Logo Mamo Pracuj
Open menu
Pracuj

Znajdź wymarzoną pracę i pracodawcę.

Rozwijaj się

Pozwól się wesprzeć w rozwoju.

Inspiruj się

Sprawdź nasze propozycje dla Ciebie.

ZAINSPIRUJ SIĘ

Podstawy bezpieczeństwa w sieci – sprawdź nasze podpowiedzi!

  • Agnieszka Wadecka
  • 10 października 2023
  • 6 MIN. CZYTANIA
bezpieczeństwo w sieci
Październik to bardzo kobiecy miesiąc, bliżej nam znany jako Pinktober, ale czy wiedziałaś też, że jest to europejski miesiąc cyberbezpieczeństwa? W ostatnim czasie jak plaga szerzą się ataki hakerskie rozsyłane mailami, komunikatorami, a nawet próby wyłudzenia danych podczas rozmów telefonicznych. Warto zadbać o to, by nasze dane, a często i pieniądze nie wpadły w niepowołane ręce, dlatego przygotowałam dla Ciebie MUST HAVE, czyli podstawy, które Ci w tym pomogą!

Co to jest phishing i jak się odbywa?

90% ataków to tzw. PHISHING (atak w oparciu najczęściej o mail lub sms, próba oszustwa z wykorzystaniem inżynierii społecznej).

Socjotechniki, z których korzystają cyberprzestępcy to:

  • maile na Netflix, Facebook czy inne strony (trzeba dokonać szybkiego działania, aby konto nie zostało zablokowane, kliknij w link > sklonowana strona wyglądająca jak logowanie do FB czy innego portalu > wpisane dane logowania wysyłane są na serwer scamerów),
  • SMS – musisz odebrać paczkę lub podjąć szybkie działania na koncie. Kliknięcie linku może przekierować albo na stronę wyłudzającą dane logowania lub pobrać złośliwe oprogramowanie bezpośrednio na telefon. Sprawa ta w znacznej mierze dotyczy Androida z uwagi na otwartość tego systemu i możliwość instalowania aplikacji z innego źródła niż Google Play,
  • vishing – telefon z banku informujący o włamaniu na konto bankowe. Wymagający szybkiego zabezpieczenia środków na koncie poprzez przesłanie ich na nowo utworzony rachunek bankowy. Ofiara nakłaniana jest do wykonania odpowiednich działań, aby samodzielnie wypłukać swoje konto. Inną metodą jest namawianie ofiary do pobrania „bankowego antywirusa”. W rzeczywistości jest to program Team Viewer lub any Desk. Służą one do zdalnego połączenia z telefonem/komputerem ofiary i za jego pomocą, np. przygotowania urządzenia do pobrania złośliwego oprogramowania lub „asystowanie” ofierze w dokonaniu przelewu na konto atakujących. Inne częste przykłady vishingu to telefony na prezesa czy wnuczka, coraz częściej spotykane z wykorzystaniem AI.

Skąd atakujący pozyskują dane?

  • z wycieków – każde konto, które gdzieś założyliśmy lub zapisanie się na kolejną kartę klubowicza, aby uzyskać zniżki jest narażone na wycieki naszych danych, poprzez ataki na firmy trzecie. W skali globalnej do takich wycieków dochodzi każdego dnia! Z wykorzystaniem tych danych atakujący będą próbowali zalogować się do różnych naszych kont z użyciem naszego maila i hasła. Warto pamiętać, że gdy wyciekną nasze dane do logowania z jednego miejsca, atakujący i tak sprawdzą kombinacje naszego maila i hasła w innych. Dlatego tak ważne jest nieużywanie tego samego hasła w różnych miejscach.
  • z tego co sami robimy w Internecie – social media są skarbnicą wiedzy dla atakujących o każdym, który posiada tam swoje konto. Większość portali, takich jak FB, w defaultcie daje nam taką konfigurację konta. Jest otwarta dla całego Internetu (nawet z poziomu Google, bez bycia zalogowanym na FB). Nasza lista znajomych, zdjęcia, komentarze, są publicznie dostępne. Można w ten sposób pozyskać ogrom informacji. One w połączeniu z danymi z wycieków ułatwiają włamanie na konto i przejęcie np. Messengera i za jego pośrednictwem mogą atakować naszych znajomych wyłudzając pieniądze.

Jak się zabezpieczyć przed atakiem i utratą danych?

  • włączyć 2FA, czyli wieloskładnikowe logowanie. Uchroni nas przed utraconymi danymi z wycieków, ponieważ atakujący nie tylko będzie potrzebował naszego kodu z smsa lub aplikacji takiej jak Google Authenticator, co może go powstrzymać, ale sami zostaniemy takim kodem ostrzeżeni, że ktoś właśnie próbuje się zalogować na nasze konto. SMS jest podatny na przejęcie takiego kodu. Dlatego też zaleca się stosowanie osobnych aplikacji lub najlepiej kluczy sprzętowych, ale lepszy sms niż nic.
  • nie klikać nigdy w linki z smsów. Większość dostawców usług nie korzysta z takiej formy przekazywania ważnych informacji. A nawet jeśli to robi, to i tak jest zobowiązany prawnie do kontaktu z nami w formie telefonicznej lub mailowej, jeśli wydaliśmy taką zgodę podczas zakładania konta. Jak chodzi o bankowość możemy zawsze w czasie rzekomej rozmowy telefonicznej z bankiem, poprosić o kontakt poprzez aplikację. Jeśli jest to prawdziwy operator banku, będzie on w stanie skontaktować się z nami za pośrednictwem aplikacji, gdzie będziemy widzieć jego imię i nazwisko oraz numer konsultanta.
  • w linkach przesłanych nam drogą mailową, zawsze przyglądajmy się czy domena jest poprawna (netflix.com jest poprawny, ale net-flix.com już nie). Jeśli mamy jakiekolwiek wątpliwości sprawdźmy link na stronie VirusTotal lub Urlscan. Dzięki temu przekonamy się czy link nie jest już oznaczony jako phishing. Jeśli pomimo tego mamy wątpliwości lepiej nie klikać, a jeśli już to zrobimy, to nie podawajmy żadnych danych logowania. Skoro mamy gdzieś konto, znamy najczęściej adres prowadzący na portal. Nawet jeśli nie pamiętamy lepiej samodzielnie wyszukać w Googlu niż podążać za tym, gdzie prowadzi nas kliknięty link.

Bezpieczeństwo dzieci w sieci. Jak o nie zadbać?

  • pamiętaj, kłódka (HTTPS) nie jest żadną informacją o bezpieczeństwie strony. Obecnie niemal każda złośliwa strona i tak ma wystawiony certyfikat SSL.
  • hasła zmieniamy tylko wtedy, gdy wiemy lub podejrzewamy, że zostały skompromitowane np. w wyciekach. Hasło powinno być długie (min. 15 znaków) i nie musi posiadać znaków specjalnych czy dużych i małych liter. Pod warunkiem, że dany portal takie hasło przyjmie. Nie stosować tego samego hasła w różnych miejscach – menadżery haseł jest tym bardzo pomocny. W ostateczności można stosować zapamiętywanie haseł w przeglądarce, ale pamiętając o tym, że złośliwe oprogramowanie typu data steeler jest w stanie wykraść z przeglądarki nasze hasła i ciasteczka sesyjne. Niemniej jednak, lepiej zapisać hasła w przeglądarce niż używać tego samego wszędzie.
  • wszelkiego rodzaju incydenty natychmiast zgłaszać do Cert Polska. Natomiast gdy już utraciliśmy kontrolę nad naszym kontem, np. bankowym czy nawet FB, zgłosić sprawę na policję. Polskie prawo nie ściga z urzędu przestępstw internetowych, dlatego bardzo ważne jest, abyśmy zgłaszali takie sprawy. Policja tylko wtedy może podjąć działania. Jest to szczególnie ważne, gdy chcemy odzyskać utracone pieniądze z ubezpieczenia lub od banku.

Te linki Ci się przydadzą:

haveibeenpwned.com – możemy sprawdzić nasze adresy mailowe, gdzie i co wyciekło
www.virustotal.com – możemy sprawdzić linki, domeny lub adresy IP i dowiedzieć się czy są złośliwe
urlscan.io – sandbox do sprawdzenia linku bez wchodzenia na niego
cert.pl – CERT Polska to zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet. CERT Polska działa od 1996 roku, a od roku 1997 jest członkiem FIRST. W ramach tej organizacji współpracuje z podobnymi zespołami na świecie.

Zdjęcie: Canva

Zobacz więcej

wywiad
Kasia Zasiadły UL&KA
  • Agnieszka Wadecka
  • 22 MIN. CZYTANIA
artykuł
  • Agnieszka Wadecka
  • 8 MIN. CZYTANIA
artykuł
  • Agnieszka Wadecka
  • 4 MIN. CZYTANIA
artykuł
mata joga kobieta
  • Agnieszka Wadecka
  • 4 MIN. CZYTANIA
artykuł
mama z dzieckiem prezent na Dzień Matki
  • Agnieszka Wadecka
  • 4 MIN. CZYTANIA
artykuł
wnętrze pokoju dziecięcego oświetlenie
  • Agnieszka Wadecka
  • 3 MIN. CZYTANIA

+3 tys. mam w newsletterze

© Mamopracuj 2024

Skip to content