Podstawowe zasady cyberhigieny musi znać każdy użytkownik sieci, żeby nie narobić sobie problemów. Warto więc przeznaczyć te kilka minut na przeczytanie artykułu i już teraz zacząć je stosować. W przeciwnym wypadku codziennie narażamy siebie, a także firmy, w których pracujemy na ataki hakerów. W najgorszych wypadkach takie sytuacje mogą doprowadzić do włamań na konta bankowe i całkowitego wyczyszczenia oszczędności.
Z uwagi na powagę sytuacji, poprosiłem o pomoc ekspertkę CERT Polska, p. Iwonę Prószyńską, która nie tylko wyjaśni nam podstawowe zasady cyberhigieny, ale też wskaże sposoby na to, jak ustrzec się przed problemami. Edukacji w tym temacie jest zawsze za mało, szczególnie że poziom zagrożeń wyłącznie rośnie.
Największe błędy Polaków w sieci, a zasady cyberhigieny — Spis treści
Trzy najważniejsze zasady cyberhigieny
Cyberhigiena to zbiór zasad, zachowań i zaleceń, których przestrzeganie zwiększa cyberbezpieczeństwo indywidualnych użytkowników i organizacji. Jakimi zasadami — według ekspertki — kieruje się osoba, której cyberhigiena nie jest obca?
Iwona Prószyńska, CERT Polska, Specjalistka ds.komunikacji w obszarze cyberbezpieczeństwa, wypowiedź dla Android.com.pl
- Stosuje silne hasła, czyli takie, które składają się z minimum 14 znaków. Ważne, aby używać unikalnych haseł do każdej usługi czy serwisu, z których korzystamy. Osoba przestrzegająca zasad cyberhigieny nie udostępnia swoich haseł nikomu, zmienia je tylko wtedy, gdy istnieje ryzyko, że ktoś mógł je poznać. Dodatkowo ma włączone uwierzytelnianie dwuskładnikowe wszędzie, gdzie jest to możliwe.
- Posiada aktualne oprogramowanie, bo to oznacza także aktualne zabezpieczenia.
- Dba o prywatność. Jest ostrożna w udostępnianiu informacji na portalach społecznościowych, które pozwalają zidentyfikować np. jej miejsce zamieszkania, dane kontaktowe, numery kont bankowych.
Czyli podsumowując — silne hasła, aktualne oprogramowanie oraz zadbanie o prywatność w sieci. Od siebie dodam, że w kontekście uwierzytelniania dwuskładnikowego, warto — jeżeli usługa internetowa daje taką możliwość — skorzystać z kodów generowanych przez osobną aplikację uwierzytelniającą (np. Google Authenticator), a nie z SMS-ów, które są bardziej podatne na przejęcia transmisji. Warto też korzystać z dodatkowych zabezpieczeń, takich jak logowanie za pomocą odcisku palca lub Windows Hello (dodatkowy kod PIN zabezpieczający np. menedżer haseł w przeglądarce internetowej).
Weryfikujmy każdą wiadomość na skrzynce mailowej
Oszustwa w internecie dotyczą często skrzynek mailowych, szczególnie tych firmowych. Tu również zalecana jest przede wszystkim ostrożność. To ona przede wszystkim sprawi, że będziemy umieli rozpoznać większość zagrożeń, zarówno na prywatnej, jak i firmowej skrzynce mailowej. Warto jednak i tu kierować się kilkoma regułami, zanim cokolwiek zrobimy z otrzymaną wiadomością.
Jeśli otrzymaliśmy wiadomość, która budzi nasze podejrzenia, to po pierwsze: sprawdźmy jej nadawcę, po drugie: z ostrożnością podchodźmy do linków i załączników. Jeśli mamy wątpliwości, skontaktujmy się z firmą, którą np. rzekomo przesyła nam fakturę. Zweryfikujmy informacje u źródła.
Jeśli w wiadomości pojawia się socjotechnika – presja czasu, emocje, groźba, to te elementy także powinny sprawić, że zapali się nam czerwona lampka.
Warto pamiętać, że wszelkie podejrzane wiadomości czy załączniki można przekazać do weryfikacji ekspertów CERT Polska, zgłaszając je na stronie incydent.cert.pl.
Iwona Prószyńska, CERT Polska, Specjalistka ds.komunikacji w obszarze cyberbezpieczeństwa, wypowiedź dla Android.com.pl
Zainicjowanie kontaktu z podmiotem, który rzekomo przesyła nam informacje, to niewątpliwie najlepszy sposób, by sprawdzić, czy wiadomość jest prawdziwa. W sytuacji służbowej, gdy firmie mogłyby grozić straty na poziomie setek tysięcy lub milionów złotych za każdy incydent związany z cyberbezpieczeństwem, nie ma czegoś takiego jak „zawracanie komuś głowy” – musimy sprawdzić wiarygodność wiadomości. Bezpieczeństwo jest tu najważniejsze.
Dlatego też na przykład oszustwa romantyczne są w tej kwestii bardziej skomplikowane, bo tak naprawdę dopiero poznajemy osobę, która jest po drugiej stronie i nie znamy jej intencji. Nie mamy możliwości zweryfikowania wiadomości i możemy polegać jedynie na własnej intuicji.
Przeczytaj także: Czy Tinder Gold za darmo jest dostępny? Czy warto z niego korzystać?
W sytuacji typowo roboczej, gdy grożą firmie straty na poziomie setek tysięcy lub milionów złotych za każdy incydent związany z cyberbezpieczeństwem, nie ma czegoś takiego jak „zawracanie głowy”. Bezpieczeństwo jest tu najważniejsze.
Na deepfake’i również jest metoda
Niezależnie od tego czy analizujemy otrzymane nagranie dźwiękowe (telefon od wnuczka, który rzekomo miał wypadek) lub wideo od szefa z prośbą o transfer wszystkich środków operacyjnych na prywatne konto, to podstawowa zasada jest dokładnie taka sama, jak w przypadku skrzynki mailowej — weryfikacja u źródła.
Sprawdzaj zawsze źródło takiej informacji. Skontaktuj się inną drogą z osobą, która rzekomo dzwoniła. Powiedz o tym, jaka informacja dotarła do Ciebie i zapytaj, czy faktycznie pochodzi od tej osoby.
Postępuj ostrożnie, ale pamiętaj, że sfabrykowane nagrania wciąż zawierają wiele niedoskonałości. W trakcie rozmów telefonicznych, w których pojawia się socjotechnika, gra na emocjach, warto zwrócić uwagę na nietypowe przerwy w mowie, które mogą wskazywać na sztuczne spajanie fragmentów wypowiedzi. Innym elementem, który powinien budzić podejrzenia, są nienaturalne intonacje, często rozbieżne z emocjami, które powinny towarzyszyć rozmówcy.
Iwona Prószyńska, CERT Polska, Specjalistka ds.komunikacji w obszarze cyberbezpieczeństwa, wypowiedź dla Android.com.pl
Niedoskonałość syntezatorów mowy, nawet tych opartych o sztuczną inteligencję sprawia, że stosunkowo łatwo jeszcze zdemaskować takie nagranie. Gdy jednak wciąż nie mamy pewności, weryfikacja z rzekomym nadawcą komunikatu powinna rozwiać wszelkie wątpliwości.
Oszuści działają zgodnie z czasem i trendami. Na tym polega ich przewaga
Dla ekspertki CERT Polska oszustwa w internecie są codziennością, więc zapytałem o najbardziej kreatywne oszustwo, jakiego p. Iwona Prószyńska doświadczyła w swojej karierze. Historii z wybuchami w tle nie było, ekspertka przedstawiła bardziej subtelny sposób działania hakerów.
Większość niepokojących zdarzeń, z którymi mamy do czynienia w sieci, to nie zaawansowane technologicznie działania, a proste oszustwa oparte na socjotechnice. Biorąc pod uwagę ich skalę, to one są najbardziej niebezpieczne, bo to na nie narażonych jest najwięcej osób. Tu też występuje kreatywność, bo scenariusze phishingowe zmieniają się sezonowo. Ich bardziej zaawansowaną formą jest spear phishing, w którym przestępcy poprzedzają swoje działania odpowiednim przygotowaniem.
Mail, w którym podszywają się pod prezesa proszącego o opłacenie faktury, trafia precyzyjnie do księgowości. Jeżeli mechanizmy SPF, DKIM i DMARC, które odpowiadają za bezpieczeństwo poczty elektronicznej i uniemożliwiają podszycie pod nadawcę, nie są prawidłowo skonfigurowane, to może się okazać, że mail będzie wyglądał bardzo wiarygodnie. Taką wiadomość o wiele trudniej rozpoznać, dlatego kluczowe jest zweryfikowanie zawartych w nim informacji.
Iwona Prószyńska, CERT Polska, Specjalistka ds.komunikacji w obszarze cyberbezpieczeństwa, wypowiedź dla Android.com.pl
Cyberprzestępcy działają sezonowo i dopasowują się do aktualnych trendów. Dlatego nieprzypadkowo otrzymujemy informację np. o konieczności opłacenia przesyłki. Oczywiste jest, że stanie to się akurat wtedy, gdy rzeczywiście czekamy na jakiś ważny towar ze sklepu internetowego lub paczkę od znajomego.
Największe błędy Polaków w sieci. Co zrobić, gdy jednak padniemy ofiarą oszustwa w internecie?
Jeśli już zostaniemy oszukani, przede wszystkim, należy zminimalizować ryzyko utraty środków finansowych. Dlatego należy jak najszybciej zmienić hasła w najbardziej newralgicznych miejscach (bankowość internetowa, media społecznościowe, mObywatel). Ekspertka wskazuje tutaj z kim musimy się skontaktować.
Jeżeli doszło do oszustwa, w pierwszej kolejności powinniśmy poinformować Policję. Warto też jak najszybciej dać znać dostawcy płatności, czyli bankowi, w którym prowadzony jest rachunek bądź karta płatnicza.
Warto pamiętać, że w przypadku, gdy nastąpiła płatność kartą, odzyskanie pieniędzy jest stosunkowo łatwe. Wystarczy skorzystać z mechanizmu tzw. obciążenia zwrotnego (chargeback), składając reklamację w banku i opisując problem.
Iwona Prószyńska, CERT Polska, Specjalistka ds.komunikacji w obszarze cyberbezpieczeństwa, wypowiedź dla Android.com.pl
Dlatego też warto pamiętać, żeby najważniejszych płatności dokonywać bezpośrednio kartą, a nie np. BLIK-iem lub gotówką. Jak widzicie, zasady cyberhigieny nie są aż tak skomplikowane. Oszustwa w internecie spotykają Polaków codziennie. Ostrożność i środki bezpieczeństwa mogą nas uchronić przed kolejnymi incydentami, których skala będzie tylko powiększać.
Zdjęcie otwierające: obraz wygenerowany w DALLE-3, cyberhigiena w wizualizacji
Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.