Damskie dłonie na klawiaturze komputera. Na ekranie panel logowania

Żyrafy wchodzą do szafy, czyli o sile hasła

Dostajesz w pracy wiadomość na komunikatorze od swojego 13-letniego syna. Prosi Cię o przesłanie kodu BLIK – właśnie znalazł w sklepie wymarzone buty w promocji, ale została tylko jedna para. Jakiś czas temu założyłaś mu konto bankowe dla dziecka, na które regularnie przelewasz kieszonkowe. Niestety nie wystarczy mu oszczędności – zabrakło mu 100 złotych, a okazja jest naprawdę dobra. Syn chce więc wypłacić brakującą kwotę w bankomacie, żeby móc zapłacić za odłożone w sklepie buty. Obiecuje, że odda jak najszybciej. W pracy „masz młyn”, więc nie zastanawiając się wiele, godzisz się na pożyczkę – przesyłasz kod, potwierdzasz operację w aplikacji, dostajesz powiadomienie o wypłacie pieniędzy z bankomatu. Wracasz do domu i prosisz o pokazanie nowych butów – syn nic nie wie o żadnym zakupie, zarzeka się, że nie prosił Cię o żadne pieniądze. Jak mogło do tego dojść?

 

Jak dajemy się złowić

Właśnie oboje padliście ofiarą phishingu – internetowego oszustwa polegającego na podszywaniu się pod znane instytucje, urzędy a nawet bliskie nam osoby w celu wyłudzenia pieniędzy lub danych osobowych. Prześledźmy ten konkretny przypadek krok po kroku.

1. Twój syn – nazwijmy go Antkiem – korzysta z Facebooka. Lubi też zabijać nudę, grając w gry online. Przeglądając sieć, trafił na reklamę nowej, darmowej gry. Przekonujące zdjęcia i obietnice ciekawej rozgrywki skłoniły go do założenia profilu w grze. Na stronie  gry jest informacja, że można dzielić się na bieżąco postępami z rozgrywki ze znajomymi na Facebooku, dlatego trzeba zarejestrować się, logując się do swojego panelu FB.
2. W nowo otwartym oknie Antek, widząc dobrze sobie znany panel logowania, podaje login i hasło do swojego facebookowego profilu. Od teraz ma dostęp do gry na swoim smartfonie.
3. Syn nie zauważył istotnej rzeczy – panel logowania był fałszywy. Mimo że wyglądał identycznie jak strona Facebooka, tak naprawdę został skopiowany przez hakera i umieszczony na innym serwerze. Gdyby Antek przed podaniem swoich danych do logowania sprawdził adres strony i certyfikat SSL, wiedziałby, że to próba oszustwa. Niestety tego nie zrobił.
4. Wszystkie dane podane przez Antka zamiast do Facebooka trafiły do przestępcy. Dzięki temu haker uzyskał dostęp do jego profilu na Facebooku, w tym do wysyłanych i otrzymywanych przez niego wiadomości.
5. Przestępca zalogował się na konto Antka. Co prawda syn otrzymał mailowe powiadomienie od Facebooka o nowym logowaniu na nieznanym urządzeniu, ale je zignorował – dostawał takie maile już kilka razy, na przykład logując się na swoje konto w szkole.
6. Haker dokładnie prześledził wszystkie konwersacje Antka – z kim i kiedy najczęściej pisze, jakiego języka używa. Tak dowiedział się o tym, że korzysta z e-bankowości i przelewasz mu w ten sposób pieniądze.
7. Teraz już pewnie się domyślasz – wiadomość, którą przeczytałaś, dostałaś od hakera, podszywającego się pod Twojego syna. Wysłany przez Ciebie kod BLIK trafił do przestępcy, który wyciągnął pieniądze z bankomatu na drugim końcu Polski.

 

Bezpieczeństwo to nie zabawa

Niestety nie możemy cofnąć czasu. Teraz należy jak najszybciej zgłosić sprawę na policję i do banku, a także zmienić wszystkie swoje hasła. Tego wszystkiego można byłoby jednak uniknąć, jeśli przestrzegalibyśmy zasad e-bezpieczeństwa. Phishing to coraz powszechniejsze oszustwo – dotyczy już nie tylko dorosłych, ale także dzieci. W dużej mierze to od nas zależy, czy padniemy jego ofiarą.

Pamiętajmy, że podstawowym zabezpieczeniem naszych kont jest hasło. Często bagatelizujemy tę kwestię, ustalając proste do zapamiętania hasła. Jeśli w dodatku do wszystkich kont ustalamy takie samo hasło – to prawie tak, jakbyśmy zostawiali otwarte drzwi do domu.

Pamiętaj!
1. Hasło nie może być proste, schematyczne (np. haslo1234, password, Alicja2002 itp.). Unikaj swojego imienia, daty urodzenia czy innych prostych do powiązania z Tobą danych.
2. Korzystaj z dużych i małych liter, cyfr i znaków specjalnych. Im dłuższe i bardziej skomplikowane hasło, tym jest trudniejsze do złamania. Za bezpieczne uważa się hasła złożone z co najmniej 8 znaków (różnego rodzaju).
3. Nie stosuj tego samego hasła do kilku różnych kont. Jeśli haker włamie się na pocztę, na podstawie przychodzących wiadomości będzie w stanie stwierdzić, z jakich serwisów korzystasz. Znając twoje hasło, złamie dostęp do wszystkich twoich kont.
4. Nie zapisuj nigdzie hasła ani kodów PIN! Notatki w telefonie, pliki w ukrytych folderach, karteczki w portfelu, plecaku czy za etui telefonu – to wszystko może się dostać w niepowołane ręce. Najlepsze miejsce na przechowywanie haseł to Twoja głowa.
5. Jeśli obawiasz się, że mając kilka-kilkanaście trudnych haseł, nie będziesz w stanie ich zapamiętać, możesz ułatwić sobie sprawę. Jedną z polecanych metod jest szyfrowanie prostych skojarzeń. Przykładowo, jeśli masz na imię Wiktoria i urodziłaś się w styczniu, hasło „WiktoriaStyczen” będzie najgorszym wyjściem. Wystarczy jednak zamienić kilka liter z hasła na cyfry i znaki specjalne, które będą przypominały Ci te litery. „Vv!kt0ri@$tycz3n” jest już o wiele trudniejsze do odgadnięcia.

 

Zasada ograniczonego zaufania

Jednak wystarczająco silne hasło to nie wszystko. Zachowaj ostrożność przy logowaniu. Za każdym razem, kiedy masz podać login i hasło, sprawdź czy strona, która się wyświetla, nie jest „podrobiona”, tak jak w opisywanym przypadku Antka. Najprościej sprawdzić to, weryfikując adres strony na pasku adresu (mogą tam być celowe literówki mające wprowadzić nas w błąd lub adres kompletnie nie będzie się zgadzał z zawartością strony). Sprawdź też certyfikat SSL, klikając na kłódkę przy adresie. Certyfikat świadczy o bezpiecznym połączeniu, jednak musi być on wystawiony na portal, z którego faktycznie chcesz skorzystać.

Jeśli dany serwis oferuje logowanie tradycyjne lub z wykorzystaniem danych np. z Facebooka czy Google, a nie masz pewności, jak zweryfikować czy panel logowania nie jest fałszywy, wybierz logowanie tradycyjne – z wykorzystaniem wyżej opisanych zasad bezpieczeństwa. W przypadku podania danych na fałszywym panelu – przekazujemy przestępcom skarbnicę wiedzy na swój temat (pamiętajmy, ile danych na nasz temat może posiadać np. Google – maile, adresy, zdjęcia itp.).

Nigdy nie zostawiaj otwartej sesji, jeśli odchodzisz od urządzenia. Ktokolwiek, kto podejdzie do komputera, będzie mógł przejąć dostęp do Twojego konta. Konsekwencje mogą być różne – od przejęcia postępów w grze, jak w poniższym filmie, po utratę oszczędności życia.

 

Bądźmy świadomi

Co jeśli otrzymujesz wiadomość od bliskiej lub trochę dalszej Ci osoby, która prosi o pomoc finansową? Nie podejmuj pochopnych decyzji jedynie na podstawie SMS-a czy wiadomości na komunikatorze. Pamiętaj, że konto nadawcy może być przejęte. Zanim zdecydujesz się na przelew czy przesłanie kodu BLIK, upewnij się, że tak się nie stało. Weryfikacja przez zadawanie „podchwytliwych” pytań nie zawsze będzie dobrym wyjściem. Haker, robiąc research na przejętym koncie, będzie w stanie odpowiedzieć np. na pytanie o imię psa czy datę urodzenia. Najlepiej po prostu zadzwonić do danej osoby i zapytać, czy faktycznie w danym momencie potrzebuje pomocy.

Więcej o zasadach bezpieczeństwa w sieci i o tym, jak nauczyć siebie oraz swoich podopiecznych chronić się przed phishingiem, dowiesz się na naszych bezpłatnych webinarach Bezpieczeństwo danych i ochrona przed phishingiem 24 stycznia i 9 lutego o godz. 16:00. W nauce świadomego korzystania z sieci pomoże także nasza nowa gra symulacyjna Jak będzie w internecie?. Zaprezentujemy to narzędzie edukacyjne na warsztatach 22 lutego i 1 marca o godz. 15:00. Na webinary i na warsztaty możesz zapisać się tutaj. Zapraszamy – liczba miejsc ograniczona!