Jak bezpiecznie zarządzać finansami w sieci?
To, w jaki sposób korzystamy z naszych oszczędności, w ciągu ostatnich kilku lat uległo ogromnej zmianie. Coraz chętniej zarządzamy nimi za pośrednictwem bankowości internetowej lub mobilnej. Wydajemy pieniądze na platformach e-commerce i aukcyjnych. Z większym entuzjazmem podchodzimy też do kupowania w Internecie dostępu do rozrywki, wiedzy i kultury. Słowem, wiemy już, że w Internecie można załatwić prawie wszystko i coraz odważniej z tego korzystamy. Niestety, wraz z przeniesieniem do Internetu tak dużej części naszego życia, wzrosła liczba przestępstw, polegających na wyłudzeniach danych, przechwytywaniu haseł i włamaniach na konta serwisów instytucji finansowych, społecznościowych, zakupowych itd. Konsekwencje phishingu, czyli podszycia się pod inną osobę lub instytucję w celu wyłudzenia danych, są jednym z największych zagrożeń dla naszych oszczędności, a bronienie się przed atakami staje się coraz większym wyzwaniem. Celem poradnika jest zwiększenie świadomości zagrożeń czyhających w sieci oraz dostarczenie internautom wiedzy, która pozwoli się przed nimi bronić. Impulsem do jego stworzenia był Światowy Dzień Oszczędzania przypadający 31 października. Uznaliśmy, że święto to warto wykorzystać nie tylko po to, by zachęcić Polaków do pomnażania oszczędności, ale i przypominać o tym, że należy dbać o ich bezpieczeństwo.
Co to jest phishing?
Phishing to atak socjotechniczny polegający na wyłudzaniu informacji lub przekonaniu ofiary do wykonania czynności sprzecznych z jej interesem. Jego celem jest najczęściej kradzież haseł, danych logowania do bankowości internetowej i numerów kart, ale bywa i tak, że zdobyczą phishera są poufne informacje z naszego komputera lub przelewy, które sami zleciliśmy.
Możemy wyróżnić kilka rodzajów phishingu:
• masowy – kierowany do przypadkowych użytkowników,
• spear phishing – skierowany do konkretnego odbiorcy i często bardziej wiarygodny, bo opierający się na informacjach, jakie oszust posiada na temat ofiary,
• whaling – skierowany do konkretnej grupy osób: decyzyjnych, zarządzających dużymi organizacjami lub posiadających cenne informacje,
• pharming – polega na tym, że nawet, gdy wpiszemy prawidłowy adres danego serwisu internetowego, zostajemy przekierowani na fałszywą stronę, na której oszust zamierza wykraść nasze dane.
Na czym polega phishing?
Duża część phishingu opiera się na przekazywaniu potencjalnym ofiarom fałszywych linków: w mailach, SMS-ach czy ogłoszeniach. Odnośniki zamiast prowadzić np. na stronę internetową banku, wysyłają ofiarę na stronę łudząco podobną, gdzie dobrowolnie podaje ona swoje dane. Zdarza się też, że oszuści po prostu podszywają się pod kogoś, komu ufamy i proszą o podanie wrażliwych danych lub przelanie określonej kwoty pieniędzy. Trzecią, bardzo popularną metodą jest sprawienie, aby ofiara, razem z pozornie bezpiecznym załącznikiem czy aplikacją, pobrała na swoje urządzenie złośliwe oprogramowanie.
Gdy korzystamy z bankowości mobilnej na co dzień, przestajemy zwracać uwagę na szczegóły i robimy wszystko automatycznie – a to czyni nas łatwym celem. Podekscytowani atrakcyjną ofertą albo w pośpiechu odpisując na maile, ignorujemy niepokojące sygnały i wpadamy prosto w sidła oszustów.
1. Strach i pośpiech – niebezpieczna para
2. Nie zwracamy uwagi na szczegóły
Na co liczy oszust?
Oszust oferuje korzyści, na które normalnie nie mamy szansy. Raz jest to nagroda w loterii, innym razem opowieść o spadku wujka z Ameryki albo jedyna w swoim rodzaju oferta na portalu ogłoszeniowym. Skuszeni perspektywą szybkiego zarobku lub zaoszczędzenia kilku tysięcy złotych podajemy dane, wysyłamy zaliczki i logujemy się na podejrzane portale, zapominając o podstawowych zasadach bezpieczeństwa w sieci.
Wiesz już, na jakich mechanizmach psychologicznych bazują oszuści i dlaczego tak łatwo jest im dotrzeć nawet do tych, którzy wydają się być świadomi niebezpieczeństw czających się w Internecie. W tym rozdziale pokażemy Ci, jak ataki phishingowe mogą wyglądać, podamy przykłady oszustw i udzielimy mnóstwa wskazówek, które pomogą Ci uchronić się nawet przed tymi bardziej wyrafinowanymi podstępami. Przez Internet kupujemy już niemal wszystko, a oferta platform e-commercowych stale rośnie – podobnie jak liczba ataków phishingowych, wykorzystujących nieostrożność konsumentów. Jakimi metodami oszuści wyłudzają dane i pieniądze za pośrednictwem sklepów internetowych?
Sklepy widmo i imitacje gigantów
Choć trudno to sobie wyobrazić, tuż przed najgorętszym okresem zakupowym, w okolicach tzw. Czarnego Piątku, oszuści często tworzą całe platformy e-commerce. Ofiara wybiera, co chce kupić, płaci, a potem czeka na przesyłkę, która do niej nie dociera – bo sklep ten nigdy nie istniał. Drugą metodą ataku phishingowego jest tworzenie stron do złudzenia przypominających największe platformy np. Allegro czy Aliexpress. Konsument, zachęcony reklamą, klika w link, który przekierowuje go do fałszywej strony.
Fałszywa strona pośrednika płatności
Zdarza się też, że choć sama platforma sprzedażowa jest prawdziwa, to strona płatności wręcz przeciwnie. Po zaakceptowaniu koszyka, zamiast bezpiecznie zapłacić za towar, jesteśmy przenoszeni na fałszywą stronę pośrednika płatności, gdzie wpisujemy dane do logowania. Następnie jesteśmy proszeni o autoryzację transakcji i to najczęściej dwukrotnie, bo oszust w tle przeprowadza operacje, które mają na celu wyprowadzenie z naszego konta wszystkich oszczędności.
1. Zwracaj uwagę na szczegóły i upewnij się, że robisz zakupy na właściwej stronie.
2. Na każdym etapie płatności sprawdzaj, czy zgadza się adres URL, a cała strona wygląda tak samo jak zwykle.
3. Gdy kupujesz coś w nowym miejscu, sprawdź, jak długo dany sklep internetowy działa i czy na pewno jest bezpieczny.
4. Jeśli chcesz zachować szczególną ostrożność, możesz założyć konto przeznaczone specjalnie na zakupy internetowe i nie trzymać na nim dużych kwot.
Jak oszuści wykorzystują media społecznościowe?
Oprócz wycieku wrażliwych danych czy udostępnianych przez nas informacji,źródłem niebezpieczeństwa jest również nasze zaufanie do znajomych. Ich konta,tak samo zresztą jak nasze, mogą być bowiem wykorzystane do wyłudzenia mniejszych lub większych kwot pieniężnych. W jaki sposób?
Przestępcy połączyli jeden z najwygodniejszych sposobów wykonywania przelewów – BLIK oraz ufność, jaką pokładamy w mediach społecznościowych i komunikatorach, by stworzyć nową metodę phishingu. Podszywając się pod znajomego, dzięki przejęciu lub stworzeniu fałszywego profilu takiej osoby, kontaktują się z ofiarą i proszą o pilny przelew określonej kwoty. Argumentują swoją potrzebę sytuacją losową: kradzieżą portfela, problemem z powrotem do domu itp. Z reguły prośby te dotyczą małych kwot, wiążą się z naciskami na szybką reakcję i są uzupełniane zapewnieniami o zwrocie pożyczonych środków już następnego dnia. Oszuści proszą nas o przekazanie kodu BLIK, a po zatwierdzeniu przez nas transakcji w aplikacji bankowej (czasami kilkukrotnego z powodu rzekomego niezadziałania poprzedniego kodu) szybko wypłacają gotówkę z bankomatu.
1. Jeśli Twój znajomy prosi Cię o przelew przez Internet lub podanie wrażliwych danych, skontaktuj się z nim w inny sposób, na przykład zadzwoń, aby upewnić się, że to on jest nadawcą danej wiadomości.
2. Zadbaj o silne hasło i, jeśli jest to możliwe, ustaw dwuetapowe uwierzytelnienie.
3. Nigdy nie loguj się do swojego konta na obcych urządzeniach. Jeśli nie masz innego wyjścia, najlepiej ustaw wcześniej podwójne uwierzytelnienie i otwórz stronę logowania w trybie incognito.
4. Nie udostępniaj swojej lokalizacji w social mediach – może to być dla złodzieja wskazówka, że nie ma Cię w domu.
5. W Internecie można znaleźć wszystko, ale to nie znaczy, że warto publikować każdy szczegół swojego życia. Uważaj przede wszystkim na takie kwestie jak wysokość zarobków, adresy czy zdjęcia dokumentów, na których mogą znajdować się Twoje dane.
Fałszywe oferty pracy
“Oszust może liczyć na pozyskanie naszych danych osobowych, w tym numer PESEL
czy adresu zamieszkania, m.in. w celu zaciągnięcia pożyczki; zmanipulowania nas do
przelania pieniędzy na podane konto lub uruchomienia płatnej subskrypcji np. poprzez
potwierdzenie konta kodem SMS. Jeszcze niebezpieczniejsze są jednak te ataki, które
sprawiają, że zostajemy wplątani w działalność związaną z praniem pieniędzy – jeśli
jesteśmy proszeni o pośrednictwo w przelewaniu, wypłacaniu/wpłacaniu środków
lub użyczenie prywatnego konta bankowego, jak najszybciej wycofajmy się z takiej
współpracy i rozważmy zgłoszenie tego do organów ścigania.”
Maciej Pawlak
Oferty pracy mogą być też wykorzystane do typowych ataków phishingowych, takich jak niebezpieczne linki lub zainfekowane pliki. Tego typu oszustw przestępcy dopuszczają się nie tylko poprzez udostępnianie ogłoszeń na portalach rekrutacyjnych czy na grupach na Facebooku (proponując najczęściej pracę bez wychodzenia z domu i ogromne prowizje), ale też w bezpośrednich, nierzadko bardzo przekonujących mailach lub wiadomościach na Linkedinie czy innych portalach zawodowych. Pytanie jednak, jaki jest cel oszusta, który publikuje fałszywe oferty pracy?
1. Nie otwieraj plików od nieznanych nadawców. Dotyczy to zarówno wiadomości mailowych, jak i serwisów społecznościowych.
2. Dokładnie czytaj treści wysłanych przez potencjalnego pracodawcę lub agencję zatrudnienia regulaminów i umów – nie daj się złapać na drobny druczek.
3. Jeśli otrzymasz ofertę od firmy znanej na rynku, ale coś wzbudzi Twoje wątpliwości, zadzwoń do działu HR i upewnij się, że nikt nie podszywa się pod danego pracodawcę (zadzwoń pod numer telefonu znaleziony na oficjalnej stronie internetowej, nie w otrzymanej wiadomości).
4. Nie odpowiadaj na podejrzane oferty pracy – szczególnie, gdy nigdy nie aplikowałeś na podobne stanowisko.
Niebezpieczne załączniki
W imieniu różnych instytucji i przedsiębiorstw oszuści wysyłają do swoich ofiar e-maile z plikami, które mają na celu zainfekowanie ich urządzeń. Załącznik jest najczęściej spakowany lub zawiera nietypowe rozszerzenie. Złośliwe oprogramowanie, atakujące komputer lub telefon, po otwarciu pliku może podmieniać linki do stron bankowości internetowej, przechwytywać hasła lub wyświetlać komunikaty, sugerujące konieczność zainstalowania specjalnego oprogramowania antywirusowego. W rzeczywistości jest to kolejny wirus, który infekuje urządzenie użytkownika w celu przekierowania kodów SMS, przechwytywania informacji wrażliwych czy wręcz jego przejęcia.
Co tworzy dobre hasło?
Na siłę hasła składają się 4 elementy: długość, złożoność, unikalność oraz miejsce, w którym je przechowujemy. Poza tym trzeba mieć na uwadze własne ograniczenia – nie jesteśmy przecież w stanie zapamiętać 80 przypadkowych haseł. Dobrym pomysłem jest bazowanie na skojarzeniach lub łączenie kilku słów np. Ania-czyta.2poradniki albo 3kwiatY!w.doniczce. Takie hasła są proste do zapamiętania, a niemożliwe do odgadnięcia. Wskazane jest, aby hasło składało się z minimum 8 znaków.
Jak zadbać o swoje bezpieczeństwo w sieci?
1. Nie lekceważ siły hasła
2. Przechowuj je w bezpiecznym miejscu – najlepiej w pamięci. Nie udostępniaj nikomu swoich haseł i nie zapisuj ich otwartym tekstem w telefonie czy w notesie, bo w przypadku kradzieży torby, złodziej zyska dostęp do wszystkich Twoich kont.
3. Ustawiaj zróżnicowane hasła. Pamiętaj, że hasło może być wykradzione nie tylko w wyniku phishingu, ale także włamania np. do słabo zabezpieczonego sklepu internetowego. Jeśli wszędzie posługujesz się tym samym hasłem, otwierasz złodziejom drzwi do dużo cenniejszych zasobów.
4. Nie lekceważ siły hasła np. gdy kupujesz coś w sieci lub zakładasz konto w serwisie, z którego skorzystasz tylko raz. Twoje hasło i dane mogą zostać przechwycone wszędzie, więc zachowaj czujność nawet w przypadku kont, które niewiele dla Ciebie znaczą.
5. Gdy zaczniesz bardziej dbać o bezpieczeństwo w sieci, liczba haseł do zapamiętania będzie rosła w zatrważającym tempie: konta bankowe, w mediach społecznościowych, na serwisach e-commerce i aukcyjnych, w systemach potrzebnych do pracy zawodowej. Jeśli obawiasz się, że pamięć Cię zawiedzie, zamiast obniżać stopień skomplikowania haseł, zainstaluj na swoim urządzeniu menedżera haseł.
Niestety, to wszystko może nie wystarczyć, jeśli nie zabezpieczysz urządzeń, z których korzystasz. I pamiętaj – dotyczy to nie tylko komputerów, ale i wszelkich urządzeń mobilnych.
Jak zabezpieczyć swoje urządzenie?
1. Aktualizuj oprogramowanie, z którego korzystasz – wszystkie systemy mają luki i są one chętnie wykorzystywane przez hackerów, więc warto korzystać z wersji z wprowadzonymi poprawkami.
2. Korzystaj z dwustopniowej weryfikacji. Podwójna ochrona utrudni oszustom uzyskanie dostępu do Twojego konta.
3. Korzystaj z mocnych haseł i stosuj unikatowe hasła do różnych systemów.
4. Do przechowywania haseł używaj menedżerów haseł np. https://keepass.info.
5. Zaszyfruj cały twardy dysk w laptopie i smartfonie, aby uchronić swój sprzęt przed nieuprawnionym dostępem do danych.
6. Instaluj tylko oprogramowanie ze znanych źródeł – nie ściągaj programów z nieoficjalnych i niezaufanych stron.
7. Sprawdzaj, czy Twoje połączenie ze stroną jest szyfrowane. Jednym z wyznaczników bezpieczeństwa jest m.in. słynna zielona kłódka, ale i ona nie daje 100% pewności – trzeba sprawdzić, dla kogo został wystawiony certyfikat.
8. Zainstaluj i odświeżaj program antywirusowy, który wyłapie znane i masowo wysyłane zagrożenia.
9. Nie wykonuj transakcji i nie loguj się do serwisów internetowych korzystając z publicznych i otwartych sieci typu hotspot np. w McDonalds czy w autobusach. Prawdopodobieństwo przechwycenia poufnych danych w takich sieciach jest bardzo duże.
10. Uważaj na to, co wrzucasz do sieci, bo cyberoszuści mogą to wykorzystać przeciwko Tobie i Twoim bliskim.
11. Nie zapomnij o ochronie swojego urządzenia mobilnego – zabezpiecz telefon hasłem lub odciskiem biometrycznym i nie instaluj aplikacji niewiadomego pochodzenia.
A U T O R: I N T E R N E T O W Y K A N T O R . P L