć swoją prywatność i swoje poufne dane? Jak w czasach postępującej cyfryzacji powinniśmy zadbać o cyberbezpieczeństwo danych?
Czym jest cyberbezpieczeństwo?
W myśl ustawy o krajowym systemie cyberbezpieczeństwa, „cyberbezpieczeństwo - odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy”. Najważniejszym celem zapewnienia bezpieczeństwa w sieci jest zmniejszenie ryzyka cyber ataków oraz skuteczna ochrona przed nieuprawnionym wykorzystaniem danych i programów.
Rodzaje zagrożeń
1. Kradzież tożsamości - polega na tym, iż przestępca lub grupa w sposób bezprawny (a najczęściej podstępny) wchodzi w posiadanie danych osobowych poszczególnych osób takich jak: imię i nazwisko, adres, pesel, data urodzin, nr karty kredytowej etc. Powyższe dane są uzyskiwane po to, aby mogły być wykorzystane w celach przestępczych (np. wyłudzeniu kredytu, kradzież środków finansowych, kradzież informacji celem wyłudzenia okupu).
2. Kradzież informacji metody - phishing, smishing, vishing:
Wiadomości phishingowe to fałszywe, przygotowane przez przestępców informacje mające na celu „zagranie” na emocjach atakowanego. Niesamowita okazja czy zagrożenie to podstawowe metody wykorzystujące chciwość i strach. Mogą to być fałszywe informację z banków, komunikaty od dostawców systemów e-płatności, urzędów serwisów społecznościowych dostawców poczty email i innych organizacji. Czytając e-mail lub SMS, odbiorca zawsze jest zachęcany, aby pilnie wprowadził czy zaktualizował swoje poufne dane. W przeciwnym razie „grozi mu” utrata konta, pieniędzy, zablokowanie systemu itp. Wiadomości mogą też sugerować konieczność potwierdzenia danych w celu ochrony przed ich utratą. Aby uzupełnić wymagane informacje, wystarczy kliknąć w przesłany link, który przekieruje bezpośrednio w odpowiednie miejsce na stronę rzekomego banku czy urzędu. Strona łudząco przypomina oryginalną. Wszystko, co tam wpiszemy zostanie wysłane do przestępców, wraz z loginem i hasłem do zaufanej, prawdziwej strony. Przestępca uzyskując dostęp do konta, może wykorzystać go na różne sposoby, zależnie od typu konta.
Smishing. Nazwa powstała z połączenia dwóch słów: SMS i phishing. Oznacza nic innego jak kradzież z wykorzystaniem spreparowanych wiadomości SMS. Użytkownik otrzymuje SMS w tonie, który ma go zaniepokoić i namówić do podjęcia natychmiastowego działania. Oszuści najczęściej korzystają z internetowych bramek umożliwiających spoofing SMS. Dzięki nim mogą tak skonfigurować wysyłaną wiadomość, żeby na ekranie naszego telefonu w polu nadawcy ukazał się wybrany przez nich numer telefonu (np. prawdziwy banku). W ten sposób podszywają się np. pod banki czy operatorów telekomunikacyjnych. Częstym scenariuszem jest próba podszycia się pod bank:
- Użytkownik dostaje wiadomość z informacją o rzekomej blokadzie karty płatniczej ze względów bezpieczeństwa. Aby ją odblokować, musi zadzwonić pod podany w wiadomości numer. Jeśli nawiąże połączenie, usłyszy nagraną wiadomość, po której będzie musiał podać dane karty, by ją odblokować.
- SMS może zawierać prośbę o zmianę danych logowania do bankowości internetowej. Swój dotychczasowy login i hasło – rzekomo w celu weryfikacji – trzeba będzie podać, dzwoniąc pod podany numer.
- Może również nastąpić kontakt z fałszywym „pracownikiem banku”. Rozmowa prowadzona jest tak żeby wystraszyć atakowanego a jednocześnie podać mu „pomocną dłoń” i uchronić go przed utratą pieniędzy. Cel oczywiście jest zupełnie odwrotny, wyłudzenie danych i kradzież.
Wspomniane przypadki kończą się przekazaniem oszustom swoich prywatnych danych, dzięki którym otrzymają bezpośredni dostęp do naszych pieniędzy.
Vishing, czyli voice phishing, to kolejny rodzaj oszustwa. Cyberprzestępcy wyłudzają dane wykorzystując połączenia głosowe. Często są to nieświadomi zagrożenia rozmówcy. Podobnie jak w smishingu chodzi o kradzież osobistych, bardzo istotnych informacji. Przestepca podający się np. za pracownika banku poprosi o hasła dostępu, loginy czy numery kart kredowych bądź debetowych. Przykładowo przekonuje, że ktoś w danym momencie podjął próbę wypłaty czy transakcji internetowej za pośrednictwem naszej karty. Częstym przykładem vishingu jest wyłudzenie kodu Blik. Po jego otrzymaniu oszust pobiera pieniądze z bankomatu. Oszuści podszywają się nie tylko pod pracowników banków. W danej chwili mogą przedstawić się jako pracownik urzędu czy po prostu przedstawiciel handlowy. Słysząc miły głos, informujący o blokadzie naszego konta trudno nam zweryfikować czy dzwoniąca osoba jest na pewno tą, za którą się podaje. Oszuści brzmią przekonująco, są przygotowani. Należy zachować rozsądek i przede wszystkim spokój! Jeśli rozmówca budzi naszą wątpliwość, rozłączmy się. Zadzwońmy do danej placówki i potwierdźmy przekazane informacje. Obecnie banki stosują wiele różnych mechanizmów zabezpieczających swoich klientów jak wieloskładnikowe uwierzytelnianie czy analiza behawioralna. Warto je włączyć i z nich korzystać.
3. Fałszywe oferty pracy – Do tego typu przestępstw dochodzi często poprzez przesłanie do atakowanej ofiary ofert atrakcyjnej pracy. Przestępcy zazwyczaj oferują wysokie wynagrodzenia lub proponują pracę nie wymagającą od przyszłych „pracowników” dużego wysiłku. Oferty pracy przychodzą na adresy mailowe w postaci ogłoszeń. Ofiara wysyła swoje CV, kopię dokumentów tożsamości, numer swojego konta bankowego i telefon kontaktowy. Zdarzają się nawet przypadki gdzie oszust wymaga od aplikantów założenia konta bankowego na swoje dane osobowe, a następnie wysłanie otrzymanej karty bankomatowej wraz z kodem PIN. Jeżeli użytkownik spełni wymagania, oszust ma wszystko co potrzebne aby posłużyć się tożsamością ofiary do popełniania innych przestępstw. Po wyłudzeniu tych informacji oszust może dalej wykorzystywać nieświadomość użytkownika. W przypadku fałszywych ofert pracy, zadaniem ofiary jest zazwyczaj przesyłanie pieniędzy, wpływających na konto, do wskazanych przez oszustów osób czy banków. Przy czym przesyłanie pieniędzy odbywa się za pośrednictwem systemu płatności uniemożliwiającego identyfikację odbiorcy. Ofiara jest przekonana, że pieniądze pochodzą z legalnie działających firm, przesyła pieniądze w żądane miejsce za co pobiera prowizję. Ofiary nie zdają sobie sprawy, że uczestniczą w procesie tzw. „prania pieniędzy”, pochodzących z przestępstwa. Slangowo osoba zajmująca się przesyłaniem pieniędzy nazywa się money mule (muł pieniężny). Takie działanie w myśl przepisów polskiego prawa również jest karalne. Inny sposób to tzw . „oszustwa nigeryjskie”. Oszust wysyła bardzo korzystną ofertę pracy za granicą. Ofiara odpowiada na ofertę, bardzo łatwo przechodzi rekrutację, a następnie ma zgłosić się do pracy. Oszust zapewnia, że wszystko jest już załatwione, prosi jedynie o wpłacenie niewielkiej kwoty np. na zakup biletu lotniczego, wykupienia wizy, pozwolenia na pracę czy opłacenia wynajętego mieszkania.
4. Ataki z użyciem specjalistycznego oprogramowania typu wirusy, robaki, konie trojańskie, exploit, umożlwiające bezpośrednie włamanie do komputera, kradzież danych czy tez ich zniszczenie.
Pamiętajmy, że żadna instytucja publiczna (urzędy czy banki) nie będą nam wysyłać wiadomości z prośbą o podanie loginu lub hasła celem ich weryfikacji!
Dbaj o bezpieczeństwo swojego komputera przez regularne aktualizowanie systemu operacyjnego (np. Windows, Linux, MacOS). Aktualizuj oprogramowanie którego używasz np. przeglądarki internetowe, oprogramowanie biurowe inne oprogramowanie, które otrzymuje regularne aktualizacje. Doskonałym pomysłem jest ustawienie systemu tak, żeby działo się to automatycznie.
Incydent
Zapisy z Ustawy o krajowym systemie cyberbezpieczeństwa wskazują następujące definicje:
CSIRT GOV - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego;
CSIRT MON - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej;
CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy;
incydent - zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo;
incydent krytyczny - incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV;
incydent poważny - incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej;
incydent istotny - incydent, który ma istotny wpływ na świadczenie usługi cyfrowej w rozumieniu art. 4 rozporządzenia wykonawczego Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r. ustanawiającego zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ (Dz. Urz. UE L 26 z 31.01.2018, str. 48), zwanego dalej "rozporządzeniem wykonawczym 2018/151";
incydent w podmiocie publicznym - incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny, o którym mowa w art. 4 pkt 7-15;
Gdzie można zgłosić incydent?
Podmioty inne niż operatorzy usług kluczowych i dostawcy usług cyfrowych, w tym osoby fizyczne, mogą zgłosić incydent do CSIRT NASK. Można to zrobić wchodząc na stronę: https://incydent.cert.pl
Zgłaszanie podejrzanych wiadomości SMS
Wszystkie podejrzane wiadomości SMS z linkami można zgłosić używając funkcji "Przekaż", bezpośrednio na numer: 8080
Jak zachować bezpieczeństwo w sieci?
- składać się z minimum 14 znaków,
- być różne dla różnych systemów i serwisów internetowych,
- być poufne, znane wyłącznie przez jego właściciela,
- być przechowywane w Menadżerze haseł.
9. Używaj dwu składnikowego (tzw. 2FA, MFA) uwierzytelniania w czasie logowania się do najważniejszych systemów (np. bank, poczta email). Najważniejszy system to taki którego utrata będzie dla Ciebie bardzo dotkliwa.
Życzymy Ci bezpieczeństwa!
Źródła wiedzy o cyberbezpieczeństwie:
https://cert.pl
https://cert.pl/ouch
https://cyberpolicy.nask.pl
https://dyzurnet.pl/dla-uzytkownikow
https://www.gov.pl/web/baza-wiedzy/cyberbezpieczenstwo
https://niebezpiecznik.pl
https://sekurak.pl