Całodobowa lawina powiadomień w telefonie, aplikacje, które wchodzą ze sobą w interakcje i wisienka na torcie - jeden adres mailowy “do wszystkiego” powodują, że w praktyce otwieramy telefon jak drzwi w domu, zapraszając wszystkich do wejścia i… szabrowania.
Telefony w mojej głowie robią “pik” - tak można sparafrazować jedną z piosenek zespołu Republika. “Pik” od wiadomości WhatsAppa, “pik” przy ustawionym powiadomieniu giełdowym, “pik” przy Bankierowym puszu i jeszcze “pik” mailowy - wszystko to wpada do jednego urządzenia, najczęściej telefonu, który wszędzie nosimy ze sobą. To wygodne, ale i niebezpieczne.
Aplikacja “nie wygada” hasła?
Czy łatwo przeskoczyć z zhakowanego maila do aplikacji bankowej, jeśli korzystamy z nich na jednym smartfonie? Rozsądnym byłoby zamknąć dosłownie wszystko, także to, co działa w tle na smartfonie, i następnie dopiero logować się na konto w banku. Na szczęście, nie jest to konieczne, gdyż w praktyce “przeskakiwanie” między aplikacjami nie jest proste, mimo iż są włączone w tym samym czasie.
- Dziś telefony już w swojej domyślnej konfiguracji nie pozwalają na swobodny dostęp do danych pomiędzy aplikacjami. Takie uprawnienia musimy sami nadać wybranej aplikacji - wyjaśnia Robert Grabowski, szef CERT Orange Polska. W praktyce oznacza to więc, że działający w tle np. Facebook nie ma dostępu do aplikacji bankowej czy wpisywanego hasła w przeglądarce.
Czy to oznacza, że nie istnieją złośliwe aplikacje na smartfony? - Wręcz przeciwnie - dodaje ekspert. - Najlepsza rada, jakiej można tu udzielić, to instalacja aplikacji tylko z zaufanych sklepów (jak AppStore i Google Play). Google Password Manager (na telefonach z Android), jak i Apple Keychain oferują bardzo wysoki poziom bezpieczeństwa i mogą służyć za managery haseł. Musimy jednak zawsze pamiętać o dobrym haśle do naszego głównego konta i dodatkowo zabezpieczać je drugim czynnikiem uwierzytelniającym (2FA) - podpowiada.
Adres mailowy jak domowy
Adres mailowy to kolejna furtka, którą hakerzy mogą się do nas dostać. W końcu wpada na nią nie tylko spam, ale i wiadomości do pseudoLewandowskiego, który zachęca do inwestycji w kryptowalutę czy niby-nasz-bank, podsuwając podrobioną stronę tylko po to, by wyłudzić nasze dane. Jest jeszcze jeden aspekt, o którym często zapominamy na co dzień, a który jest nam niezbędny, gdy wpadniemy w cybertarapaty.
- Dostęp do maila pozwala zazwyczaj resetować hasła do innych serwisów, a przeszukując je, można dotrzeć do wielu wrażliwych danych czy wykorzystać je do ataku na naszych znajomych - wskazuje ekspert.
Dlatego też dobrą praktyką jest posiadanie co najmniej dwóch kont mailowych. Jedno - arcyważne - tylko do spraw urzędowych, bankowych i firmowych. Drugie - dla newsletterów serwisów wędkarskich i śmieszków z Facebooka, słowem spraw ciekawych, od których niekoniecznie zależy zasobność naszego portfela.
W jaskrawszych przypadkach, jeśli ktoś nie może się oprzeć promocjom w necie i klika zbyt wiele reklam w mediach społecznościowych, lepiej rozważyć zakup osobnego telefonu, który skonfigurujemy z mailem nr 2, czyli tym mniej znaczącym.
Pytanie jest inne: czy takie rozwiązanie jest w stanie przekonać do siebie? Myślę, że to praktycznie nierealne i pozostanie jedynie w świecie utopijnych życzeń i niezrealizowanych dobrych rad - dodaje Robert Grabowski.
Wi-Fi niespodzianka, czyli nigdy nie wiadomo co się trafi
W ciągu dnia smartfon łączy się średnio z dwoma czy trzema różnymi sieciami Wi-Fi, którymi nie zarządzamy. To zawsze rodzi obawy, czy zostały zabezpieczone w odpowiedni sposób. Na urlopie lub wyjeździe dochodzą jeszcze te oferowane przez hotele i restauracje, rzadziej hotspoty.
W takich sytuacja podstawa to korzystanie ze swojego “osobistego” internetu, a co za tym idzie, udostępnianie go z telefonu na nasze inne urządzenia. - Komunikacja ze stroną np. naszego banku udostępniona przez szyfrowane połączenie (https) będzie zabezpieczona identycznie w hotelowej sieci Wi-Fi. Lecz to własne połączenie pozwoli nam uniknąć np. przypadkowej akceptacji certyfikatu serwera proxy czy udostępnienia własnych plików w sieci lokalnej - opisuje ekspert cyberbezpieczeństwa Orange.
Dodatkowym cybermurem jest fakt, że większość krytycznych serwisów (i tu ponownie warto powołać się na przykład banków) po kilku do niekiedy kilkunastu minutach bezczynności automatycznie nas wyloguje. Stanie się tak również, kiedy wrzucimy je w tło. - To, o czym należy pamiętać to fakt, że bezpieczeństwo naszego komputera lub telefonu jest tak mocne jak dostęp do niego. Wylogowanie nic nam nie da, jeśli można zalogować się ponownie - zaznacza Robert Grabowski.
Udowodnił to m.in. szef Kancelarii Prezesa Rady Ministrów za rządów Mateusza Morawieckiego Michał Dworczyk, którego korespondencja wypłynęła w serwisie Telegram. Co prawda na nasze konto raczej nie włamią się służby białoruskie czy rosyjskie (choć w obliczu prowadzonej obecnie wojny hybrydowej nie jest to zupełnie wykluczone, a jedynie mało prawdopodobne), ale może stać się pożywką dla hakerów, chcących uszczknąć część naszego majątku.
Messenger, slack i whatsapp, czyli zdanie tu, link tam
Komunikatory rozpychają się łokciami, zastępując m.in. rozmowy telefoniczne. Tu czat rodzinny, tam grupowy dla rodziców uczniów, między nimi ten “pracowy”, do którego dzięki bogom internetu nie ma dostępu dział HR, a tuż obok banda znajomych, z którymi planuje się wyjazd. Mnogość grup niestety powoduje, że nie zawsze jesteśmy w stanie dokładnie sprawdzić, kto znajduje się na liście dodanych. Czy dokładnie pamiętamy syna kuzynki ciotki Hanki? Czy może mamę Maćka, który dołączył do klasy dopiero w tym roku szkolnym?
Odpowiedź jest prosta: nie. Nawet administracja Trumpa, omawiając plany, a następnie wyniki ataku na grupę Huti w Jemenie dodała do grupy dziennikarza. Nawet na najwyższych szczeblach amerykańskiej administracji USA nie stosują się do kardynalnej zasady: ostrożność, a więc:
- nie klikamy w podejrzane linki wysyłane nawet przez znane nam osoby na zamkniętych społecznościach;
- nie odpowiadamy na niecodzienne prośby np. o blika;
- nie podajemy ważkich danych grupie znajomych (lepiej zrobić to w wiadomości prywatnej).
- Zarówno rodzinna grupa, jak i chaty indywidualne na Signalu czy WhatsAppie są w pełni szyfrowane. Zdjęcia także będą chronione w ten sam sposób - mówi Robert Grabowski. Dlatego też bezpieczniej będzie np. podzielić się zdjęciem, korzystając z komunikatora niż upubliczniać je w mediach społecznościowych.
Komu choć raz nie zdarzyło się napisać wiadomość nie w tym okienku czy otworzyć maila przesłanego chyba przez znajomego (ale bez 100-procentowej pewności), niech pierwszy rzuci smartfonem. Warto jednak trzymać się kilku zasad, które znacząco zmniejszą niebezpieczeństwo, na jakie możemy wystawić swój telefon. Oczywiście poza standardowym typu: hasło 12345.
Oto pięć nieśmiertelnych zachowań, które uratują nasz portfel od internetowych poławiaczy fortun według Roberta Grabowskiego, szefa CERT Orange Polska:
- 2FA - postawmy na drugi czynnik uwierzytelniania.
- Zachowajmy ostrożność w komunikacji.
- Istotna zasada „pauzy” – zanim zareagujesz, klikniesz, zatrzymaj się, zastanów się chwilę.
- Instalacje tylko z oficjalnych sklepów.
- Fact-checking, potwierdzanie źródeł, zasada ograniczonego zaufania.
Scamming out! 2.0
Bankier.pl i „Puls Biznesu” po raz drugi zainicjowały akcję Scamming out! – kampanię informacyjno-edukacyjną, której celem jest wzrost zainteresowania społeczeństwa i czynników decyzyjnych rosnącą skalą zagrożenia ze strony cyberoszustów. Zapraszamy do śledzenia kampanii w obu serwisach oraz na stronie poświęconej naszej akcji: scammingout.pl
opr. aw
