Phishing i ransomware - te dwie skuteczne od lat metody w dalszym ciągu będą służyły hakerom do pozyskiwania naszych danych i pieniędzy. W najbliższym czasie zagrożeń będzie jednak przybywać – nie pozostawiają złudzeń eksperci zajmujący się cyberbezpieczeństwem. Jak przeżyć, gdy za każdym e-mailem i SMS-em może czaić się ręka sięgająca po nasze dane i pieniądze, a jednocześnie w pełni korzystać z dobrodziejstw techniki – o tym Bankier.pl rozmawia z dr Karoliną Małagocką, badaczką cyberbezpieczeństwa i wykładowczynią cyfrowej transformacji na Akademii Leona Koźmińskiego.
![Czym zaskoczą nas hakerzy i jak nie dać się zwariować w sieci? [Wywiad]](https://galeria.bankier.pl/p/5/9/a80760c3cbe54d-948-568-123-0-1856-1113.webp)
Marcin Kaźmierczak, Bankier.pl: Czym zaskoczą nas hakerzy?
dr Karolina Małagocka, Akademia Leona Koźmińskiego: Wykorzystywane do tej pory metody będą ewoluować, ale wciąż będziemy atakowani za pomocą phishingu i ransomware, a to z prostej przyczyny. Wciąż te metody są bardzo efektywne i przynoszą hakerom wymierne korzyści. Jako użytkownicy internetu wciąż popełniamy te same błędy, które popełnialiśmy wówczas, gdy popularyzowane były komputery, następnie smartfony, a obecnie internet rzeczy. Skoro to działa, wykorzystywane są na tych samych zasadach
Dlaczego tak się dzieje?
Im częściej używamy jakiegoś urządzenia, tym bardziej nam powszednieje i tym bardziej bezpieczne nam się wydaje. Mamy wówczas naturalne zaufanie do sposobu komunikacji. Dawniej, gdy dostawaliśmy znacznie mniej maili, mieliśmy czas i chęci, by zastanowić się, dlaczego ta osoba do nas pisze. Podobnie było z SMS-ami. Teraz jednak ta bariera w naszej świadomości została złamana i klikamy niemal we wszystko, co wygląda choć trochę prawdopodobnie. Tych komunikatów otrzymujemy po prostu bardzo dużo, więc i selekcja jest trudniejsza, a to woda na młyn dla cyberprzestępców.
Jesteśmy łatwym łupem tylko przez natłok informacji i komunikatów?
Nie do końca. Dzieje się tak również z tego powodu, że wierzymy w to, że w internecie może trafić nam się niesamowita okazja, w którą na ulicy, w realnym świecie z pewnością byśmy nie uwierzyli. Tutaj za przykład niech posłuży choćby przykład oszustwa na „nigeryjskiego księcia”. Tylko w 2019 r. sami Amerykanie stracili blisko 1 mln dolarów na tym przekręcie. Stracili, ponieważ uwierzyli, że zostali wybrani do otrzymania sporej ilości pieniędzy i że wystarczy do tego jedynie założenie konta bankowego.
Przeczytaj także
Wierzymy także w to, że w internecie możemy mieć dużo wartościowych treści za darmo, a tak nie jest, co wykorzystują hakerzy. Pobieramy nagminnie udostępniane pliki, multimedia, książki. Już pomijając nawet kwestię łamania prawa, sprowadzamy tym na siebie spore niebezpieczeństwo. Nie do końca dbamy również o swoją prywatność.
Czyli ostatecznie jakkolwiek szczelne byłyby zabezpieczenia, wszystko jednak jest w rękach samych użytkowników?
Chciałabym bardzo, byśmy doszli do takich możliwości technologicznych, które pozwoliłyby w tym procesie wyłączyć lub pominąć ludzkie myślenie i żeby to maszyny zaczęły za nas myśleć. Warto pamiętać, że komputer i smartfon czy jakiekolwiek urządzenie należące do internetu rzeczy to wciąż narzędzie, które nie będzie za nas myślało tak samo jak nie czyni tego nóż kuchenny. Sami musimy wiedzieć, jak się nim posłużyć. Tak samo jest z elektroniką. Możemy wspierać się oprogramowaniem i wykonywać nimi więcej zadań niż prostymi narzędziami, ale myśleć musimy tak samo.
Czujność na każdym kroku to najlepsze zabezpieczenie?
Z pewnością, choć często nie zdajemy sobie sprawy z tego, że najciemniej jest pod latarnią. Jako nowe postrzegamy te technologie, które rozwinęły się po naszym urodzeniu. Na przykład dla moich studentów internet nową technologią już nie jest, w związku z czym traktują go jako coś dobrze znanego i rozpoznanego także pod kątem zagrożeń. To trochę tak jak z podróżami samolotami i samochodami. Choć więcej wypadków ma miejsce na drogach niż w przestworzach, bardziej boimy się latać. Podobnie z internetem, nie traktujemy go w kategoriach zagrożenia, stąd nasza czujność może być uśpiona. Powinno być odwrotnie. Gdy podłączamy coś do internetu, np. odkurzacz, to warto pamiętać, że to tak naprawdę komputer z funkcją odkurzania, który dodatkowo skanuje nasze mieszkanie, a te informacje mogą wpaść w niepowołane ręce.
Będziemy w pełni bezpieczni, dopiero gdy staniemy się offline?
W dzisiejszych czasach bycie offline to ogromny luksus, ponieważ jest to praktycznie niemożliwe. Coraz więcej urządzeń ma oczy i uszy, które mogą być wykorzystane nie tylko po to, by wykraść nam pieniądze, ale także informacje o nas, które następnie będzie można spieniężyć.
Ryzyko stania się ofiarą ataków socjotechnicznych rośnie o 60 proc., jeśli nasze dane zostały wcześniej wykradzione i skojarzone. Im bardziej spersonalizowane wiadomości otrzymujemy, tym większa szansa, że klikniemy zainfekowany link. A takie ataki następują obecnie co kilka sekund.
Co więc powinniśmy zrobić, gdy okaże się, że nasze dane zostały wykradzione?
Wówczas pozostanie nam przestać korzystać z adresu mailowego, z którego dane zostały wykradzione, zmiana loginów i haseł. To pomoże uniknąć ataku botów kojarzących hasła z loginami. a które są przygrywką do prawdziwych ataków na nasze konta.
Pandemia przyspieszyła wzrost zagrożenia?
Zdecydowanie. Zostaliśmy przecież siłą rzeczy przekonani do wykonywania i załatwiania coraz większej liczby spraw za pośrednictwem internetu. Przykładem mogą być choćby zakupy, które coraz częściej robimy przez internet, a co wykorzystują hakerzy, zwłaszcza w okresach naszych wzmożonych działań, np. przed świętami. Przecież jeśli czekamy na pięć paczek, to znacznie łatwiej jest nam kliknąć link w sprawie dostawy kolejnej, tym razem nieistniejącej.
Kto jest krok przed kim – hakerzy czy twórcy zabezpieczeń?
Chciałabym powiedzieć, że to ci dobrzy są krok przed, ale nie do końca tak jest. Na końcu tego łańcucha, co już podkreślałam, jesteśmy my – użytkownicy internetu i nasze myślenie i czujność. Jeśli nabędziemy kultury cyfrowej będzie nam łatwiej, jednak z poziomu użytkownika nie jesteśmy w stanie wiele zrobić w sprawie zabezpieczeń. Tu pole do działania mają firmy – big-techy. Nasze dane mogą przecież wyciekać nie z naszych komputerów czy telefonów ale z serwerów firm, z których usług skorzystaliśmy lub instytucji państwowych.
Metody hakerów będą ewoluowały?
Cały czas ewoluują. Kiedyś otrzymywaliśmy jedynie zainfekowane maile, obecnie otrzymujemy sfałszowane wiadomości SMS czy push. Hakerzy nie wykorzystują już jak dawniej wyłącznie zainfekowane pliki PDF, które przy obecnym poziomie zabezpieczeń zatrzymałby program antywirusowy, ale wysyłają nam pliki niezainfekowane, teoretycznie niewzbudzające podejrzeń, w których dopiero mogą mieścić się fałszywe linki. Poza tym dziś można przejąć nie tylko komputer, a urządzenia z obszaru internetu rzeczy. Dane ze Stanów Zjednoczonych pokazują, że system smart home może być atakowany nawet 12 tys. razy w ciągu tygodnia.
Z drugiej strony metoda ransomware, w oparciu o którą hakerzy blokują firmom dostęp do zgromadzonych przez nie danych ewoluowała do ransomware 2.0. Zgodnie z nią, w sytuacji istnienia RODO hakerzy po szantażują firmy ujawnieniem samego faktu, że dane zostały wykradzione, co może sprowadzić kary związane z niepełnym przestrzeganiem rozporządzenia RODO.
A jak Polacy wypadają pod względem wspomnianej już kultury cyfrowej?
Jesteśmy na tym polu bardzo rozwinięci. Lubimy i często korzystamy z technologii. Z przeprowadzonych przeze mnie badań wynika, że 57 proc. Polaków rozważa zakupu jakiegokolwiek przedmiotu z obszaru internetu rzeczy. Niestety nie idzie to w parze z edukacją. Z roku na rok rośnie liczba osób, które deklarują, że padły ofiarami cyberataków. W 2021 r. było to już 40 proc., a dla porównania w Finlandii 15 proc. Tutaj jest jedno z głównych pól do działania.
