Ferie zimowe powoli dobiegają końca, ale na szczęście wraz z nimi nie kończą się nasze podpowiedzi dotyczące bezpiecznego korzystania z internetu. Co więcej: przed nami jeszcze wiele pigułek wiedzy, które ułożą się w „ABC cyberbezpieczeństwa 2.0” – zaktualizowaną wersję dobrze Wam znanego poradnika, dostępnego na OSE IT Szkole. Raz na dwa tygodnie w Aktualnościach publikujemy kolejne hasła, w których przybliżamy wirtualne zagrożenia oraz radzimy, jak dbać o cyfrową higienę i kształtować zdrowe nawyki w zakresie korzystania z sieci.

Czego dowiedzieliście się z nami do tej pory? Pisaliśmy o bankowości internetowej, kluczu U2F, ochronie urządzeń mobilnych i socjotechnice (odcinek 1) oraz BLIK-u, catfishingu, fałszywych panelach logowania, typosquattingu i liście ostrzeżeń przed niebezpiecznymi stronami, prowadzonej przez CERT Polska (odcinek 2). Pora na kolejną porcję wiedzy. Sprawdźcie, co przygotowaliśmy dla Was tym razem!

Credential stuffing

Mówiąc o zasadach bezpieczeństwa w internecie, powtarzaliśmy wielokrotnie o konieczności stosowania unikalnych haseł we wszystkich miejscach, gdzie zakładacie konta (media społecznościowe, serwisy internetowe, e-sklepy, poczta elektroniczna itd.). Przestrzegając tej zasady, ograniczycie ryzyko ataku typu credential stuffing, który polega na wykorzystaniu skradzionych w sieci danych logowania, przypisanych do konkretnych użytkowników.

Jak przestępcy wchodzą w posiadanie naszych loginów i haseł? Zwykle dzieje się to w związku z wyciekiem danych z popularnych portali i baz. W ręce oszustów trafiają wówczas adresy e-mail powiązane z hasłami. Mając takie dane, można podejmować zautomatyzowane próby logowania do wielu różnych portali – licząc, że wykradzione hasło będzie pasować więcej niż do jednego konta przypisanego do danego adresu. Credential stuffing to atak o dużej skali działania, ponieważ do jego przeprowadzenia najczęściej wykorzystywane są sieci zainfekowanych komputerów, czyli botnet.

Stosując to samo hasło do logowania do różnych kont, musicie liczyć się z tym, że Wasze dane nie są bezpieczne. Weźmy prosty przykład: jeśli przestępcy udało się wykraść hasło do poczty elektronicznej, będzie liczył na to, że tego samego zabezpieczenia używacie np. w serwisie zakupowym, gdzie podaliście dane swojej karty kredytowej. Jeśli ma rację – możecie stracić oszczędności, a nawet paść ofiarą kradzieży tożsamości.  

Pierwszą oznaką, że macie do czynienia z credential stuffingiem, mogą być powtarzające się powiadomienia (np. mailowe) o próbach logowania do Waszych kont na innych urządzeniach. Niepokój powinny wzbudzić też informacje o próbach logowania z nieznanych lokalizacji lub przeglądarek, z których nie korzystacie.

Aby chronić się przed atakiem credential stuffing, trzeba pamiętać o podstawowych zasadach dotyczących silnych haseł:

  • Używajcie fraz składających się z co najmniej 12 znaków. Unikajcie oczywistych kombinacji liter i cyfr, nie wykorzystujcie kojarzących się z Wami danych (np. daty urodzenia) ani potocznych zwrotów, nazwisk celebrytów itd.
  • Tworząc hasło, korzystajcie z długich, sprytnie zmienionych fraz, które będą łatwe do zapamiętania dla Was, a trudne do złamania dla przestępców (np. WlazłKostekNaMostekIStuka). Siłę hasła wzmogą też obcojęzyczne wtręty (np. DwaBialeLatajaceSophisticatedKroliki).
  • Sprawdźcie listę najpopularniejszych haseł opublikowaną przez CERT Polska i wystrzegajcie się podanych tam haseł jak ognia.
  • Stosujcie unikalne hasła do wszystkich kont, do których się logujecie.
  • Używajcie generatorów losowych haseł i menedżerów, dzięki którym nie będziecie musieli pamiętać wszystkich swoich zabezpieczeń.
  • Tam, gdzie to możliwe, korzystajcie z uwierzytelniania dwuskładnikowego, czyli dodatkowego kroku, który pomoże zweryfikować Waszą tożsamość podczas logowania.
  • Co jakiś czas sprawdzajcie, czy Wasze hasła nie wyciekły – np. na stronie bezpiecznedane.gov.pl. Gdy zorientujecie się, że Wasze dane zostały upublicznione, przede wszystkim użyjcie programu antywirusowego, żeby sprawdzić bezpieczeństwo swojego komputera. Następnie bezzwłocznie zmieńcie dotychczasowe hasła do logowania, w tym również hasła pokrewne, które łatwo zgadnąć.

Credential stuffing jest jednym z tzw. ataków słownikowych (ang. dictionary attacks), w których oszuści próbują łamać hasła użytkowników, korzystając z listy powszechnie używanych słów, fraz i haseł. O innych rodzajach ataku słownikowego napiszemy już niedługo!

Więcej o cechach dobrego hasła i unikaniu wycieków przeczytacie na stronie CERT Polska w zakładce Kompleksowo o hasłach, a także w naszych aktualnościach „Bezpieczni w sieci z OSE: silne hasła i uwierzytelnianie dwuskładnikowe”, „Bezpieczni w sieci z OSE: wyciek danych”.

Ekran blokady

Choć nie zawsze zdajecie sobie z tego sprawę, jednym z ważniejszych zabezpieczeń Waszych urządzeń (smartfonów, tabletów, laptopów) jest ekran blokady. Być może wcale go nie lubicie – wpisywanie hasła jest dla Was irytujące, często zapominacie PIN? Gwarantujemy: warto znosić tę „niewygodę”!

W zależności od używanego sprzętu macie do wyboru kilka zabezpieczeń. Aby odblokować ekran za każdym razem, gdy włączacie lub wybudzacie urządzenie, możecie: wpisać czterocyfrowy PIN, narysować wzór – połączyć w dowolnej kolejności kropki układające się w kwadrat 3x3, wpisać hasło, użyć czytnika linii papilarnych, mechanizmu rozpoznawania twarzy lub funkcji Smart Lock (zezwolić na odblokowywanie urządzenia tylko w określonych miejscach, np. w domu).

Wybierając rodzaj blokady ekranu, rozważcie kilka kwestii:

  • Jeśli zdecydujecie się na PIN, unikajcie oczywistych kombinacji cyfr (np. 1111, 1234) i ważnych dla Was liczb (np. tworzących datę urodzenia). Podobną ostrożność zachowajcie też w przypadku hasła: nie stawiajcie na popularne ciągi liter (np. qwerty, asdf, haslo, password) i związane z Wami frazy. Sprawdźcie listę najpopularniejszych haseł opublikowaną przez CERT Polska i jeśli znajdziecie na niej swój szyfr – zmieńcie go natychmiast!
  • Uważajcie również na wzór, który rysujecie na ekranie. Wiecie, że możliwych jest ok. 150 milionów możliwych kombinacji, a najczęściej wykorzystywanych jest tylko… 15 najpopularniejszych wzorów? Oznacza to, że złamanie tego zabezpieczenia zajmuje maksymalnie 90 sekund (WEC Communication, 2017). Wystrzegajcie się wzorów w kształcie liter i innych oczywistych połączeń kropek. Jeśli zdecydujecie się na wzór, uważajcie, czy nikt nie zagląda Wam przez ramię, gdy rysujecie swój szyfr. Dbajcie też o czystość ekranu – ślad po wprowadzonym rysunku będzie cenną podpowiedzią dla złodzieja, któremu uda się ukraść Wasz telefon.
  • Skuteczną, choć nie niezawodną metodą zabezpieczeń wydaje się biometria. Odcisk palca czy skan tęczówki oka są unikalne dla każdego człowieka i trudno je podrobić, chociaż – jak uczy doświadczenie – dla oszustów możliwe jest niemal wszystko.
  • Ciekawym sposobem zabezpieczania urządzenia jest Smart Lock (dla użytkowników urządzeń z systemem Android). Niepotrzebne są PIN-y i hasła: smartfon będzie odblokowany, gdy wyczuje – za pomocą modułu Bluetooth, GPS i przedniej kamery – że znajduje się w określonym miejscu lub wykryje twarz użytkownika.
  • Jeśli znajdziecie taką opcję w ustawieniach swojego sprzętu, ograniczcie liczbę możliwych prób odblokowywania ekranu.

Pamiętajcie: liczy się Wasze bezpieczeństwo, dlatego warto ograniczyć złodziejom i oszustom możliwość uzyskania dostępu do Waszych urządzeń. Postawcie na silne zabezpieczenie, nawet jeśli będzie to oznaczało wpisywanie długiego hasła lub rysowanie skomplikowanego wzoru na ekranie!

Dowiedzcie się więcej na temat silnych haseł – szczegółowe informacje znajdziecie na stronie CERT Polska w zakładce Kompleksowo o hasłach oraz w naszych aktualnościach „Bezpieczni w sieci z OSE: silne hasła i uwierzytelnianie dwuskładnikowe” i „Bezpieczni w sieci z OSE: bezpieczeństwo urządzeń mobilnych”

WEC Communication, (2017), Sprawdzamy, która metoda blokady ekranu jest najbezpieczniejsza, artykuł w serwisie media.wec24.pl [online, dostęp dn. 14.02.2024].

Podatność bezpieczeństwa

Tak jak każdy ma swoją piętę achillesową, tak i systemy informatyczne miewają słabe punkty. To podatności, czyli luki w oprogramowaniu, które pozwalają cyberprzestępcom na wykonanie działań, których nie przewidział twórca danego programu, aplikacji lub urządzenia. Wykorzystanie takiej luki może mieć poważne skutki, jak choćby wyciek danych czy uzyskanie nieautoryzowanego dostępu do systemu przez oszusta, prowadzące np. do ingerencji w kod oprogramowania (o najgroźniejszych podatnościach typu 0-day napiszemy w naszym cyklu już niebawem!).

Z podatnościami nierozłącznie wiąże się też exploit, czyli program, który wykorzystuje istniejące błędy w oprogramowaniu i umożliwia atakującemu przejęcie kontroli nad urządzeniem.

Aby zapobiegać skutkom luk bezpieczeństwa (czyli mitygować ich ryzyko), musicie przede wszystkim czuwać nad tym, by systemy operacyjne i programy na urządzeniach, z których korzystacie, były aktualne. Jeżeli dostaniecie powiadomienie o nowej wersji systemu – natychmiast wykonajcie aktualizację. Najnowsze wersje oprogramowania zwykle naprawiają błędy zauważone np. w trakcie testów penetracyjnych, a tym samym skuteczniej chronią Was przed atakami!

Warto wiedzieć, że istnieje międzynarodowy program wspierający ujawnianie luk bezpieczeństwa w oprogramowaniu komputerowym – CVE, czyli Common Vulnerabilities and Exposures. Każdy, kto znajdzie podatność bezpieczeństwa, może zgłosić ją do CNA (CVE Numbering Authority): organizacji, które nadają CVE, służące identyfikacji i katalogowaniu publicznie ujawnionych podatności. Od sierpnia 2023 r. taką funkcję pełni także CERT Polska – jako jedyna instytucja w kraju i jeden z 7 CERT-ów w Europie.

Wspomniana baza CVE jest bezpłatna i dostępna dla wszystkich. Pomaga organizacjom z całego świata w rozpoznawaniu nowych luk bezpieczeństwa i informowaniu o ich wystąpieniu. Można ją znaleźć na stronie cve.mitre.org.

Jak zgłosić podatność? Najpierw należy skontaktować się bezpośrednio z właścicielem podatnego systemu lub dostawcą oprogramowania. Jeśli to niemożliwe, lukę należy zgłosić do właściwego CSIRT-u (CSIRT MON lub CSIRT GOV, w zależności od zakresu odpowiedzialności) lub CERT Polska/CSIRT NASK za pomocą formularza.

Chcecie dowiedzieć się więcej o polityce zgłaszania podatności do CERT Polska i zasadach działania programu CVE? Zajrzyjcie na stronę cert.pl/cvd.

Separacja tożsamości

Jeśli separacja nie kojarzy Wam się zbyt dobrze, zachęcamy: spróbujcie separacji tożsamości. Na pewno poczujecie się bezpieczniej w internecie. O co chodzi?

Separacja tożsamości może mieć dwa wymiary: po pierwsze polega na rozłączeniu swoich służbowych i prywatnych aktywności online, a po drugie – na dzieleniu swojej wirtualnej przestrzeni, np. poprzez tworzenie osobnej skrzynki mailowej do spraw urzędowych czy kont w sklepach internetowych. Wszystko to ma na celu ochronę naszych danych osobowych. Co bardzo istotne, takie odrębne konta ograniczają szkody, które może wyrządzić potencjalny wyciek!

Zacznijmy od podstaw. Musicie wiedzieć, że korzystanie z prywatnego konta pocztowego do załatwiania spraw służbowych niesie za sobą wiele niebezpieczeństw. Równie ryzykowne jest używanie firmowego adresu np. do zakładana kont w mediach społecznościowych czy innych usługach niezwiązanych z pracą. Podejmując takie działania, narażacie się nie tylko na zachwianie równowagi między życiem zawodowym a prywatnym, ale też stajecie się łatwiejszym łupem dla internetowych oszustów. O czym warto pamiętać?

  • Skrzynki firmowe zazwyczaj chronione są silniej niż te prywatne (np. trudniej jest odzyskać zapomniane hasło do konta pocztowego używanego w pracy, lepiej działają też filtry antyspamowe). Jeśli wysyłacie służbowe maile z prywatnego adresu, narażacie się m.in. na wyciek poufnych danych.
  • Wasze służbowe maile wysłane z prywatnej skrzynki niekoniecznie będą szyfrowane, musicie zatem liczyć się z utartą prywatności przesyłanych informacji.
  • Służbowe e-maile bardzo często zawierają istotne dane, w tym załączniki czy informacje o kluczowych projektach. Warto, gdyby można było uzyskać do nich dostęp nawet w przypadku np. awarii. Wtedy niezbędna jest kopia zapasowa, do której jako użytkownicy prywatnych skrzynek nie zawsze macie dostęp.
  • Korzystając ze służbowej skrzynki w celach prywatnych, łatwiej możecie paść ofiarą ataku phishingowego (wystarczy, że dostaniecie łudząco podobny do prawdziwego e-mail z potwierdzeniem założenia konta, które stworzyliście przy użyciu firmowego adresu). Będziecie dostawać też więcej maili ze szkodliwymi odnośnikami i spamu.
  • Łączenie skrzynek może osłabić Waszą czujność – w zalewie wiadomości trudniej będzie Wam odróżnić prawdziwe od tych niebezpiecznych, wysłanych przez oszustów.
  • Warto pamiętać też o bardziej prozaicznych powodach – jeśli wysyłacie służbowe maile z prywatnego konta i odejdziecie z pracy, narazicie współpracowników na brak dostępu do kluczowych informacji.

W internecie wszyscy możemy paść ofiarą oszustów, dlatego dobrze jest zabezpieczać się zawczasu przed możliwymi atakami. Jednym ze sposobów, oprócz rozłączenia służbowej i prywatnej poczty elektronicznej, będzie też założenie kilku osobnych skrzynek przeznaczonych do różnych celów. Jeśli z jednego adresu będziecie wysyłać prywatne maile, z drugiego skorzystacie podczas rejestracji kont w różnych usługach, a trzeci przyda się do załatwiania spraw urzędowych, pokrzyżujecie złodziejom szyki. Nawet gdy zyskają dostęp do jednego z Waszych kont, nie przejmą jednocześnie pozostałych!

Taką separację warto przeprowadzić też w bankowości internetowej. Zachęcamy do założenia kilku rachunków, np. jednego oszczędnościowego, na którym będą znajdować się większe sumy, drugiego z pieniędzmi przeznaczonymi na bieżące wydatki i trzeciego, które połączycie np. z miesięcznymi subskrypcjami. W ten sposób możecie spać spokojniej – oszuści nie zyskają dostępu do Waszych oszczędności życia, gdy wejdą w posiadanie np. Waszej karty bankomatowej.

Szczegółowych informacji szukajcie w naszych aktualnościach: „Bezpieczni w sieci z OSE: poczta e-mail”, „Bezpieczni w sieci z OSE: ochrona wizerunku i tożsamości w sieci”, „Bezpieczni w sieci z OSE: BLIK i płatności internetowe”.  

Tryb incognito

Dobrze wiecie, że w internecie nic nie ginie, a każda nasza aktywność w sieci zostawia za sobą cyfrowy ślad. Strony, które przeglądamy, zbierają mnóstwo informacji na nasz temat, co w efekcie prowadzi np. do wyświetlania spersonalizowanych reklam. A co, gdybyśmy chcieli zadbać o swoją anonimowość online i chociaż częściowo się ukryć? Pomoże w tym tryb incognito (inaczej tryb prywatny), który możecie wybrać w swojej przeglądarce. Jak to działa?

Gdy korzystacie z trybu incognito, przeglądarka nie zapisuje na urządzeniu (komputerze, laptopie, smartfonie, tablecie) historii przeglądania, plików cookies ani danych, które podajecie w formularzach. Dzięki temu strony internetowe „nie wiedzą”, kim jesteście, dopóki się nie zalogujecie, czyli w tym momencie jesteście dla nich nowymi użytkownikami. Za każdym razem, gdy zamykacie kartę incognito, przeglądarka usuwa wszystkie dane stron i pliki cookies powiązane ze stronami, na których się pojawiliście. Wystarczy w ustawieniach wybrać „Nowe okno incognito” lub „Nowe okno prywatne” i gotowe!

Dlaczego warto korzystać z tego rozwiązania?

  • Wasza aktywność w sieci nie będzie widoczna w historii przeglądarki, a więc nie zobaczą jej inni użytkownicy urządzenia (może się to okazać przydatne np. podczas kupowania prezentu niespodzianki dla Waszego domownika).
  • W trybie incognito możecie bez obaw korzystać z loginów i haseł na różnych portalach – nie będą one przechowywane w pamięci urządzenia.
  • Wybierając tryb incognito, możecie bezpiecznie korzystać z cudzego urządzenia – nikt nie pozna Waszych danych dostępowych, a zatem ograniczycie ryzyko kradzieży tożsamości.
  • Jeśli się nie zalogujecie, strony nie będą mogły później wyświetlać Wam reklam na podstawie właśnie zakończonej sesji.
  • Gdy wyszukujecie w internecie jakąś frazę, otrzymujecie wyniki dopasowane do Waszych preferencji i pasujące do poprzednich wyszukiwań (co znaczy, że jeśli dwie osoby wpiszą w wyszukiwarkę to samo hasło, obie otrzymają różne wyniki). Włączając tryb prywatny, uzyskujecie wyniki, które nie uwzględniają danych na Wasz temat zebranych wcześniej przez przeglądarkę.
  • Tryb incognito pomaga w… oszczędzaniu! Algorytmy na stronach z ofertami biletów lotniczych, hoteli czy wycieczek zbierają dane o użytkownikach, by przedstawiać im najlepsze oferty, których ceny często są niestety zawyżone. Korzystając z trybu prywatnego, wiele ofert znajdziecie w niższych cenach.

Choć korzystanie z trybu incognito ma swoje niezaprzeczalne plusy, warto wiedzieć, że nie zapewnia pełnej anonimowości w internecie. Mimo że w przeglądarce nie zapisują się informacje związane z Waszą aktywnością w sieci, to wciąż są one dostępne dla dostawcy usług internetowych, osób zarządzających odwiedzanymi stronami internetowymi i firm wykorzystujących algorytmy śledzące na tych stronach (np. serwisów społecznościowych). Oznacza to, że prywatność przeglądania ogranicza się wyłącznie do sprzętu, z którego korzystacie.

Uwaga: w trybie incognito musicie pamiętać o podstawowych zasadach bezpiecznego korzystania z sieci. Choć pozostajecie „w ukryciu”, musicie dbać o siebie tak jak podczas swoich „jawnych” aktywności w internecie. Tryb prywatny nie jest niestety peleryną niewidką, dzięki której uchronicie się przed niebezpieczeństwami online! 

Więcej o bezpiecznym korzystaniu z przeglądarek internetowych i ochronie swojej tożsamości w sieci przeczytacie w naszych aktualnościach: „Bezpieczni w sieci z OSE: przeglądarki internetowe”, „Bezpieczni w sieci z OSE: kradzież danych i tożsamości”, „Bezpieczni w sieci z OSE: ochrona danych osobowych”

Inne aktualności

Zobacz więcej

Rusza „Szkoła międzypokoleniowa” – cyfrowy projekt łączący uczniów i seniorów

22.11.2024

Jak zdobyć jedną z 64 mobilnych pracowni komputerowych i inne nagrody? Wystarczy wziąć udział w konkursie dla szkół OSE, zaangażować uczniów i zorganizować warsztaty dla seniorów dotyczące bezpiecznego korzystania z internetu. Na Wasze zgłoszenia czekamy do 13 grudnia 2024!

Temat lekcji: niebezpieczne treści w sieci

14.11.2024

Choć internet jest niewyczerpanym źródłem wiedzy i rozrywki, bywa również miejscem, gdzie można natrafić na treści niebezpieczne i szkodliwe. Jak je rozpoznać, jak ich unikać i co robić, jeśli już na nie trafimy? Sprawdźcie w naszym praktycznym poradniku!

„FOMOwscy i JOMOwscy” w pułapce wielozadaniowości. Nowy odcinek komiksu!

14.11.2024

Multitasking towarzyszy nam od zawsze. To nic innego jak robienie kilku rzeczy jednocześnie. Ale czy na pewno wielozadaniowość pozwala nam działać sprawnie? Zobaczcie komiks i przekonajcie się, jak natłok zajęć wpłynął na efektywność Julki JOMOwskiej.

Kursy wybrane dla Ciebie

Wybierz poziom edukacyjny i sprawdź spersonalizowane rekomendacje kursów.