Z pewnością każdy, chociaż ma świadomość, że internet nie jest zbyt bezpieczną przestrzenią. Na każdym kroku czai się na nas jakieś niebezpieczeństwo, a tak naprawdę jedynym sposobem skutecznej ochrony jest rozważne postępowanie. Sieć internetowa obecnie jest technologią tak rozpędzoną, że przenosimy do niej prawie całe swoje życie, a to otwiera nowe możliwości przestępcom. Główną metodą używaną przez przestępców jest phishing, który oczywiście bazuje na naszej naiwności i nieuwadze.
Z tego też powodu, tak istotne jest, aby wszystkie odnogi cyberbezpieczeństwa rozwijały się bez zakłóceń. Co nam jednak po zabezpieczeniach, antywirusach i innych systemach, jeśli zabraknie nam zdrowego rozsądku?
Nasza naiwność, czyli phishing — spis treści
Czym jest phishing?
Phishing w najbardziej ogólnym znaczeniu jest metodą, którą posługują się przestępcy w przestrzeni cybernetycznej. Polega ona na podszyciu się pod daną instytucję czy też inną osobę i wyłudzenie od ofiary wrażliwych danych, informacji czy zainfekowanie jej urządzenia złośliwym oprogramowaniem. Bardzo często phishing objawia się również nakłonieniem ofiary do jakichś określonych działań np. zalogowaniem się na niezabezpieczoną stronę internetową.
Kiedyś phishing nie był zjawiskiem bardzo powszechnym. Wynikało to przede wszystkim z faktu, że systemy informatyczne dopiero się rozwijały i jeszcze szukały własnych dróg w kontekście zabezpieczeń. Obecnie natomiast, przestępcy muszą przede wszystkim bazować na naszej naiwności w internecie. Objawia się to, na przykład telefonami z „banku”, niedopłatami za paczkę czy innymi działaniami, które mają na celu skłonić nas do kliknięcia podany link, czy podania jakichś konkretnych informacji.
Co istotne, telefony w sprawie ankiet zdrowotnych czy fotowoltaiki również są formą phishingu. Mają one na celu za pomocą wcześniej przygotowanych botów wymusić od nas informacje osobowe. Jeśli chodzi o informacje osobowe, to również jest bardzo ciekawa sprawa, ponieważ bardzo często sprzedajemy je w stu procentach legalnie za jakieś marne pieniądze, nawet nie zdając sobie z tego sprawy. Jest to jednak temat na zupełnie inny artykuł.
Poszkodowani na nasze własne życzenie
Aby uzmysłowić wam skalę przestępczości cybernetycznej w Polsce, posłużę się raportem instytucji CERT Polska, która zajmuje się wyłapywaniem, analizowaniem oraz eliminacją incydentów sieciowych. Co roku popełniają oni spory raport, z którego można dojść do wielu niepokojących wniosków. Raport, na którym będę się opierać, możecie przeczytać tutaj. Zdecydowanie warto przyjrzeć mu się bliżej.
Najbardziej interesują nas statystyki obsłużonych incydentów. Możemy z tego wyciągnąć, że zdecydowanie na pierwszym miejscu z zawrotnym wynikiem 86,4% plasują się oszustwa komputerowe, w których zdecydowaną większość stanowi phishing (76.57%). Systemy instytucji zanotowały łącznie trochę ponad 116 tysięcy zgłoszeń incydentów sieciowych. Oznacza to, że spośród nich, aż ponad 100 tysięcy zgłoszeń dotyczyło oszustw komputerowych, w tym ponad 75 tysięcy zgłoszeń zakwalifikowanych jako phishing.
Wydaje wam się, że to dużo? Pamiętajcie, proszę, że instytucja CERT Polska bierze pod uwagę tylko zgłoszone do nich incydenty. Ile razy w swoim życiu poinformowaliście zespół CERTu, że ktoś próbował was oszukać? Nie musicie odpowiadać, chyba znam odpowiedź. Wraz z kolegami, którzy również zajmują się cyberbezpieczeństwem na podstawie innych statystyk, oszacowaliśmy, że liczba incydentów określona w raporcie jest zaniżona przynajmniej 9-krotnie względem realnej liczby incydentów sieciowych w Polsce. Jest to równoznaczne, z tym że problem phishingu jest problemem bardzo poważnym i nie sądzę, że w innych krajach wygląda to inaczej.
Jak prosta rozwaga, może nas uchronić przed phishingiem?
Wiecie, czym jest zasada ograniczonego zaufania? Pewnie słyszeliście o niej, kiedy robiliście kurs na prawo jazdy. Tak samo jak na drodze tak i w sieci powinniśmy się nią kierować. Obecnie przeglądarki internetowe, z których korzystamy, bardzo często ostrzegają nas przed stronami potencjalnie niebezpiecznymi, Windows Defender też działa całkiem znośnie. Do tego wystarczy nam tylko zdrowy rozsądek i właśnie ograniczone zaufanie.
Odbieracie telefon z banku? Zweryfikujcie osobę, która do was dzwoni. Nie podawajcie przez telefon żadnych wrażliwych danych, a tym bardziej pamiętajcie, że pracownik jakiejkolwiek instytucji czy firmy nie poprosi was o dane logowania. Nie klikajcie w żadne podejrzane linki, które przychodzą do was drogą mailową czy SMSową. Sprzedając coś, nie kontaktujcie się z kupującym poza portalem np. przez WhatsApp’a. W końcu sprawdzajcie, czy strona, na którą was przekierowało, to faktycznie strona zaufana. Zawsze możecie sprawdzić jej certyfikat, klikając w ikonę kłódeczki przy adresie internetowym. Tak niewiele potrzeba, aby nie dać się oszukać. Życzę wam zatem rozwagi w korzystaniu z internetu i mam nadzieję, że przekażecie to osobom, które takich dobrych praktyk w tym zakresie nie znają.