„Skąd u przestępców wziął się mój adres e-mail? Wysłali do mnie phishing, adres na pewno wyciekł z Orange!”. Przesadzałbym, twierdząc, że tego typu wiadomości trafiają do CERT Orange Polska regularnie, ale – cóż – nie są rzadkie. A ponieważ w edukacji o cyberzagrożeniach nie ma rzeczy niepotrzebnych są pewne o rzeczy, o których warto pisać regularnie, nawet jeśli mamy wrażenie, że przecież wszyscy o tym wiedzą.
Ty zgubisz e-mail, roboty znajdą
Nie ma prywatności – jest tylko świadome udostępnianie informacji o sobie. Tę mantrę ery internetu powtarzam podczas każdej wygłaszanej przeze mnie prezentacji. Problem w tym, że do większości z nas ta świadomość doszła niedawno, korzystają z internetu od jego początku, bądź – o tempora o mores – nie mogą przeżyć bez udostępniania informacji o sobie (to ostatnie to temat na inny materiał i raczej nie u nas, ale np. u Psycholog Pisze). Niezależnie od podejścia – w każdym z przypadków zostawiamy po sobie, przy mniejszej lub większej świadomości, ślady.
Zastanawiacie się, skąd u przestępców biorą się adresy e-mail, na które wysyłają phishing? Odpowiem pytaniem na pytanie – w ilu miejscach zostawiliście swój adres e-mail? Na ilu forach zakładaliście konta, gdzie i komu w sieci podawaliście, jak się z Wami skontaktować? Po internecie nieprzerwanie krążą crawlery, automaty przeszukujące ogólnodostępne miejsca właśnie pod kątem takich informacji. Pod zebraną bazę czasami podstawiają znane hasła i próbują ich na wykradzionych bazach lub popularnych serwisach. A innym razem, wraz z innymi nieszczęśnikami, wyślą takiej ofierze właśnie phishingowy mail, licząc, że sama się „podłoży”.
Ile o Tobie w sieci?
Co zrobić? Warto zacząć od sprawdzenia naszego adresu na stronie Have I Been Pwned. Jeśli tam się nie znajdziecie – możecie bić sobie brawo (albo po prostu mieliście szczęście). Śladów warto też poszukać wpisując nasze imię i nazwisko, czy też właśnie maila, w wyszukiwarce. Swoją drogą można znaleźć całkiem fajne informacje, ja np. dowiedziałem się, że moje imię i nazwisko noszą też piłkarz nożny i całkiem niezły skoczek w dal.
A co robić jeśli „stało się” i pora powiedzieć „mądry internauta po szkodzie”? Jeśli HIPB pokazało, że wyciekły jakieś hasła – natychmiast je zmienić. W ogóle, zamiast zapamiętywać hasła, najlepiej zainstalować menedżer haseł i wtedy musimy pamiętać tylko jedno, bardzo silne. Ja prywatnie używam LastPass, a w Orange Polska zalecany jest KeePass. Różnica jest istotna, bowiem pierwszy funkcjonuje w chmurze i można otworzyć go na dowolnym urządzeniu, wyposażonym w przeglądarkę internetową (idealny dla mnie), drugi zaś działa offline, jest więc idealny do zapamiętywania np. haseł do korporacyjnych aplikacji.
Magiczne 2FA
Ktoś z Was korzysta już z 2FA? 2FA (2 Factor Authentication), czyli uwierzytelnianie dwuskładnikowe, to coś, co też od lat promuję nie tylko na blogu i zgodnie z opisaną na początku zasadą wspomnę kolejny raz. 2FA to dodatkowy element do logowania, wpisywany po tym, gdy zatwierdzimy hasło. Jeszcze niedawno często był to kod przesyłany SMSem (jak np. przy potwierdzaniu przelewów w bankach). Od jakiegoś czasu jednak firmy porzucają ten kanał, skłaniając się ku dedykowanym aplikacjom. Wystarczy znaleźć odpowiednią opcję w ustawieniach strony (listę serwisów, wspierających 2FA znajdziecie tutaj, są tu wszystkie, z których korzystam). Nigdy nie zdarzyło mi się, by którykolwiek z „moich” serwisów poinformował mnie o nieautoryzowanym logowaniu, ale dla samej świadomości miny złodzieja, któremu uśmiech na ustach zgaśnie, gdy zobaczy „podaj kod z aplikacji Google Authenticator” warto.
No i nie zapomnijcie o jednej, „dość” ważnej kwestii. Jeśli korzystacie Facebooka, Google’a, czy innych internetowych usług sieciowych gigantów, oni i tak już wszystko o Was wiedzą. Tyle dobrego, że dla nich jesteście jednym z miliardów anonimowych internautów i zależy im tylko na tym, by podać Wam jak najbardziej dopasowaną reklamę. A przynajmniej ja zamierzam w to wierzyć.