W „ABC cyberbezpieczeństwa 2.0” pokazujemy Wam, że w internecie trzeba mieć oczy i uszy szeroko otwarte. Z naszymi pigułkami wiedzy możecie czuć się pewniej! Do tej pory w naszym słowniku znalazło się już 50 haseł – pisaliśmy m.in. o socjotechnice, catfishingu, podatnościach, pętli dopaminowej i uwierzytelnianiu wieloskładnikowym. Przed nami jeszcze wiele definicji, z których finalnie stworzymy drugie wydanie naszego bestsellerowego poradnika „ABC cyberbezpieczeństwa”. Tymczasem poznajcie nowe hasła: dowiedzcie się, na czym polegają ataki słownikowe, dlaczego trzeba uważać na mikropłatności i czytać politykę cookies, jak sztuczna inteligencja wpływa na cyberbezpieczeństwo oraz dlaczego warto zawsze sprawdzać zbiórki charytatywne online, zanim dokonacie wpłaty. Gotowi na kolejny odcinek?

Atak słownikowy

Na pewno wielokrotnie słyszeliście, jak ważne jest używanie silnych haseł, które zabezpieczają Wasze konta pocztowe, bankowe czy społecznościowe. Jeśli jednak nie wzięliście tych ostrzeżeń poważnie i wciąż używacie oczywistych, łatwych do złamania zabezpieczeń, narażacie się na ataki słownikowe (ang. dictionary attack), będące odmianą ataków siłowych. Na czym polegają?

Cyberprzestępcy, chcąc złamać Wasze hasło, wykorzystują powszechnie używane frazy – liczą na to, że z pośpiechu, wygody lub (niestety) lenistwa skorzystaliście z oczywistych ciągów liter lub cyfr. Jeśli używacie haseł takich jak „12345”, „qwerty”, „zaq123wsx” lub wplatacie w nie ważne daty (np. urodzenia) czy imiona, ułatwiacie oszustom zadanie. Co ważne, ataki słownikowe to niejedyne incydenty, które zagrażają Waszym hasłom, a tym samym bezpieczeństwu Waszych kont. Dane logowania mogą zostać upublicznione także w wyniku wycieku – osoby nieuprawnione wchodzą wówczas w posiadanie poufnych informacji na Wasz temat.

Ataki słownikowe mogą bazować na gotowych lub zmodyfikowanych (np. w zakresie wielkości liter lub dodawania znaków specjalnych) listach pochodzących z wycieków danych lub publicznych zestawień najpopularniejszych haseł. Bywa też, że oszuści korzystają ze słowników branżowych i próbują włamywać się na konta np. na forach inwestycyjnych, używając listy haseł zawierających frazy dotyczące tej konkretnej dziedziny (Łużak, 2024). 

Warto znać różne typy ataków słownikowych – należą do nich credential stuffing (czyli zautomatyzowane próby logowania wykorzystujące skradzione w sieci loginy i hasła przypisane do konkretnych użytkowników) oraz password spraying (czyli próby uzyskania dostępu do kilku kont w jednej domenie przy użyciu listy popularnych haseł – więcej napiszemy o tym już niebawem!).

Zastanawiacie się, czy Wasze hasła należą do tych najczęściej używanych przez użytkowników? Możecie sprawdzić je w polskiej wersji słownika haseł, opublikowanej przez CERT Polska. Na liście znajduje się około miliona haseł ujawnionych w wyciekach, posortowanych od najpopularniejszych do tych rzadszych. Chcecie sprawdzić 50 najpopularniejszych polskich szyfrów? Zajrzyjcie do artykułu „Co wycieki mówią o hasłach?”. 

Aby ochronić się przed atakami słownikowymi (i wszelkimi próbami łamania Waszych haseł), musicie pamiętać o kilku ważnych zasadach:

  • Nie używajcie w hasłach danych osobowych ani innych informacji, które jednoznacznie się z Wami kojarzą.
  • Unikajcie potocznych zwrotów, nazwisk celebrytów, nazw restauracji i innych oczywistych fraz (np. kolejnych liter na klawiaturze), uważajcie też na frazy notowane w słowniku haseł.
  • Stosujcie unikalne hasła dla wszystkich swoich kont.
  • Twórzcie hasła składające się z minimum 12 znaków, najlepiej będące zdaniem złożonym z przynajmniej pięciu słów. Jako inspiracja mogą posłużyć Wam cytaty, przysłowia lub fragmenty piosenek, które jednak zmienicie w sprytny i znany tylko Wam sposób (np. WlazłKostekNaMostekIStuka).
  • Używajcie generatorów haseł bez obaw, że zapomnicie swoje szyfry. Pomogą Wam menedżery haseł, które przechowują i automatycznie wpisują Wasze zabezpieczenia, gdy chcecie się zalogować.
  • Tam, gdzie to możliwe, stosujcie uwierzytelnianie dwu- lub wieloskładnikowe. Jeśli przestępcy uda się odgadnąć Wasze hasło, nadal będzie potrzebował drugiego elementu niezbędnego do weryfikacji tożsamości, np. hasła generowanego przez specjalną aplikację lub odcisku Waszego palca. Z założenia tym dodatkowym składnikiem jest „coś, co znacie”, „coś, co macie” lub „coś, czym jesteście”, więc nikt oprócz Was nie powinien móc zalogować się na Wasze konto, nawet posiadając hasło.

Więcej porad znajdziecie w poradniku CERT Polska „Kompleksowo o hasłach”. Zajrzyjcie też do naszej aktualności „Bezpieczni w sieci z OSE: silne hasła i uwierzytelnianie dwuskładnikowe”.

Źródło:

Łużak T., (2024), „Atak słownikowy – na czym polega i jak się przed nim chronić?”, artykuł w serwisie netia.pl [online, dostęp dn. 3.06.2024].

Mikropłatności

Jako użytkownicy aplikacji mobilnych lub gier nie raz zetknęliście się z mikropłatnościami, czyli niewielkimi transakcjami, które w szybki sposób pozwalają opłacić nowe ułatwienie rozgrywki, wyłączyć reklamy lub dodać kolejną funkcjonalność do oprogramowania. Według Koalicji na Rzecz Obrotu Bezgotówkowego mikropłatności to transakcje do maksymalnie 20 zł. To nie majątek, czy jest więc się czym martwić?

Mikropłatności z założenia mają pozwolić nam dokonywać szybkich transakcji – obecnie zwłaszcza bezgotówkowych. Najczęściej korzystamy z nich za pośrednictwem Google Pay i Apple Pay, zdarza się też, że podajemy dane karty płatniczej, która jest automatycznie obciążana na daną kwotę. Inna opcja to transakcje za pomocą bramek płatniczych lub BLIK. Cały proces jest szybki i intuicyjny, a wszystko po to, byśmy już po kilku kliknięciach mogli cieszyć się zakupionym dodatkiem.

Warto zauważyć, że mikropłatności dotyczą głównie produktów cyfrowych: wspomnianych już dodatków w grach i nowych funkcjonalności aplikacji, ale też np. dostępu do muzyki czy innych treści w internecie. Dzięki tym szybkim transakcjom możemy wypożyczyć film spoza standardowej oferty ulubionej platformy streamingowej, kupić e-booka udostępnianego przez internetowego twórcę, wesprzeć zbiórkę charytatywną online czy kupić bilet na komunikację miejską w przeznaczonej do tego aplikacji. Mikropłatności mają obecnie wiele zastosowań i wszystko wskazuje na to, że na dobre zadomowiły się w naszej codzienności.

Jeśli dokonujecie niewielkich transakcji w aplikacjach i grach, zapewne nawet nie zauważacie zbytnich ubytków na koncie. To może być pułapka: drobne, ale częste mikropłatności w finalnym rozrachunku mogą złożyć się w całkiem pokaźną kwotę! Na co jeszcze warto uważać?

  • Dokonując mikropłatności, upewniajcie się, czy transakcja jest jednorazowa (czyli czy określone sumy nie będą pobierane z Waszego konta cyklicznie, w ramach subskrypcji).
  • Korzystajcie tylko z bezpiecznych metod płatności – wybierajcie te, w których nie musicie podawać wrażliwych danych. Nie klikajcie w linki przesyłane mailem lub SMS-em.
  • Podczas zakupów upewniajcie się, że zapoznaliście się ze wszystkimi warunkami transakcji.
  • Mikropłatności mogą prowadzić do uzależnienia i stanowić ryzyko dla graczy, którzy tracą kontrolę nad zakupami. Nabywane przez nich loot boxy i inne dodatki uatrakcyjniają rozgrywkę i sprawiają przyjemność, a że są dostępne na wyciągnięcie ręki, łatwo się w nich zatracić. Kontrolujcie zwłaszcza zakupy dokonywane przez młodych graczy!

Pliki cookie

„Ta strona korzysta z plików cookie, aby poprawić komfort użytkowania. Zakładamy, że nie masz nic przeciwko, ale możesz zrezygnować, jeśli chcesz” – taki lub podobny komunikat wita nas za każdym razem, gdy wchodzimy na nową (dla naszej przeglądarki) stronę internatową. Akceptujecie politykę cookie bez czytania czy zgadzacie się tylko na niezbędne „ciasteczka”? Czym w ogóle są pliki cookie? Już tłumaczymy!

Najprościej rzecz biorąc, cookies (HTTP cookies, pliki cookie lub w tłumaczeniu z języka angielskiego – ciasteczka) to nieduże pliki tekstowe, generowane przez serwer internetowy oraz wysyłane do używanej przeglądarki, gdzie są przechowywane i wykorzystywane podczas kolejnych sesji. W jakim celu?

  • Właściciele witryn używają plików cookies w celu usprawniania działania stron internetowych.
  • Ciasteczka pomagają „zapamiętywać” informacje o naszych wcześniejszych wizytach na danych stronach, by ułatwić i uprzyjemnić nam późniejsze korzystanie z portalu, e-sklepu czy forum (np. nie musimy już wybierać preferowanego języka lub innych ustawień).
  • Pliki cookie mogą być wykorzystywane także do dostarczania reklam dostosowanych do naszych preferencji, zainteresowań i/lub poprzednich wyszukiwań.

To wciąż nie wszystko! Ciasteczka ułatwiają Wam także logowanie – pozwalają bowiem na zapisywanie loginów i haseł – oraz umożliwiają automatyczne uzupełnianie formularzy (zapamiętują wpisywane uprzednio adresy i inne dane kontaktowe). Dzięki plikom cookie możecie „porzucić” na chwilę koszyk z zakupami i po czasie dokończyć transakcję lub zrezygnować z niechcianych produktów. Cookies przydają się także właścicielom stron internetowych, m.in. do sprawdzenia, jak użytkownicy korzystają z serwisu (np. które strony odwiedzają, jak długo na nich pozostają).

Być może zastanawiacie się, czy ciasteczka nie zagrażają Waszemu bezpieczeństwu. Chociaż z reguły cookies są nieszkodliwe, trzeba pamiętać o tym, że od każdej reguły istnieją wyjątki. Uważajcie przede wszystkim wtedy, gdy logujecie się do banku, poczty elektronicznej czy na inne ważne konta za pomocą cudzych lub ogólnodostępnych sprzętów – oszuści mogą wykorzystać niezakończoną sesję i uzyskać dostęp do Waszych prywatnych zasobów. Aby temu zapobiec, korzystajcie z trybu incognito lub usuwajcie zapisane pliki cookies – taką opcję znajdziecie w tej samej zakładce co usuwanie historii przeglądania. Pamiętajcie też, że możecie zablokować dostęp do plików cookies stronom, które uznajecie za niezaufane.

Nie musicie z kolei martwić się tym, że Wasze pliki cookie będą wykorzystywane przez witryny, których nie odwiedzaliście – z tych danych (jedynie w celach informacyjnych, statystycznych i reklamowych) może korzystać tylko właściciel danej strony. Warto jednak wiedzieć, że choć plików cookies nie można używać np. do uruchomienia złośliwego oprogramowania, to mogą je wykorzystywać programy zainstalowane na Waszych urządzeniach. 

Czy trzeba się zatem bać ciasteczek? Pliki cookies same w sobie są bezpieczne, jednak dobrze traktować je jak wszystko w internecie – bez pełnego zaufania. Nie zaszkodzi od czasu do czasu usuwać je w przeglądarce na komputerze i w telefonie. Pomoże to jeszcze lepiej zadbać o Waszą prywatność w sieci. Jeśli przed wejściem na daną stronę internetową pojawi się komunikat z prośbą o akceptację plików cookies (lub polityki cookies, polityki prywatności), przeczytajcie go i zdecydujcie, czy chcecie udostępniać wszystkie opisane tam informacje. W większości przypadków obsługa ciasteczek jest konieczna, by w pełni korzystać z funkcjonalności danego konta czy witryny.

Sztuczna inteligencja

Sztuczna inteligencja (SI, ang. artificial intelligence, AI) dosłownie nas otacza i mamy z nią do czynienia częściej, niż mogłoby się wydawać. Inteligentne domy, zabawki, wirtualni asystenci, a nawet algorytmy wyszukiwarek to tylko niektóre z jej zdobyczy. Czym dokładnie jest?

Według jednych termin ten obejmuje jedynie zagadnienia związane ze sztucznymi formami życia, które mogą przewyższać ludzką inteligencję. Inni zaś twierdzą, że sztuczną inteligencją można nazwać każdą technologię przetwarzania danych. Nie istnieje jedna przyjęta definicja!

Sztuczna inteligencja:

  • To dziedzina wiedzy obejmująca logikę rozmytą, obliczenia ewolucyjne, sieci neuronowe, sztuczne życie i robotykę.
  • To dział informatyki zajmujący się tworzeniem modeli zachowań inteligentnych i programów komputerowych symulujących te zachowania.
  • To dział informatyki zajmujący się rozwiązywaniem problemów, których nie da się rozwiązać za pomocą łatwego algorytmu.
  • To konstruowanie maszyn, których działania są podobne do przejawów ludzkiej inteligencji.

Co bardzo istotne, sztuczna inteligencja wykorzystuje matematykę oraz logikę do symulowania rozumowania, którego ludzie używają do uczenia się na podstawie nowych informacji i podejmowania decyzji. SI prognozuje lub podejmuje decyzje w oparciu o wzorce, a następnie sama się doskonali, aby zwiększyć swoją wydajność i dokładność (Świerczek, 2024).

Skupmy się jednak na sztucznej inteligencji, która znajduje swoje zastosowanie w cyberbezpieczeństwie (lub jest wykorzystywana przez oszustów, by wprowadzić nas w błąd albo potencjalnie wykradać nasze dane). Jako że dzięki SI możliwe jest przetwarzanie dużych zbiorów informacji w krótkim czasie, tę technologię wykorzystuje się do wykrywania zagrożeń oraz automatyzacji procesów obronnych. To nie wszystko: sztuczna inteligencja umożliwia także (np. na podstawie biometrii behawioralnej) identyfikowanie potencjalnych niebezpieczeństw w sieci i reagowanie na nie w czasie rzeczywistym. Można więc powiedzieć, że na wielu polach SI jest i będzie naszym sprzymierzeńcem.

Nie można zapominać jednak o drugiej stronie medalu. Musimy liczyć się m.in. z zagrożeniami w zakresie generatywnych modeli sztucznej inteligencji, czyli – w skrócie – modeli algorytmicznych szkolonych do tworzenia nowych danych, takich jak teksty, obrazy i dźwięki (Stanecki, 2023). Wielu z Was zetknęło się z takimi modelami, np. korzystając z popularnego Chata GPT. Choć ten „asystent” może usprawniać pracę i optymalizować wykonywanie różnych zadań, korzystanie z tego narzędzia niesie za sobą także potencjalne niebezpieczeństwa związane np. z ochroną prywatności. Dane na nasz temat zamieszczane w internecie mogą być wykorzystywane przez SI bez naszej zgody, co więcej – mogą posłużyć do tworzenia nowych obrazów, tak jak w przypadku deepfake. Generatywne modele sztucznej inteligencji są w stanie wytwarzać treści, które do złudzenia przypominają rzeczywiste: np. głosy, zdjęcia czy materiały wideo. SI może zatem posłużyć do szerzenia dezinformacji i celowego wprowadzania użytkowników internetu w błąd.

Naukowcy są pewni, że w przyszłości sztuczna inteligencja zmieni wiele aspektów naszego życia i gospodarki. Czy wygra z ludzką, czy chatboty zastąpią człowieka? Czy mamy się czego obawiać? Jedno jest pewne: jako zwykli użytkownicy internetu i narzędzi bazujących na SI, musimy zwracać szczególną uwagę na bezpieczeństwo naszych danych i nie ufać wszystkiemu, co widzimy w sieci.

Chcecie dowiedzieć się więcej na temat początków sztucznej inteligencji i jej zastosowań, testu Turinga, uczenia maszynowego i sieci neuronowych? Zajrzyjcie na OSE IT Szkołę – czeka tam na Was 27 bezpłatnych kursów, zebranych w kategorii Sztuczna inteligencja. Gwarantujemy, że nasze materiały wprowadzą Was w pasjonujący świat SI i rozbudzą Waszą ciekawość!  

Źródła:

Stanecki J., (2023), „Zagrożenia związane z Chat GPT o innymi AI”, artykuł w serwisie gdpr.pl [online, dostęp dn. 10.06.2024].

Świerczek S., (2024), „Sztuczna inteligencja (AI) w cyberbezpieczeństwie”, artykuł w serwisie netcomplex.pl [online, dostęp dn. 10.06.2024].

Zbiórki charytatywne online

„Na leczenie”, „na zwierzaka”, „na Ukrainę” – to najczęstsze cele zbiórek, z jakimi mamy obecnie do czynienia w internecie. Jako społeczeństwo coraz bardziej angażujemy się w pomoc potrzebującym, musimy więc wiedzieć, że możemy natknąć się na oszustów.

Przestępcy grają na naszych emocjach i bez mrugnięcia okiem wykorzystują różne metody – wyszukują w internecie zdjęcia chorych dzieci i zwierząt, podrabiają dokumentację medyczną, w swoje zbiórki angażują celebrytów. Wszystko po to, by wyłudzić od nas pieniądze.

To oczywiście nie znaczy, że powinniście zrezygnować z udziału w akcjach charytatywnych! Jeżeli chcecie komuś pomóc, wybierajcie zaufane platformy organizujące zbiórki (tam również zdarzają się próby oszustw, jednak organizatorzy zrzutek są szczegółowo weryfikowani) oraz miejcie oczy i uszy szeroko otwarte. Zapoznajcie się dokładnie z celem zbiórki i jej opisem, sprawdzajcie, jak długo istnieje organizacja, która ją prowadzi, szukajcie jej regulaminu, terminu rozpoczęcia i zakończenia akcji. Starajcie się też weryfikować adres strony internetowej – pamiętajcie, że przestępcy często przygotowują fałszywą stronę, do złudzenia przypominającą witrynę np. danej organizacji pozarządowej. Zalecamy też sprawdzanie, czy zbiórka jest powiązana z jakąś wiarygodną instytucją, np. domem dziecka czy szpitalem, która potwierdzi, że współpracuje z organizatorem zrzutki. Koniecznie zajrzyjcie też na stronę zbiorki.gov.pl, gdzie prowadzony jest rejestr zbiórek publicznych organizowanych na terenie kraju.

A może chcecie wrzucić pieniądze do puszki? Spójrzcie więc czujnie na osobę prowadzącą zbiórkę. Powinna być ona wyposażona w identyfikator zawierający imię i nazwisko, nazwę zbiórki, jej cel i numer, a także informacje o organizatorze.

Jeśli macie podejrzenia co do legalności jakiejś zbiórki pieniędzy, zgłoście tę sprawę na policję.

Źródła:

Gańko K., (2022), „(Cyber)bezpieczne święta z OSE”, Warszawa: Państwowy Instytut Badawczy NASK [online, dostęp dn. 10.06.2024].

„Rozsądek online – jak się nie dać oszukać w sieci! Fałszywe zbiórki”, artykuł na stronie bezpiecznymiesiac.pl [online, dostęp dn. 10.06.2024].

Inne aktualności

Zobacz więcej

FOMOwscy i JOMOwscy stawiają na cyfrową higienę. Nowy komiks już jest!

17.12.2024

Cyfrowa higiena jest ważna. Staramy się Was do tego przekonywać regularnie, na różne sposoby, w tym przy wsparciu naszych komiksowych bohaterów – rodzin FOMOwskich i JOMOwskich. Rok cyfrowej higieny dobiega końca, ale to jeszcze nie koniec!

Temat lekcji: cyfrowa higiena

17.12.2024

Urządzenia cyfrowe zdecydowanie zmieniły nasze życie. Z jednej strony - w wielu aspektach - je po prostu ułatwiły, z drugiej – postawiły przed nami nowe wyzwania. Jednym z nich jest cyfrowa higiena. Jak o nią dbać w świecie, w którym jesteśmy otoczeni nowymi technologiami?

Kongres OSE 2024 – sztuczna inteligencja, patoinfluencerzy i szkodliwe treści

13.12.2024

Za nami Kongres OSE 2024, czyli debaty eksperckie i wystąpienia najlepszych ekspertów z Polski i z zagranicy. Rozmawialiśmy o ochronie dzieci i młodzieży przed szkodliwymi treściami w internecie. W konferencji wzięło udział prawie 2500 osób – stacjonarnie i online. Dziękujemy, że byliście z nami!

Kursy wybrane dla Ciebie

Wybierz poziom edukacyjny i sprawdź spersonalizowane rekomendacje kursów.