Całodobowy natłok komunikatów w telefonie, aplikacje, które współdziałają ze sobą, a na koniec – jeden adres e-mail „do wszystkiego” sprawiają, że faktycznie otwieramy telefon jak bramę, zapraszając każdego do środka i… plądrowania.
Telefony w mojej głowie robią „pik” – tak można przeinaczyć jedną z piosenek grupy Republika. „Pik” od wiadomości WhatsApp, „pik” od skonfigurowanego alarmu giełdowego, „pik” od powiadomienia Bankiera, a także „pik” e-mailowy – to wszystko spływa do jednego urządzenia, najczęściej telefonu, który wszędzie ze sobą zabieramy. To komfortowe, ale i ryzykowne.
Czy aplikacja „zdradzi” hasła?
Czy da się z łatwością przejść ze zhakowanego maila do aplikacji bankowej, jeśli używamy ich na jednym smartfonie? Rozsądne byłoby pozamykać dosłownie wszystko, również to, co działa w tle na smartfonie, a następnie dopiero logować się do bankowości. Na szczęście, nie jest to potrzebne, bo w praktyce „przeskakiwanie” pomiędzy aplikacjami nie jest proste, nawet gdy są uruchomione w tym samym momencie.
– Obecnie telefony już w swojej początkowej konfiguracji nie pozwalają na niczym nieograniczony dostęp do danych pomiędzy aplikacjami. Takie uprawnienia musimy sami przyznać danej aplikacji – tłumaczy Robert Grabowski, szef CERT Orange Polska. W rzeczywistości oznacza to, że działający w tle np. Facebook nie ma dostępu do aplikacji bankowej ani wprowadzanego hasła w przeglądarce.
Czy to znaczy, że nie ma szkodliwych aplikacji na smartfony? – Wręcz przeciwnie – dodaje ekspert. – Najlepsza porada, jakiej można tu udzielić, to instalowanie aplikacji tylko z pewnych sklepów (jak AppStore i Google Play). Google Password Manager (na telefonach z Androidem), jak również Apple Keychain zapewniają bardzo wysoki poziom bezpieczeństwa i mogą funkcjonować jako menedżery haseł. Jednakże zawsze musimy pamiętać o silnym haśle do naszego głównego konta i dodatkowo chronić je drugim czynnikiem weryfikacyjnym (2FA) – sugeruje.
E-mail niczym dom
Adres e-mail to następne wejście, przez które hakerzy mogą się do nas dobrać. W końcu trafia na niego nie tylko spam, ale też wiadomości do fałszywego Lewandowskiego, który namawia do inwestycji w kryptowalutę lub rzekomo-nasz-bank, podstawiając sfałszowaną stronę po to, żeby wyłudzić nasze informacje. Jest jeszcze jeden element, o którym często zapominamy każdego dnia, a który jest nam niezbędny, kiedy popadniemy w cyberkłopoty.
– Dostęp do maila zazwyczaj pozwala zresetować hasła do innych serwisów, a analizując je, można dotrzeć do wielu poufnych danych lub wykorzystać je do ataku na naszych znajomych – wskazuje ekspert.
Dlatego też dobrą praktyką jest posiadanie przynajmniej dwóch kont e-mail. Jedno – kluczowe – tylko do spraw oficjalnych, bankowych i firmowych. Drugie – dla newsletterów serwisów wędkarskich i śmieszków z Facebooka, innymi słowy spraw interesujących, od których niekoniecznie zależy stan naszego portfela.
W bardziej drastycznych przypadkach, jeśli ktoś nie potrafi odmówić sobie okazji w sieci i klika za dużo reklam w mediach społecznościowych, lepiej pomyśleć o zakupie osobnego telefonu, który skonfigurujemy z mailem nr 2, czyli tym mniej istotnym.
Pytanie brzmi inaczej: czy takie wyjście jest w stanie kogoś przekonać? Uważam, że to w zasadzie nierealne i pozostanie tylko w świecie idealnych życzeń i niezrealizowanych dobrych rad – dodaje Robert Grabowski.
Niespodzianka Wi-Fi, czyli nigdy nie wiemy co nas spotka
W ciągu doby smartfon łączy się przeciętnie z dwiema lub trzema różnymi sieciami Wi-Fi, którymi nie zarządzamy. To zawsze budzi obawy, czy zostały zabezpieczone w odpowiedni sposób. Na wakacjach albo wyjeździe dochodzą do tego te proponowane przez hotele i restauracje, rzadziej hotspoty.
W takich sytuacja podstawą jest korzystanie ze swojego „prywatnego” internetu, czyli udostępnianie go z telefonu na nasze inne urządzenia. – Komunikacja ze stroną np. naszego banku udostępniona przez zaszyfrowane połączenie (https) będzie chroniona identycznie w hotelowej sieci Wi-Fi. Jednak to własne połączenie pozwoli nam uniknąć np. przypadkowej akceptacji certyfikatu serwera proxy lub udostępnienia własnych plików w sieci lokalnej – opisuje ekspert ds. cyberbezpieczeństwa Orange.
Dodatkową barierą jest fakt, że większość newralgicznych serwisów (i tutaj ponownie warto odwołać się do przykładu banków) po kilku do czasem kilkunastu minutach bezczynności automatycznie nas wyloguje. Stanie się tak również, gdy zminimalizujemy je. – To, o czym trzeba pamiętać, to fakt, że bezpieczeństwo naszego komputera lub telefonu jest tak silne jak dostęp do niego. Wylogowanie nic nie da, jeśli można zalogować się znowu – podkreśla Robert Grabowski.
Udowodnił to m.in. szef Kancelarii Prezesa Rady Ministrów za rządów Mateusza Morawieckiego Michał Dworczyk, którego korespondencja wyciekła w serwisie Telegram. Co prawda na nasze konto raczej nie włamią się służby białoruskie lub rosyjskie (choć w obliczu trwającej obecnie wojny hybrydowej nie jest to kompletnie wykluczone, a tylko mało prawdopodobne), ale może stać się pożywką dla hakerów, chcących zabrać część naszego majątku.
Messenger, Slack i WhatsApp, czyli komentarz tu, link tam
Komunikatory pchają się, zastępując m.in. rozmowy telefoniczne. Tutaj czat rodzinny, tam grupowy dla rodziców uczniów, pomiędzy nimi ten „służbowy”, do którego dzięki bogom internetu nie ma dostępu dział HR, a tuż obok paczka znajomych, z którymi planuje się wyjazd. Mnogość grup niestety sprawia, że nie zawsze jesteśmy w stanie dokładnie zweryfikować, kto znajduje się na liście dodanych. Czy dokładnie pamiętamy syna kuzynki ciotki Hanki? A może mamę Maćka, który dołączył do klasy dopiero w tym roku szkolnym?
Odpowiedź jest prosta: nie. Nawet administracja Trumpa, dyskutując plany, a potem rezultaty ataku na grupę Huti w Jemenie dołączyła do grupy dziennikarza. Nawet na najwyższych szczeblach amerykańskiej administracji USA nie przestrzegają kardynalnej zasady: ostrożność, a więc:
- nie klikamy w podejrzane linki wysyłane nawet przez znane nam osoby na zamkniętych społecznościach;
- nie odpowiadamy na nietypowe prośby np. o BLIK-a;
- nie udostępniamy ważnych informacji grupie znajomych (lepiej zrobić to w wiadomości prywatnej).
– Zarówno grupa rodzinna, jak i rozmowy indywidualne na Signalu lub WhatsAppie są w pełni szyfrowane. Zdjęcia również będą zabezpieczone w ten sam sposób – mówi Robert Grabowski. Dlatego też bezpieczniej będzie np. podzielić się zdjęciem, używając komunikatora niż publikować je w mediach społecznościowych.
Kto nigdy nie napisał wiadomości nie w tym oknie lub nie otworzył maila wysłanego niby przez znajomego (ale bez stuprocentowej pewności), niech pierwszy rzuci smartfonem. Warto jednak pamiętać o kilku zasadach, które w znacznym stopniu zmniejszą niebezpieczeństwo, na jakie możemy narazić swój telefon. Oczywiście pomijając standardowe typu: hasło 12345.
Oto pięć wiecznie żywych nawyków, które ocalą nasz portfel od internetowych łowców majątków według Roberta Grabowskiego, szefa CERT Orange Polska:
- 2FA – zdecydujmy się na drugi czynnik weryfikacyjny.
- Bądźmy ostrożni w komunikacji.
- Kluczowa reguła „pauzy” – zanim zareagujesz, klikniesz, zatrzymaj się, pomyśl chwilę.
- Instalacje tylko z oficjalnych sklepów.
- Weryfikacja faktów, sprawdzanie źródeł, zasada ograniczonego zaufania.
Scamming out! 2.0
Bankier.pl i „Puls Biznesu” po raz kolejny zapoczątkowały akcję Scamming out! – kampanię informacyjno-edukacyjną, której celem jest podniesienie świadomości społeczeństwa i osób podejmujących decyzje o rosnącej skali niebezpieczeństwa ze strony cyberprzestępców. Zapraszamy do obserwowania kampanii w obu serwisach oraz na stronie poświęconej naszej akcji: scammingout.pl
Bankier.pl
opr. aw
