Przed Wami już siódmy odcinek naszej serii, w której kontynuujemy uzupełnianie haseł z poradnika „ABC cyberbezpieczeństwa”. W kolejnych częściach cyklu przedstawiamy definicje haseł związanych z zagrożeniami w sieci, a także podpowiadamy, jak tych zagrożeń unikać. Dziś mamy dla Was pięć kolejnych haseł – dowiedzcie się, czym jest cheap fake, czy da się załatać lukę zero-day, na czym polega odporność cyfrowa, co ataki phishingowe mają wspólnego z… modlitwą oraz przekonajcie się, że płatności telefonem to bezpieczne rozwiązanie.

Sięgnijcie też koniecznie do poprzednich tekstów z cyklu „ABC cyberbezpieczeństwa 2.0”. Znajdziecie w nich następujące definicje:

  • odcinek 1: bankowość internetowa, klucz U2F, ochrona urządzeń mobilnych, socjotechnika;
  • odcinek 2: BLIK, catfishing, fałszywe panele logowania, typosquatting, lista ostrzeżeń przed niebezpiecznymi stronami;
  • odcinek 3: credential stuffing, ekran blokady, podatność bezpieczeństwa, separacja tożsamości, tryb incognito;
  • odcinek 4: cryptojacking, dialer, infostealer, man-in-the-middle, pętla dopaminowa;
  • odcinek 5: atak BLE Spam i bluejacking, kompetencje cyfrowe, szyfrowanie end-to-end, uwierzytelnianie wieloskładnikowe, wyciek danych;
  • odcinek 6: Alert RCB, cyberporwanie, e-uzależnienia, multitasking, problemowe używanie internetu (PUI).

Cheap fake

Powoli przyzwyczajamy się do tego, że w dzisiejszych czasach żadne zdjęcie czy nagranie nie może być już stuprocentowym dowodem, że coś istnieje lub się wydarzyło. Za pośrednictwem internetu oraz mediów społecznościowych docierają do nas setki informacji, które nie zawsze są prawdziwe i mogą zawierać zmanipulowane treści i materiały. Sprawy nie ułatwia nieustanny rozwój technologii – coraz trudniej rozpoznać, czy np. filmik z serwisu społecznościowego jest prawdziwy, czy nie. Dlatego warto krytycznie podchodzić do treści publikowanych w sieci, szczególnie tych, które wydają się nam nieprawdopodobne.

Tworzeniu sfałszowanych materiałów – a co za tym idzie: szerzeniu dezinformacji – sprzyjają osiągnięcia sztucznej inteligencji. Technikę obróbki obrazów z wykorzystaniem algorytmów nazywamy deepfake (od ang. deep learning – systemy głębokiego uczenia maszynowego i fake – fałsz). Oszuści, fabrykując obraz, korzystają z prawdziwych próbek głosu, filmów i zdjęć. W nasze ręce trafia wtedy np. filmik z udziałem polityka, który wypowiada się na kontrowersyjne tematy lub przyznaje się do wyimaginowanych przewinień.

Odmianą takich zmanipulowanych materiałów jest też cheap fake (ang. cheap – tani i fake – fałsz). Są to treści audiowizualne, które zostały sfabrykowane przy użyciu o wiele mniej zaawansowanych technologii niż w przypadku deepfake. Powstają np. w efekcie zmiany pierwotnego kontekstu, ale też spowolnienia lub przyspieszenia oryginalnego nagrania czy zastosowania programów graficznych (demagog.org).   

Metody obrony przed zmanipulowanymi treściami – zarówno deepfake, jak i cheap fake – są podobne. Musicie ufać intuicji i próbować ocenić wartość takich nagrań (audio i wideo). Sprawdzajcie, czy:

  • na nagraniu nie pojawia się migotanie twarzy, czy nie przebija się oryginalny obraz;
  • kolory i cienie na nagraniu wyglądają naturalnie;
  • czy osoba występująca w filmiku mruga i nie przyjmuje nietypowych póz;
  • dźwięk jest zsynchronizowany z obrazem.

Chcecie dowiedzieć się więcej o dezinformacji i sposobach na odróżnianie prawdy od nieprawdy w sieci? Zajrzyjcie do naszego bezpłatnego kursu e-learningowego „(Dez)informacja, czyli w co wierzyć w internecie” dostępnego na platformie OSE IT Szkoła oraz aktualności: „Czy to nagranie może kłamać? Uwaga na deepfake” i „Zanim uwierzysz – sprawdź”.

Źródło:

„Pojęciownik Demagoga”, (2022), artykuł w serwisie demagog.pl [online, dostęp dn. 10.04.2024].

Luka zero-day

W każdym systemie informatycznym, np. systemie operacyjnym czy aplikacji, możemy spotkać się z podatnością, czyli luką w oprogramowaniu, pozwalającą cyberprzestępcom na wykonanie działań nieprzewidzianych przez twórcę danego urządzenia czy programu.

Jednym z najgroźniejszych rodzajów podatności są luki zero-day (luki dnia zerowego), które nie są znane ani ogółowi społeczeństwa, ani autorom danych produktów, a co za tym idzie – nie zostały publicznie ujawnione i naprawione. Luki zero-day są więc tajną bronią w rękach oszustów!

Jako że nikt nie wie o niewykrytej podatności, nie ma sposobu, by się przed nią ustrzec: programy antywirusowe oraz inne środki bezpieczeństwa nie wiedzą, że mają chronić użytkowników przed nowym zagrożeniem. Oszuści odnajdują takie luki, studiując kody źródłowe w poszukiwaniu usterek pozostawionych przez programistów. Gdy na takie trafią – przez krótki czas (dopóki podatność nie zostanie naprawiona dzięki tzw. łatce) mogą np. szpiegować osoby korzystające z danej aplikacji, wykradać ich dane lub powodować uszkodzenia ich urządzeń.

Niestety sami nie możecie chronić się przed podatnościami, w tym lukami zero-day. Ważne jednak, byście pamiętali, że bardzo przydatne okażą się tu Wasze… systematyczność i uważność.

  • Pamiętajcie o regularnym aktualizowaniu systemu operacyjnego i oprogramowania, z którego korzystacie. Nie zwlekajcie z aktualizacją, gdy otrzymacie powiadomienie, że dostępna jest nowa wersja aplikacji czy programu!
  • Instalujcie na swoich urządzeniach oprogramowanie antywirusowe i upewniajcie się, że używacie zawsze jego najświeższych wersji.
  • Śledźcie na bieżąco informacje o wykrytych podatnościach. Jeśli usłyszycie o luce dnia zerowego w Waszym oprogramowaniu, natychmiast zainstalujcie łatkę, która naprawi ten problem.
  • Regularnie twórzcie kopie zapasowe swoich ważnych danych i przechowujcie je w bezpiecznym miejscu – na dysku zewnętrznym lub w chmurze.

Więcej o podatnościach przeczytacie w naszej aktualności „Bezpieczni w sieci z OSE: podatności i luki bezpieczeństwa”.

NFC (komunikacja bliskiego zasięgu)

Zapewne nie raz widzieliście w sklepach osoby płacące telefonem lub zegarkiem (smartwatchem) i zastanawialiście się, jak to działa. A może sami też już korzystacie z tej funkcji? NFC (ang. Near Field Communication), bo to o nim mowa, to telefoniczny moduł służący do bezprzewodowej wymiany plików między urządzeniami. Najczęściej wykorzystywany jest do płatności zbliżeniowych, ale nie tylko – za pośrednictwem tej technologii można wymieniać też np. dane.

Jak to działa? NFC – podobnie jak  Bluetooth – bazuje na komunikacji krótkiego zasięgu pomiędzy urządzeniami. Umożliwiają to wykorzystywane w tej technologii fale radiowe pozwalające na łączenie sprzętów w czasie poniżej jednej sekundy. Jednak w przeciwieństwie do Bluetooth NFC nie wymaga ręcznego parowania urządzeń, gdyż połączenie nawiązywane jest automatycznie – w chwili, gdy inny sprzęt znajdzie się w odpowiedniej odległości. Komunikować się ze sobą w ten sposób mogą nie tylko smartfony, ale też np. smartfony z terminalami płatniczymi.

Obecnie większość nowoczesnych telefonów (zarówno z systemem operacyjnym Android, jak i iOS), jest wyposażona w moduł NFC – wystarczy jedynie odpowiednio go skonfigurować i połączyć z aplikacją bankową. Oznacza to, że tylko kilka prostych kroków dzieli Was od bezpiecznych i wygodnych płatności mobilnych. Gdy będziecie chcieli zapłacić za zakupy, wystarczy, że zbliżycie smartfon do czytnika kart płatniczych. Nie musicie już zabierać z sobą na zakupy karty płatniczej ani gotówki!

Jeśli obawiacie się, że podczas takich transakcji zostaną wykradzione Wasze dane, uspokajamy – z dużym prawdopodobieństwem nic takiego się nie wydarzy. Takie ryzyko eliminuje naprawdę niewielki zasięg działania NFC: to tylko maksymalnie 20 cm. Dodatkowo parowanie wystąpi dopiero po odblokowaniu urządzenia, dlatego w zasadzie niemożliwe są nieautoryzowane połączenia NFC.

Zastosowania komunikacji bliskiego zasięgu nie kończą się tylko na płatnościach. Dzięki tej technologii możecie np. logować się do komputera poprzez stuknięcie telefonem lub odblokowywać w ten sam sposób drzwi samochodu. 

Odporność cyfrowa (digital resilence)

Do prawidłowego funkcjonowania organizmu człowieka niezbędna jest odporność immunologiczna, która polega na zdolności do ochrony przed wirusami i innymi patogenami. Podobnymi cechami muszą wykazywać się też systemy informatyczne, tak jak my podatne na różne zagrożenia.

Odporność cyfrowa definiowana jest jako zdolność do szybkiego powrotu do stanu pierwotnego, także jako wytrzymałość. W praktyce oznacza to zdolność organizacji do utrzymywania, dostosowywania i odtwarzania operacji w obliczu cyfrowych zagrożeń, zakłóceń lub awarii (Sikora, 2024).

W zakres odporności cyfrowej wchodzi wiele działań, takich jak dbałość o odpowiednie środki cyberbezpieczeństwa, ochrona danych wrażliwych, planowanie schematów działań w przypadku różnego rodzaju ataków. Wszystko to ma zapewnić, że wykorzystywane w danej organizacji zasoby cyfrowe pozostaną bezpieczne i odporne na wszelkie formy zagrożeń z cyberprzestrzeni.

Choć odporność cyfrowa w dużej mierze dotyczy organizacji, trudno nie zauważyć podobieństw do działań, które w swoim interesie powinien podejmować każdy internauta. Odporność cyfrowa to przede wszystkim świadomość istnienia cyberzagrożeń i sposobów radzenia sobie z nimi. To też wszelkie działania, które mają chronić ważne dane. W naszym przypadku będą to z jednej strony kopie zapasowe, a z drugiej – reguły bezpieczeństwa, o których nie powinniśmy zapominać na co dzień. Silne hasła i inne zabezpieczenia, ochrona swojej tożsamości w internecie, zasada ograniczonego zaufania: wszystko to sprawia, że stajemy się mnie podatni na cyfrowe zagrożenia.

Zachęcamy – zbudujcie własną długoterminową strategię ochrony przed internetowymi niebezpieczeństwami, wdrażajcie ją w swoich domach, zachęcajcie do takich działań znajomych i bliskich. Razem możecie zrobić bardzo wiele dla swojego bezpieczeństwa w sieci!

Źródła:

„Lektura obowiązkowa: cyfrowa odporność”, (2020), artykuł w serwisie vertiv.com [online, dostęp dn. 9.04.2024].

Spray & pray

Zapewne wielokrotnie słyszeliście przestrogi dotyczące podejrzanych wiadomości e-mail zawierających np. linki prowadzące do fałszywych stron lub załączniki, które po kliknięciu instalują na Waszych urządzeniach szkodliwe oprogramowanie. Korzystając z poczty elektronicznej, musicie być czujni i pamiętać, że to Wy jesteście swoją pierwszą linią obrony. Pamiętajcie: o wiele łatwiej jest bowiem wysłać złośliwą wiadomość niż łamać Wasze hasła i inne zabezpieczenia!

Jedną z technik stosowanych przez oszustów jest metoda spray & pray (od ang. spray – rozpylać i pray – modlić się). Polega ona na wysyłaniu dużej liczby maili lub SMS-ów, np. z informacją o wygranej w konkursie lub konieczności opłacenia zaległych rachunków, do setek odbiorców naraz. Złodzieje mają nadzieję, że ktoś popełni błąd i padnie ofiarą oszustwa, np. poda swoje dane do logowania lub inne cenne informacje. W tym przypadku liczy się więc efekt skali: im więcej wiadomości zostanie wysłanych, tym statystycznie więcej osób – przez nieuwagę, z ciekawości, ze strachu, w pośpiechu itd. – kliknie w link lub pobierze zainfekowany załącznik.

Ta metoda jest wykorzystywana często w atakach phishingowych, w których oszuści podszywają się pod znane osoby lub instytucje, próbując wyłudzić od nas poufne informacje, a nawet pieniądze.

O czym powinniście pamiętać, gdy do Waszej skrzynki trafi nieoczekiwany mail lub gdy znajdziecie podejrzaną wiadomość na komunikatorze?  

  • Sprawdźcie, czy adres mailowy nadawcy jest poprawny, czy wiadomość nie zawiera literówek i nie wygląda na słabo przetłumaczoną.
  • Nie odpowiadajcie na takie wiadomości – wtedy oszuści upewnią się, że Was adres jest aktywny i mogą wykorzystywać go do innych ataków socjotechnicznych.
  • Nie otwierajcie linków i załączników przesłanych w wiadomościach od nieznanych nadawców, nie logujcie się na stronach, które wydają Wam się sfałszowane.
  • Nie reagujcie na próby szantażu i prośby o natychmiastowe działanie, nawet gdy przestępca straszy, że wydarzy się coś złego, jeśli natychmiast nie zrobicie tego, czego żąda.
  • Nie podawajcie nikomu danych wrażliwych, np. numeru karty płatniczej czy hasła do konta lub danych uwierzytelniających potrzebnych do zalogowania się do serwisu..

Nie możecie zapominać także o podstawowych zasadach bezpiecznego korzystania z internetu: nie odkładajcie w nieskończoność aktualizacji, instalujcie oprogramowanie antywirusowe, dbajcie o silne hasła i korzystajcie z menedżerów haseł, ustawiajcie uwierzytelnianie dwu- i wieloskładnikowe. Nie zaszkodzi też separacja tożsamości, czyli używanie osobnych adresów e-mail do różnych aktywności w sieci. Stosujcie zasadę ograniczonego zaufania, podając innym swój adres mailowy, a także co jakiś czas sprawdzajcie, czy Wasze adresy i dane logowania nie wyciekły (np. na stronie bezpiecznedane.gov.pl).

Jeśli w swojej skrzynce znajdziecie podejrzany e-mail, zgłoście to do CSIRT NASK za pośrednictwem strony incydent.cert.pl lub na adres cert@cert.pl. SMS-y możecie przesyłać bezpośrednio na numer 8080.

Więcej informacji o bezpiecznym korzystaniu z poczty elektronicznej znajdziecie w naszych aktualnościach: „Bezpieczni w sieci z OSE: poczta e-mail” oraz „Bezpieczni w sieci z OSE: phishing”.

Inne aktualności

Zobacz więcej

Rusza „Szkoła międzypokoleniowa” – cyfrowy projekt łączący uczniów i seniorów

22.11.2024

Jak zdobyć jedną z 64 mobilnych pracowni komputerowych i inne nagrody? Wystarczy wziąć udział w konkursie dla szkół OSE, zaangażować uczniów i zorganizować warsztaty dla seniorów dotyczące bezpiecznego korzystania z internetu. Na Wasze zgłoszenia czekamy do 13 grudnia 2024!

Temat lekcji: niebezpieczne treści w sieci

14.11.2024

Choć internet jest niewyczerpanym źródłem wiedzy i rozrywki, bywa również miejscem, gdzie można natrafić na treści niebezpieczne i szkodliwe. Jak je rozpoznać, jak ich unikać i co robić, jeśli już na nie trafimy? Sprawdźcie w naszym praktycznym poradniku!

„FOMOwscy i JOMOwscy” w pułapce wielozadaniowości. Nowy odcinek komiksu!

14.11.2024

Multitasking towarzyszy nam od zawsze. To nic innego jak robienie kilku rzeczy jednocześnie. Ale czy na pewno wielozadaniowość pozwala nam działać sprawnie? Zobaczcie komiks i przekonajcie się, jak natłok zajęć wpłynął na efektywność Julki JOMOwskiej.

Kursy wybrane dla Ciebie

Wybierz poziom edukacyjny i sprawdź spersonalizowane rekomendacje kursów.