Popularny atak to SMS z informacją typu „Proszę dopłacić złotówkę”, bo np. waga przesyłki została przekroczona. - mówi Jan Kostrzewa, dyrektor Centrum Cyberbezpieczeństwa, w rozmowie z Barbarą Stefańską
Przed świętami robimy dużo zakupów, także przez internet. Jak nie paść ofiarą przestępców?
Każdy z nas jest na celowniku cyberprzestępców – nieważne, ile mamy pieniędzy i jakiej wartości przelewów dokonujemy. Oszuści działają w sposób zautomatyzowany i 50 zł jest równie dobrym łupem, co 100 tys. zł. Liczy się efekt skali. Ponieważ każdy jest narażony, trzeba sobie uświadomić, gdzie występuje ryzyko, inaczej mówiąc – gdzie wykonujemy płatności przez internet.
Jakie są najczęstsze oszustwa w ostatnim czasie?
Podstawowym rodzajem ataków jest SMS z informacją typu „Proszę dopłacić złotówkę”, bo np. waga przesyłki została przekroczona albo jest dopłata za prąd. Zazwyczaj są to niewielkie kwoty, a informacja brzmi prawdopodobnie. Atakujący wymyślają różne historie, wykorzystując sytuacje sezonowe, czyli w tej chwili święta. Oczekujemy kurierów z prezentami, więc pewnie przestępcy będą to wykorzystywać.
Jeżeli zgodzimy się i potwierdzimy kod, który jest zawarty w SMS-ie, pozwolimy atakującemu na dodanie jego konta do kont zaufanych w naszym banku i on wyprowadzi wszystkie nasze oszczędności. Warto zwrócić uwagę, że jednocześnie przychodzi do nas wiadomość z banku, która ma inną treść niż SMS od oszustów, bo dotyczy dodania konta do zaufanych.
A jak działają internetowe sklepy stworzone w celu wyłudzania pieniędzy?
Hakerzy potrafią sprawić, że fałszywy sklep pojawia się jako pierwszy wynik wyszukiwania. Jest to sklep z produktami o 10–20 proc. tańszymi. Różnica polega na tym, że zapłacimy i nic nie otrzymamy. Jest nawet dostępna infolinia; gdy zadzwonimy, ktoś odbierze i powie, że lodówka nie dotarła, bo są problemy z dostarczeniem itp. A to będzie tylko gra na zwłokę. Instytut Badawczy NASK tworzy listę fałszywych domen, które są blokowane, ale mimo wszystko ryzyko jest wysokie. Dlatego warto zaufać znanym markom i sprawdzić historię sklepu. Można to zrobić poprzez Wayback Machine (archive.org/web). Jeśli dany sklep istnieje w internecie od kilku tygodni, a ma asortyment porównywalny z wieloletnimi sklepami, to budzi podejrzenia.
Oszuści działają także poprzez media społecznościowe. Na co uważać?
Na przejęcie konta na Facebooku. Ofiarą padamy wtedy nie tylko my, ale wszyscy nasi znajomi. Hakerzy kradną nasze konto i umieszczają na nim różne licytacje – sprzedaż pralki, suszarki, starej konsoli itd. Nasi znajomi kupują produkty, których nigdy nie otrzymają. A w dodatku to my jesteśmy oskarżani o oszustwo, którego ofiarą sami padliśmy. Niestety, Facebook niezwykle wolno reaguje na takie zdarzenia. Infolinia nie działa; nie ma maila, na który można napisać. Odzyskanie swojego konta jest dla zwykłego użytkownika praktycznie niemożliwe. Policja też ma utrudnione zadanie, bo Facebook nie ma siedziby w Polsce. Pozostaje zawiadomić swoich znajomych, że to nie my sprzedajemy, ale przestępcy, bo konto zostało przejęte.
Trzeba też uważać na takie sytuacje, gdy znajomy pisze do nas na Messengerze czy portalu społecznościowym, że potrzebuje pomocy, bo np. z powodu awarii nie może wypłacić pieniędzy z banku. Należy zadzwonić na jego numer telefonu, a nie komunikować się nadal przez sieć. Zerwijmy z myśleniem, że profil w mediach społecznościowych to jest człowiek. Może się zdarzyć, że konto zostało zhakowane i rozmawiamy nie z tatą czy kolegą, ale oszustem.
Jak więc możemy się chronić przed zagrożeniami w świecie cyfrowym?
Po pierwsze, bardzo ważne jest włączenie drugiego składnika uwierzytelniania na wszystkich swoich kontach w mediach społecznościowych. Oznacza to, że oprócz wpisania hasła wejście na nasz profil spoza naszego komputera wymaga również np. potwierdzenia przez kod wysłany SMS-em. Po drugie, należy uważnie czytać SMS-y, nie wierzyć w dopłacanie złotówki. Poza tym zwracać uwagę na domeny internetowe i treść przysyłanych e-maili i wiadomości – np. czy nie ma literówek, bo jedna literka może zdradzać innego nadawcę. Dokonując płatności, róbmy to przez stronę banku lub aplikację, na którą sami wchodzimy. Jeśli dzwoni ktoś z numeru banku, ale zachowuje się dziwnie, trzeba się rozłączyć. Haker może się podszywać pod numer telefonu, lecz jeśli my sami wykręcimy numer, to dodzwonimy się tam, gdzie należy.
Warto śledzić portale branżowe, które zwiększają świadomość w tym zakresie. W tej chwili nie mogę podać recepty na atak, który będzie popularny za trzy miesiące, bo nie wiem, co oszuści wymyślą. Ich kreatywność jest wielka.
Podsumowując: receptą jest wiedza i uważność. Można też zastrzec PESEL na stronie ministerstwa cyfryzacji, dzięki czemu banki nie będą mogły udzielić komuś pożyczki na nasze dane. Choć to rzadka sytuacja, żeby otrzymać kredyt czy pożyczkę tylko na podstawie PESEL-u.
A czy e-dowód jest bezpieczny?
Tak samo bezpieczny jak zwykły dowód. Nie widzę większego ryzyka związanego z e-dowodem, sam korzystam.
Bankowość w komórce to dobry pomysł?
Polecam bankowość w komórce. Komórki są bezpieczniejsze od komputerów – trudniej się do nich włamać, mają lepsze protokoły szyfrowania. Nie należy tylko instalować gier z nieznanych źródeł, a jedynie ze sklepu Play lub AppStore, nie wchodzić w chińskie marki, które nie mają dostępu do sklepu Play, nie wchodzić w ustawienia deweloperskie.
W przypadku komputera trzeba pamiętać o aktualizacji systemu operacyjnego, choć z reguły sam się aktualizuje. Poza tym nie wchodźmy na podejrzane linki i strony, nie ściągajmy podejrzanych plików.
A potrzebne jest zainstalowanie antywirusa?
Windows ma wbudowany antywirus. Ale instalacja drugiego może pomóc, przynajmniej nie zaszkodzi.
Warto też zwrócić uwagę, z jakich pendrive’ów korzystamy. Komputer z zasady traktuje urządzenia, które do niego bezpośrednio podłączamy, jako zaufane. Dlatego ewentualne wirusy, jakie się na nich znajdują, są bardziej niebezpieczne niż te, które przychodzą z e-mailami.
Czy zmiana haseł do kont bankowych lub mediów społecznościowych to dobre rozwiązanie?
Nie rekomenduję. Chyba że doszło do wycieku danych. To dawne podejście, że gdy zmienię hasło, jestem bezpieczniejszy. Każda zmiana powoduje, że to hasło staje się bardziej powtarzalne, łatwiej nam je zapomnieć. Powinniśmy mieć jedno silne hasło. A bezpieczeństwo zwiększa drugi składnik uwierzytelniania. Nieważne, jak często zmieniamy hasło; jeśli nie będzie potwierdzenia SMS-em czy przez aplikację, zawsze będzie słabe. Najlepiej mieć menedżer haseł, do którego jest jedno główne hasło, a w nim mamy zapisane wiele haseł do różnych portali. Takie rozwiązanie pozwala mieć unikatowe hasło do każdej strony, bez uciążliwej konieczności pamiętania ich wszystkich.
Jeśli padliśmy ofiarą oszustwa, gdzie się zgłosić?
Na policję. A do zespołu CERT NASK (cert.pl) należy zgłosić domenę, z której doszło do włamania. Czasem po miesiącach czy latach udaje się policji złapać hakera i odzyskać część pieniędzy. W wielu przypadkach jednak policja jest bezradna, bo internet zapewnia anonimowość. Korzystają z tego użytkownicy, ale też przestępcy. Gdyby społeczeństwo zgodziło się na zmniejszenie anonimowości w internecie na rzecz zwiększenia bezpieczeństwa, znacznie utrudniłoby to życie przestępców.
Jeśli Czytelnicy chcieliby się dowiedzieć więcej, co Pan poleca?
Na stronie internetowej (cc.gov.pl) i Facebooku Centrum Cyberbezpieczeństwa (www.facebook.com/centrumcyberbezpieczenstwa) publikujemy informacje o aktualnych zagrożeniach bezpieczeństwa w sieci. Organizujemy także szkolenia dla uczniów, seniorów, firm zwiększających świadomość użytkowników. Firmom i różnego rodzaju organizacjom opłaca się inwestować w bezpieczeństwo pracowników, bo w 95 proc. atak hakerski dochodzi do skutku poprzez błąd ludzki, a nie błąd zabezpieczenia technicznego.