Twoje dane osobowe ktoś może ukraść:
- Tobie (z komputera, telefonu, w czasie przesyłania),
- Komóś kto ma twoje dane (serwis internetowy)
Dane można ukraść:
- przy pomocy technologii (np. złośliwe oprogramowanie) lub
- przez odpowiednie 'zagadanie’ (socjotechnika, napastnik może być naprawdę wiarygodny!) czy po prostu błąd ludzki.
Może ci się wydawać, że większość danych „ucieka” przez błędy technologiczne, jednak:
Tylko 17% wycieków danych jest spowodowana obejściem zabezpieczeń technologicznych!
Większość 55% – 59% wynika z zwykłych ludzkich błędów – np. błędna konfiguracja, literówki, niezrozumienie/niedostosowanie się do procedur czy podatność na ataki socjotechniczne!
Kto atakuje?
Wiele ataków realizowana jest w sposób automatyczny!
Wiadomo, np. że stara wersja danego program, systemu, urządzenia posiada błąd.
Gdy jest błąd – być może można się włamać.
Dlatego istnieje wiele „złych systemów” które po prostu próbują zaatakować.
Co innego gdy jesteś na celowniku!
Gdy atakujący (grupa) jest doświadczony i zdeterminowany to znacznie trudniej uniknąć ataku!
Wszystko kwestia ceny i potencjalnych zysków.
Nawet szef Amazonu – Jeff Bezos uległ atakowi. A ty? Jesteś doświadczony tak jak szef jednej z większych firm technologicznych?
PS: Amazon to nie tylko sklep czy klindel! Bez amazona i jego serwerów wiele stron które odwiedzasz po prostu by nie działała!
Elon Musk, Donald Trump, … można by wymieniać.
Nie można być w pełni bezpiecznym, można jedynie zmniejszać ryzyko!
Według raportu firmy Thales o zagrożeniach cybernetycznych 60% dochodu cyber-przestępcy otrzymują z nielegalnego handlu, 30% z kradzieży własności intelektualnej i tajemnic handlowych, a tylko 0.07% z ransomware (programów które szyfrują twoje dane i żądają okupu). Szacuje się że przychody ich działalności są 1,5 niż handel podróbkami czy 2.8 razy większy niż handel narkotykami.
Zatem rynek jest spory. Są pieniądze – są chętni!
Konsekwencje
Kradzież twoich danych
Kredyt, chwilówka na ciebie
Zakupy na twoje konto
Wiele osób to dziwi, ale bezpieczniej jest płacić kartą niż np. przelewem, ponieważ płatności kartą są 'ubezpieczone’.
Konta na których masz niewiele pieniędzy nadal są bardzo ważne.
Takie konto może zostać użyte do założenia firmy, wielu kwestii urzędniczych (login.gov.pl – profil zaufany), itd.
Konsekwencje
Ataki socjotechniczne mogą mieć poważne konsekwencje.
Wyobraź sobie, że wysyłasz dane 10 000 pracowników firmy, wszystkie możliwe ich dane na prośbę prezesa, tylko, że to nie był prezes. Może ci się wydawać, kto jest tak głupi, jednak tego typu ataki socjotechniczne są odpowiednio przygotowane, tak, że wszystko wygląda realnie! Przykład: metoda „na prezesa” w Segate, Snapchat.
RODO, GDPR i kary!
W zależności od tego co robisz, kim jesteś
konsekwencje mogą być różne!
Jak uniknąć?
Trudne i unikalne hasła i sprawdzaj gdzie wpisujesz!
Najważniejsza zasada – używaj różnych i trudnych haseł do różnych serwisów, używaj menadżera haseł.
Menadżer haseł nie tylko zapamięta hasła, ale gdy 'nie działa’ – może ci zasugerować, że coś jest nie tak.
Np. próbujesz wprowadzić hasło na www.icioud.com zamiast www.icloud.com.
Jeśli uważasz, że to „pitu pitu”, tak się mówi, że masz jedno hasło i jest ok.
Na serwisy internetowe nie masz dużego wpływu.
Musisz wiedzieć że cały czas dochodzi do włamań i tzw. wycieku danych!
Twoje dane prawdopodobnie już gdzieś wyciekły.
Możesz sprawdzić gdzi twój adres email wyciekł.
Moje dane, dosłownie moje dane do logowania zostały przechwycone m.in przez widoczne wyżej usługi.
Według (haveibeenpwned.com).
Warto wiedzieć, że z pewnością lista jest znacznie dłuższa!
PS: Jeśli twój email nie będzie w bazie emaili które wyciekły – to nie znaczy, że nikt nie ma twoich danych!
Jeszcze lepiej włączyć dwu stopniową weryfikację!
Przy czym dodatkowa weryfikacja przez aplikację jest bezpieczniejsza niż przez SMS!
Dlaczego?
Nigdy nie wiadomo kto wysłał SMSa nawet gdy telefon pokazuje nowego SMSa pod innymi z banku itd.
Ale jak ktoś może odczytać twój kod?
Sposobów jest wiele.
Zmieniałeś kiedyś kartę SIM (np. na kartę nanoSIM, by pasowała do telefonu)?
Idziesz do operatora, ktoś tam „kilka coś w systemie”, po pewnym momencie twoja nowa karta zaczyna działać, a stara przestaje!
Tak samo może zrobić przestępca, wystarczy że odpowiednio zagada (nazywamy to socjotechniką).
Dlatego nieraz atakującemu łatwiej jest zagadać pracownika operatora niż przeprowadzać atak technologiczny!
Tylko wyłączył mu się telefon. Stracił niemal 400 tys. złotych
https://www.biznesinfo.pl/telefon-040920-sw-pieniadze
Gdy panu Zbigniewowi, rolnikowi z okolic Świebodzina wyłączył się w trakcie rozmowy telefon nie przypuszczał, że kosztować go to będzie prawie 400 tys. zł. Okazało się, że rolnik padł ofiarą tzw. SIM Swap.
PS: jeśli interesuje się socjotechnika, zobacz np. książkę słynnego Kevina Mitnicka.
Jeszcze lepiej było by użyć klucza: U2F (ale z tego pewnie nie skorzystasz)
Bezpieczeństwo twojego komputera / telefonu
Ktoś może ukraść dane z twojego komputera / telefonu!
By uniknąć kradzieży danych instaluj/używaj minimalną ilość legalnych, zaufanych aplikacji i stale je aktualizuj.
W przypadku np. androida zwracaj uwagę na uprawnienia.
- Aktualizacje?
Ze względu na poprawki bezpieczeństwa!
Błędy w oprogramowaniu wykrywane sią nieustannie! - Legalne?
Oprogramowanie nielegalne, z crackami itd mogą zawierać „dodatki” dodane przez hakera które np. pozwalają przejąć kontrolę nad twoim komputerem. - Uprawnienia:
Czy zastanawiałeś się kiedyś po co np. aplikacji latarka uprawnienia do dostępu do twoich kontaktów w telefonie, danych na karcie itd – teraz już wiesz – kradną!
- Zaufane – mniejsze ryzyko, że np. aplikacja będzie wykradała dane.
Dużym firmom nieraz nie opłaca się ryzykować.
A jeśli używają twoich danych to piszą: „wszystko co wgrasz – to nasze”.
Uwaga np. w przypadku androida – miliony pobrań aplikacji nie oznaczają, że jest bezpieczna.
Co chwilę się słyszę, że google usunęło wiele znanych aplikacji ze sklepu ponieważ okazały się niebezpieczne – np. kradły dane/dodawały reklamy.
Telefony iPhone zdają się być bezpieczniejsze!
Wynika to z innej polityki umieszczania aplikacji w sklepie, inaczej zaprojektowanego systemu, polityki aktualizacji.
Wiele telefonów z androidem nie dostaje aktualizacji (zwłaszcza gdy masz starsze urządzenie).
Chociaż na zerodium.com (firma skupująca „sposoby jak się włamać”) android ma wyższa stawkę z androida niz iOS (iPhone)!
Ataki phishingowe!
To bardzo popularna metoda ataku.
Atakujący podrabia znaną ci stronę np. banku, allegro, płatności, natępnie za pomocą socjotechniki (manipulacji) przekonuje cię do wprowadzenia danych (np. danych do logowania do banku oraz kodów SMS)!
Dlatego możesz dostać wiadomość np.
- wystąpił problem z twoim zamówieniem (proszę weryfikuj)
- nie można dostarczyć paczki (trzeba dopłacić),
- …
Banalne i niezwykle skuteczne!
Kto do kogo?
Numer z ktorego został wysłany SMS – można podrobić.
Telefon z którego ktoś dzwonił – można podrobić
Atakujący dzwonią do ofiar podszywając się pod numer telefonu infolinii banku i proszą o kod SMS, najczęściej w bardzo nachalny sposób. Co ważne, numer infolinii nie jest pod kontrolą przestępców, dzwoniąc pod niego połączymy się z bankiem. Niestety telefonia GSM umożliwia podszycie się pod dowolny numer telefonu (tzw. spoofing). Przestępcy wykorzystują do tego celu wyspecjalizowane serwisy.O technice tej jako pierwszy powiadomił nas Idea Bank, ale z informacji medialnych wynika, że inne banki też są tak atakowane.
https://www.facebook.com/CERT.Polska/posts/2545435602143481
Adres email można podrobić!
Zazwyczaj nawet nie trzeba „podrabiać” – wystarczy że przestępca jest przekonujący.
Jak się bronić?
To ty skontaktuj się (ale nie na np. numer który podała osoba dzwoniąca!!).
Zweryfikuj prośbę w inny sposób.
Kolega prosi o 50 pln na FB? – zadzwoń!
Jak się bronić przed phishingiem?
Czytaj wiadomości i sprawdzaj czy wszystko się zgadza.
Sprawdzaj dokąd prowadzą linki i czy prowadzą w dobre miejsce (nazwa – domena)!
Dla praktyki wejdź na
https://phishingquiz.withgoogle.com.
Znajdziesz tam krótki quiz (8 pytań).
W których musisz ocenić czy wiadomość jest prawdziwa, czy to atak!
Możesz jeszcze zerknąć „mniej dopracowany quiz”: https://www.opendns.com/phishing-quiz/
Podejrzana wiadomość?
Zamiast klikać w linki w podejrzanym emailu / SMSie zdecydowanie lepiej jest wejść na daną stronę i zweryfikować stan lub skontaktować się z daną firmą (ale nie z danych z emaila!).
Przykład
Dostałeś informację o problemie z przesyłką.
Zamiast klikać w link – sprawdź stan w aplikacji inpostu, przez ich bota na FB, zadzwoń na na numer podany na ich stronie.
Dodać print screen przykładowego wyłudzenia!
Przejrzyj aktualne metody oszustwa publikowane przez CERT
https://www.facebook.com/CERT.Polska
Ktoś próbował cię oszukać?
Warto to zgłosić na: https://incydent.cert.pl/
Zablokuj niebezpieczne strony
Wspomniany CERT Polska, publikuje listy stron wykorzystywanych do oszustw!
Najlepiej zablokować na poziomie tzw 'pliku hosts’ (dla całego komputera), lub w dodatku do przeglądarki np. uBlock origin.
W zależności od potrzeb, wybrane strony można zablokować na różne sposoby: dodatki do przeglądarki, plik „hosts”, konfiguracja proxy, odpowiedni DNS, … Gotowe listy z reklamami/złośliwym oprogramowaniem/prono/..
Nie musisz – nie udostępniaj
Twoje dane krążą w sieci. Jeśli nie musisz – nie udostępniaj swoich danych.
Dla przykładu rejestrując firmę w CEIDG nie musisz upubliczniać swoich danych.
Niektóre firmy monitorują rejestr.
Gdy zauważą nową firmę to wysyłają wiadomość że nie zapłaciłeś o .. zgodnie z przepisami.
Wiadomości sugerują, że musisz zapłacić.
Oczywiście informacje kontaktowe mogą być przydatne dla innych.
Dlatego nieraz lepiej je upublicznić licząc się również z potencjonalnymi negatywnymi konsekwencjami.
Ograniczone udostępnianie
Czasem musisz udostępnić dane – np. skan/zdjęcie dokumentu.
Dobrą praktyką jest dodanie znaku wodnego np.
"Skan na potrzeby weryfikacji tożsamości dla X dnia Y"
Tekst można dodać do zdjęcia nawet w aplikacji Paint! 🙂
Nie rób głupich rzeczy!
By nie robić głupich rzeczy, trzeba jednak rozumieć co do czego może być wykorzystane!
Karty kredytowe
Nie robimy zdjęcia, nie udostępniamy!
Kiedyś była akcja, chyba banku by zrobić zdjęcie z kartą – gdzie jej używamy.
Problem w tym, że na karcie mamy wszystkie informacje niezbędne do płatności!
Z przodu mamy dane, z tyłu kod CVC2/CVV2. Np. sam kod cvv2/cvc2 wiele nie da, ale jeśli karta jest wypukła to i tak ze zdjęcia można odczytać 'co jest z drugiej strony’.
Rozmiar karty jest standardowy – dlatego czasem jest używany by dobrać wielkość soczewek.
Jesli musisz użyj np. karty lojalnościowej, ocenzuruj 🙂 Niektóre programy dokonują pomiaru po stronie przeglądarki (a twoje dane nie są wysyłane), ale czy na pewno? Czy zawsze?
Sklep internetowy zachęca klienta, aby ustawił kartę płatniczą przed kamerką
Telefony
Przestępcy dzwonią w sprawie rzekomych podejrzanych transakcji na koncie lub karcie i proszą o podanie danych oraz zainstalowanie aplikacji QuickSupport, która umożliwia zdalne sterowanie urządzeniem użytkownika.
Bank prosi właścicieli kont o zachowanie czujności, a także aby:
- nie pobierali żadnej podejrzanej aplikacji
- nie udostępniali nikomu swoich poufnych danych (PESEL, numer karty płatniczej, kod CVV)
- nie podawali nikomu swoich danych logowania do systemu
- logowali się do konta wyłącznie na stronie banku
Sprawdzaj numer dzwoniącego!
Sprawdź czy numer z którego dzowni odbiorca nalezy np. do banku, twojego operatora,…
ALE
Taki numer można podrobić!
W Polsce kiedyś (2009+) było głośno o serwisie Wykrecnumer.pl (Dialanumber.pl), który pozwalał dzwonić z dowolnego numeru – tzn u odbiorcy pokazywał się taki numer jaki się wpisało. Oczywiście serwis został zamknięty.
Techniczne możliwości „podmiany ID dzwoniącego” (ang Caller ID spoofing) – istniały od zawsze i raczej nie znikną.
One effect of the widespread availability of Caller ID spoofing is that AARP published in 2019 „you can no longer trust call ID.”
https://en.wikipedia.org/wiki/Caller_ID_spoofing
Czyli numer dzwoniącego tak często się podrabia, że nie można mu już ufać!
Dla jasności „Caller ID spoofing” – oszukuje tylko numer który się wyświetla, to nie znaczy, że ktoś otrzyma np. SMSy wysyłane do ciebie. Gdyby ktoś chciał otrzymać np. twoje SMSy musiałby zagadać z twoim operatorem telefonicznym by aktywował inną kartę z twoim numerem (tzw. SIM Swap).
Osoba dzwoniąca z banku musi wiedzieć czy ty to ty.
Często słyszysz muszę pana/panią zweryfikować.
Jak już wiesz nie ma dobrego sposob by sprawdzić, czy faktycznie dzwoni do nas uprawnina osoba.
Dlatego najlepiej wejść na stronę główną np. banku, zalogować się i tam sprawdzić.
Ewentualnie samemu zadzwonić – również tylko pod numer podany na oficjalnej stronie.
Nie wchoć na stronę z linka, ani na stronę podaną przez osobę dzwoniącą.
Ponieważ możesz odwiedzić podobną stronę (stronę oszusta), ale nie stronę np. twojego banku..
Kradzież przez przechwycenie
Ktoś może ukraść twoje dane w chwili gdy je przesyłasz.
Sam lata temu bawiłem się Wiresharkiem – programem pozwalającym podejrzeć jakie dane są wysyłane/pobierane w naszej sieci.
Jeśli komunikacja nie jest szyfrowana np. http / ftp – to hasła można naprawdę łatwo i szybko przechwycić.
Jeśli korzystasz z sieci otwartej WiFi w parku (bo musisz) – to korzystając z VPNa który szyfruje komunikację – napewno pomoże!
TAK, ALE!
Niezabezpieczone strony HTTP mogą być naprawdę niebezpieczne! Zobacz jak łatwo się zabezpieczyć!
Jeśli część stron z których korzystasz (prawie niespotykane) działa tylko przez http i dodatkowo korzystasz np. z otwartej sieci WiFi (bo musisz 🙂 to VPN może zwiększyć twoje bezpieczeństwo.
Być może nie potrzebujesz VPNa. W czym pomoże a w czym nie. Nie wszystko działa jak w reklamie! Poznasz polecane VPNy darmowe i płatne oraz inne substytuty.
Zabezpiecz router
Zobacz również
Z internetu mobilnego korzystasz w telefonie. Być może masz nawet router mobilny. Jeśli nie zablokujesz WAP billing – to może cię to dużo kosztować!
Okładka artykułu: od Kevin Horvat z Unsplash.