Przestępcy grasują w zatłoczonych pociągach, centrach handlowych, ciemnych uliczkach, nocnych klubach. Są tam, gdzie my. Korzystają z dogodnych okazji i naszej osłabionej czujności. Tak samo jest z cyberprzestępcami. Gdy chcą dobrać się do naszych pieniędzy, śledzą, co robimy w cyfrowym świecie i zastawiają pułapki. Podszywają się pod tych, którym ufamy, bazują na naszych słabościach, używają socjotechnik. Gdzie należy szczególnie uważać na cyberoszustów? Jak się zabezpieczać przed nowymi wariantami ataków?
O cyberbezpieczeństwo warto dbać, jak o zdrowie – na co dzień, a nie od święta. Nie da się tego zrobić „raz a dobrze” i odhaczyć w głowie: załatwione! Gdy zapomnimy o cyberbezpieczeństwie, ryzykujemy, że przypomną nam o nim przestępcy. Warto mu zatem regularnie poświęcać trochę czasu i uwagi: nie wybierać dróg na skróty. Nie używać jednego prostego hasła do wielu systemów, tylko korzystać z menedżerów haseł, odrębnych dla każdej usługi; stosować logowanie dwuskładnikowe, z wykorzystaniem dodatkowego narzędzia, np. klucza U2F lub telefonu komórkowego.
„Ja się nie dam nabrać” czyli błąd nadmiernego optymizmu
Konsekwencje najprostszych cyberzaniedbań mogą być poważne, np. bezpowrotna utrata pieniędzy, czasem nawet oszczędności całego życia, zszargana reputacja, czy też blokada budowanej latami „cyfrowej tożsamości” w mediach społecznościowych. Plus wszystkie emocjonalne konsekwencje, jakie przy tym ponosimy.
Wiele osób jest przekonanych, że „kto jak kto, ale ja się nie dam nabrać, nie padnę ofiarą cyberoszustów, mnie się to nie przydarzy”. To mała pułapka w naszym myśleniu, która ma swoją nazwę: błąd nadmiernego optymizmu. Polega m.in. na tym, że umniejszamy prawdopodobieństwo, że może nam się przydarzyć coś złego czy przykrego. W rezultacie nasza czujność spada i podejmujemy ryzykowne decyzje. Nie zakładamy bowiem, że „coś pójdzie nie tak”.
Jak atakują cyberprzestępcy? Sprytnie i masowo
Dobra wiadomość jest taka, że obrona przed najczęstszą formą cyberataków (phishingiem, który wg raportu CERT, stanowił ponad 50 proc. wszystkich cyberataków w 2023 r.) nie wymaga ani specjalistycznej wiedzy informatycznej, ani wyjątkowego sprzętu czy oprogramowania. Oszuści najpierw podszywają się pod jakąś osobę bądź instytucję, a później manipulują nami na różne sposoby. Najlepszą w tej sytuacji obroną jest zachowanie zdrowego rozsądku i chłodnej głowy, choć bywa to bardzo trudne, gdy dostajemy takie wiadomości:
„Przyszedł już zwrot podatkowy! Zaloguj się i podaj swoje dane, by odebrać pieniądze!” – nie jest łatwo utemperować radość i sprawdzić, dlaczego taka wiadomość przyszła do nas z dziwnie wyglądającego adresu e-mail, tym bardziej, że dostaliśmy ją w okresie, w którym rzeczywiście czekamy na efekty rozliczeń z urzędem skarbowym.
„Mamo, miałem wypadek. Jestem w szpitalu, rozbił mi się telefon, dlatego piszę z innego numeru. Pilnie potrzebuję pieniędzy”.
„Przyszła paczka, na którą czekałeś. Ze względu na przekroczenie wagi, musisz dopłacić 1,7 zł, aby ją odebrać”.
„Zostałeś wylosowany w konkursie na darmową kartę Warszawiaka, która zapewnia bezpłatne przejazdy! Wpisz dane swojej karty kredytowej, aby odebrać nagrodę”.
„Dzień dobry, dzwonię z banku. Nasz dział bezpieczeństwa wykrył, że przestępcy właśnie włamują się na pana konto, więc prosimy o jak najszybsze przelanie wszystkich pieniędzy na nowy, bezpieczny rachunek. Podaję jego numer”.
Przestępcy, podszywając się pod zaufaną instytucję bądź udając kogoś, kogo znamy, rozsyłają tego typu wiadomości masowo. Jeśli tylko ułamek procenta odbiorców rzeczywiście czeka na paczkę, zwrot podatkowy, ma dziecko, które poszło na spacer i mogło mieć wypadek, korzysta z bankowości elektronicznej czy mieszka w Warszawie – w ich przypadku oszustwo może okazać się skuteczne. Tym bardziej, że wiadomość zawsze wzbudza emocje (pozytywne lub negatywne) i nakłania do pośpiesznych działań. Jeśli zachowamy spokój (czasami nie jest to łatwe!) i zweryfikujemy otrzymaną informację inną drogą, udaremnimy większość najpopularniejszych cyberataków.
Oszuści wyćwiczyli się w grze na twoich emocjach
Jest też gorsza wiadomość. Przestępcy cały czas modyfikują swoje metody i powiększają obszary działalności. Jeśli trudno nadążać za informacjami, który bank, serwis aukcyjny, aplikacja czy sklep internetowy został zaatakowany, warto poznać częste scenariusze ataku i używane socjotechniki.
Oszustom pomagają też najnowsze technologie. Warto zatem wiedzieć, że głos, który usłyszymy w słuchawce (lub dostaniemy jako „głosówkę” poprzez komunikator) może być tylko świetnie podrobionym głosem naszego dziecka, albo że film z prezydentem Polski namawiającym do atrakcyjnej inwestycji finansowej został sfałszowany.
Pamiętaj: jeśli jakaś informacja wzbudza duże emocje: strach, radość, lęk o bezpieczeństwo twoje lub twoich bliskich, nadzieję na radykalną poprawę sytuacji finansowej czy nową, lukratywną posadę – koniecznie sprawdź, czy jest prawdziwa. Jeśli przeczytasz czy obejrzysz ją w internecie, otrzymasz poprzez SMS, przez wiadomość w komunikatorze, e-mail czy w trakcie rozmowy telefonicznej – to może być oszustwo! Tym bardziej, gdy wywierana jest w niej presja, by szybko działać, w rodzaju: „korzystaj szybko z okazji, bo zaraz zniknie” albo: „musisz szybko pomóc dziecku/matce i natychmiast przelać pieniądze”. Na to właśnie liczą przestępcy – że zalani emocjami zrobimy coś, o co im chodzi.
Jak chronić się przed cyberatakami?
Podsumujmy: „chłodna głowa”, czyli weryfikowanie emocjonalnych informacji, dokładne sprawdzanie adresów stron, z których przyszły alerty o konieczności podania hasła, czy danych do logowania (bo wygaśnie konto lub dostęp do ulubionego serwisu czy do konta w banku), nie klikanie w linki w wiadomościach od nieznanych adresatów, a także „pięć minut dziennie dla cyberbezpieczeństwa”. Oznacza to w praktyce jak najszybsze instalowanie aktualizacji systemu komputera czy telefonu (eliminują one wykryte luki w systemach, czyli potencjalne furtki dla cyberprzestępców), wszystkich programów czy sterowników. To także włączenie w najważniejszych serwisach weryfikacji dwuetapowej (np. do poczty elektronicznej, konta społecznościowego), używanie do każdej usługi czy serwisu odrębnego, długiego hasła (co najmniej 14 znaków). Z wykorzystaniem menedżera haseł nie obciąży to naszej pamięci.
Jeśli ktoś wszędzie wpisuje to samo krótkie hasło, pewnie zyska dziennie kilkanaście sekund… do czasu, aż jakiś wyciek danych spowoduje, że straci dostęp do wielu serwisów równocześnie. Menedżer haseł ochroni nas również w przypadku, w którym – w pośpiechu, w emocjach – będziemy chcieli podać nasze hasło na fałszywej stronie, która na pierwszy rzut oka będzie wyglądać tak samo jak prawdziwa. Dodatkowy czas poświęcony na stworzenie oddzielnych, bezpiecznych haseł opłaca się więc podwójnie!
Pod kogo podszywają się cyberprzestępcy?
Warto choćby „kątem oka” śledzić tematykę związaną z cyberbezpieczeństwem, podobnie jak przeglądamy nowe wiadomości na temat zdrowia i zagrożeń dla niego.
W ostatnich dwóch miesiącach informowaliśmy na stronach NASK, CERT Polska, w naszych mediach społecznościowych czy w informacjach wysyłanych do mediów m.in. o tym, że przestępcy:
- podszywają się pod banki (m.in. BNP Paribas, ING, Santander),
- szantażują klientów czterech internetowych sexshopów, grożąc ujawnieniem ich zakupów,
- próbują wyłudzić dane logowania do Profilu Zaufanego,
- podszywają się pod serwis muzyczny Spotify, serwis Booking.com, usługi Apple, księgarnie internetowe czy firmy kurierskie (np. DPD),
- organizują fałszywe zbiórki finansowe,
- starają się przejąć konta użytkowników Facebooka, np. oferując im dostęp do „wstrząsających” informacji czy filmów,
- podszywają się pod Policję, Europol, serwisy Biznes.gov.pl czy mObywatel,
- publikują w serwisach społecznościowych coraz więcej filmów typu deefake, w których prawdziwe osoby (znane, wiarygodne, cieszące się popularnością) udzielają spreparowanych przez oszustów (za pomocą technologii deepfake) wypowiedzi. Zachęcają w nich do rzekomo lukratywnych inwestycji bądź cudownie działających preparatów,
- atakują osoby kupujące i sprzedające na serwisach aukcyjnych, takich jak Allegro, OLX czy Vinted.
Przestępcy mogą się podszyć pod każdy serwis, platformę, aplikację przez którą wydajemy pieniądze (kupujemy towary czy usługi) bądź w której zostawiamy swoje dane. Warto o tym pamiętać i nie popełniać błędu nadmiernego optymizmu.