W sieci nie jesteśmy ani anonimowi, ani bezpieczni. Ochronić nas może tylko ostrożność – ostrzega cyberprofilerka Beata Legowicz.
PANI: Nieustannie jesteśmy ostrzegani przed atakami w sieci przez banki, firmy dostarczające internet czy sieci komórkowe. Cyberprzestępcy są dzisiaj bardziej wyrafinowani?
BEATA LEGOWICZ: Niewątpliwie, liczba przestępstw w cyberprzestrzeni rośnie. Przede wszystkim dlatego, że sieć stała się miejscem, w którym odbywa się niemal każda ludzka aktywność. Cyberprzestępcy rozwijają się razem z technologią, ale nadal zajmują się głównie kradzieżami, wyłudzeniami, oszustwami. Zgodnie z raportem technologicznej firmy Atlas światowa gospodarka straciła już ponad bilion dolarów z powodu cyberprzestępstw. W Polsce według statystyk policyjnych w 2016 roku zgłoszono niespełna 35 tys. cyberprzestępstw. W 2019 roku – ponad 52 tys., a w minionym roku niemal 55 tysięcy.
Zajmuje się pani także cyberprofilowaniem. Kim są przestępcy w sieci?
Kiedyś stereotypowy haker był pryszczatym nastolatkiem siedzącym przy komputerze w domu rodziców. Ale to się zmieniło. Współczesny cyberprzestępca to częściej świetnie prosperujący trzydziestokilkuletni biznesmen, który ma ustabilizowane życie, posyła dzieci do świetnych szkół, planuje wakacje i… często jest trybikiem w machinie dokonującej oszustw w sieci.
Są także haktywiści – za ich działaniami stoją ideologie polityczne. Oni najczęściej działają w jakiejś sprawie i nie liczą się dla nich zyski. Poza tym istnieją też zorganizowane grupy hakerskie działające na przykład na zlecenia rządów. Potrafią być bezczelni, szczególnie gdy czują się bezpieczni. Tak jest z Rosjanami, którzy wiedzą, że tak długo, jak nie podnoszą ręki na własny rząd, będą przez niego chronieni, szczególnie jeśli pomagają tamtejszym służbom. Dlatego bez skrępowania komunikują się ze sobą za pomocą mediów społecznościowych. Ostatnio głośna była sprawa firmy Colonial Pipeline, największej sieci rurociągów przesyłających paliwa w USA. Przestępcza grupa hakerska zaatakowała system komputerowy firmy, po czym zażądała 5 mln dol. okupu za jego odblokowanie. Wizja braku benzyny w części USA sprawiła, że okup zapłacono.
Jak możemy się bronić przed cyberprzestępcami?
Hakerzy czyhają na swoje ofiary nie tylko w odległych zakamarkach sieci, ale także w dobrze znanych, ogólnodostępnych serwisach.
Nie ułatwiajmy im zadania swoją nieostrożnością i zachowujmy cyberhigienę. Co to oznacza w praktyce? Przede wszystkim bycie powściągliwym w publikowaniu jakichkolwiek swoich danych, niekorzystanie z publicznego wi-fi, na przykład w galeriach handlowych czy w hotelach, wyłączenie geolokalizacji w telefonie, bo ujawniając, gdzie jesteś, ułatwiasz sprawę złodziejom, którzy dzięki temu wiedzą, że nie ma cię w domu.
Nie przechowujmy też ważnych dla nas zdjęć czy nagrań wideo w telefonie lub komputerze i nie zapisujmy swoich haseł w plikach tekstowych. Hakerzy czyhają wszędzie. Także na popularnych portalach.
Mamy coraz więcej haseł dostępu do stron, portali, kont bankowych i mailowych. Jak bardzo powinny być skomplikowane?
Trudne do odgadnięcia hasło znacznie utrudnia włamanie do naszego sprzętu, konta czy skrzynki mailowej. Niestety, wciąż wiele osób nie zdaje sobie z tego sprawy i tworzy hasła, które cyberprzestępcy, gdyby chcieli, mogą łatwo odgadnąć. Najczęściej są to hasła składające się z imion członków rodziny, zwierząt, bohaterów filmowych czy z podstawowych danych personalnych: dat urodzenia, numeru pesel czy adresu. Najpopularniejsze hasła w tym roku? Proszę bardzo: 123456, password1, 00000, iloveyou, abc123, picture1. Jeżeli ktoś posiada hasło, którego złamanie jest nie tylko proste, ale też dzielone z niemałą częścią ludzkości, to tak naprawdę nie ma żadnego hasła.
Jak stworzyć silne hasło?
Wystarczy kilka modyfikacji, np. zamiast Mietek123#, wybierzmy M!e#@/978, co będzie znacznie trudniejsze do złamania. Możemy też skorzystać z algorytmów, które są dostępne w sieci, lub użyć menedżera haseł – programu, który wygeneruje hasło w sposób losowy i je zapamięta. Niestety, i tu rodzą się problemy. A jeśli nie zapamiętamy hasła do menedżera haseł? Lub jeśli ktoś przejmie naszego menedżera i hasło główne, a w ten sposób uzyska dostęp do wszystkich naszych haseł? Cóż, menedżer nie jest rozwiązaniem idealnym, ale plusy zdecydowanie przeważają.
Ale hasło, aby było bezpieczne, wcale nie musi mieć cyfr i dodatkowych znaków. Wystarczy, że będzie długie. Możemy wykorzystać cytat z piosenki czy wiersza. Przykład? Choćby „gdymiciebiezabraknie”. Dodatkowo, unikajmy wpisywania swoich haseł w obcym komputerze, nie stosujmy jednego hasła do różnych kont i zmieniajmy je co jakiś czas.
Pandemia spowodowała, że znacznie częściej robimy zakupy przez internet. Na co powinniśmy zwracać uwagę? Gigantyczny wzrost liczby transakcji dokonywanych online sprzyja, niestety, atakom na klientów sklepów internetowych. Podstawową zasadą, obowiązującą w każdym miejscu internetu, jest ostrożne dzielenie się swoimi danymi: adresem czy numerem karty kredytowej. Dużo bezpieczniejsze są metody płatności niewymagające podawania tych danych. Jeśli to możliwe, najlepiej płacić przy odbiorze tego, co zakupiliśmy. Podstawową zasadą powinno być robienie zakupów na wiarygodnych, sprawdzonych stronach. A szczególnie uważajmy na „superokazje”, „last minute” – oferty, które nie mogą czekać.
Szczególne znaczenie mają media społecznościowe – to tam pochopnie udostępniamy mnóstwo informacji o sobie.
W mediach społecznościowych najpierw warto pamiętać o odpowiednim zabezpieczeniu konta za pomocą silnego hasła oraz weryfikacji wieloetapowej, a następnie o wyborze odpowiednich ustawień prywatności. Pamiętajmy, że każda informacja o nas jest cenna i zarazem niebezpieczna. Przy odrobinie wysiłku, wykorzystując naszą niefrasobliwość, można ustalić miejsce zamieszkania danej osoby na podstawie kilku wpisów. Nawet udostępniony numer telefonu lub adres e-mail może trafić na czarny rynek, a stąd już krótka droga do tego, żeby paść ofiarą ataku phishingowego. Phishing (z ang. password harvesting fishing) polega na pozyskiwaniu poufnych informacji, takich jak loginy, hasła, szczegóły karty kredytowej czy konta, poprzez podszywanie się pod instytucję godną zaufania. Cyberprzestępcy używają do tego fałszywych maili bądź specjalnie stworzonych witryn internetowych, które do złudzenia przypominają prawdziwe.
Użytkownicy portalu LinkedIn faszerują swoje profile dyplomami i informacjami o miejscach pracy, mając nadzieję, że dostęp do tych informacji mają tylko rekruterzy. Niestety, to doskonała pożywka dla cybeprzestępców, którzy organizują fikcyjne rozmowy w sprawie pracy. W trakcie takich „rozmów kwalifikacyjnych” kandydat może stać się bezcennym źródłem informacji na temat jego samego oraz firmy, w której jest zatrudniony. Co umożliwia w przyszłości przeprowadzenie ataku typu BEC (Business Email Compromise). Włamanie do kont pocztowych jest zazwyczaj poprzedzone rozpoznaniem i wywiadem środowiskowym, dzięki którym hakerzy mają wiedzę na temat atakowanych przedsiębiorstw.
Czego powinniśmy unikać?
Lepiej nie chwalić się tym, co posiadamy. Unikać bardzo dokładnych informacji o sobie i o tym, gdzie i przede wszystkim z kim spędzamy wolny czas czy wakacje. Niefrasobliwi dziadkowie potrafią „lajkować” strony przedszkoli i szkół, do których uczęszczają ich wnuki. Pewna holenderska babcia nagminnie publikowała zdjęcia wnucząt na Facebooku i Pintereście. Rodzice dzieci prosili ją, by tego nie robiła, a kiedy to nie poskutkowało, sprawa znalazła finał w sądzie. Sąd w Arnhem nakazał usunąć zdjęcia z sieci i nałożył na nią karę 50 euro za każdy kolejny dzień, w którym będą nadal dostępne.
Wydając ten bezprecedensowy wyrok w maju 2020 roku, holenderski sąd powołał się na unijną dyrektywę RODO, a w jego uzasadnieniu podał, że publikowanie zdjęć nieletnich, którzy nie osiągnęli jeszcze 16 lat, wymaga zgody ich prawnego opiekuna. Kiedy chcemy wrzucić do sieci zdjęcia osób trzecich, teoretycznie powinniśmy uzyskać ich zgodę. Warto pamiętać, że podczas korzystania z internetu zostawiamy ślady. Dużo śladów.
Wydawałoby się, że akurat zdjęcia nie są aż tak niebezpieczne…
Zapominamy lub nie wiemy, że fotografie i nagrania wideo posiadają metadane – cyfrowe opisy zdjęć, które służą do systematyzowania. To właśnie dzięki nim możemy w galerii zdjęć w naszym telefonie znaleźć te robione konkretnego dnia. Metadane mówią, kiedy zrobiliśmy zdjęcie, gdzie, jakim aparatem, przesłoną i jaki program je edytował. Gdy dodamy do tego zawartość zdjęcia, mamy niezły zestaw danych na temat interesującej nas osoby. Dzięki metadanym udawało się odpowiadać na pytania uwierzytelniające i odzyskiwać hasła. Nieważne, czy robisz zdjęcia smartfonem, czy aparatem – usuwaj metadane we właściwościach plików.
Cyberprzestępcy mogą próbować uzyskać od nas wrażliwe dane nie tylko za pomocą nowoczesnych technologii, ale także używając socjotechniki…
W przypadkach cyberprzestępców, którzy wykorzystują socjotechnikę, mamy do czynienia z piekielnie inteligentnymi ludźmi, którzy bez przerwy udoskonalają swoje metody i dzięki temu są w stanie być dwa kroki przed organami ścigania. Ale oni także popełniają błędy. Przykładem może być jeden z głośniejszych polskich cyberprzestępców – Armaged0n, znany także jako Thomas, czyli Tomasz T., który przez sześć lat włamywał się na cudze konta. Miał wyłudzić m.in. kilkadziesiąt tysięcy złotych z kart prepaid, podszywał się pod banki, firmy kurierskie i instytucje państwowe. Zaatakował giełdę kryptowalut i spowodował straty sięgające pół miliona złotych. Szyfrował dane na komputerach swoich ofiar i żądał okupu za ich odblokowanie. Mieszkał w Belgii i tam właśnie wpadł, bo stał się zbyt pewny siebie. Kiedy portal Niebezpiecznik.pl napisał o nim tekst, sam Armaged0n skomentował go i dodał zrzut ekranu, by pochwalić się swoimi wynikami. W pasku adresowym zostawił otwartą rozmowę na Skypie. Na screenie widać było jego nick – to był jeden ze śladów, dzięki którym został namierzony.
Głośne stały się w ostatnich latach oszustwa nigeryjskie.
Szczególnie ich najnowsza odmiana wykorzystująca aplikację randkową Tinder. Cyberprzestępcy podszywają się tam pod mężczyzn: miłych, uroczych, poświęcających ofierze dużo atencji i zaspokajających jej potrzebę akceptacji. Po jakimś czasie proponują przejście na komunikator, np. WhatsApp, a potem proszą o wsparcie finansowe. Może się to skończyć, jak w sprawie prowadzonej przez komendę wojewódzką w Lublinie, do której zgłosiła się kobieta, od której w ten sposób „lekarz z misji w Afryce” wyłudził 180 tys. zł. Albo jeszcze gorzej, jak dla kobiety, której sprawą zajmowało się CBŚP. Ofiara przelała na konta w RPA ponad 250 tys. zł, a potem jeszcze tam pojechała i została porwana. Wypuszczono ją po kilku dniach. Do tych oszustw niepotrzebna była brutalna siła. Wystarczyła socjotechnika.
Już Kevin Mitnick, jeden z najbardziej znanych amerykańskich włamywaczy komputerowych, mówił o swojej działalności, „łamałem ludzi, nie hasła”. Niestety, nie ma algorytmu, który sprawdziłby uczciwość osób, z którymi komunikujemy się w sieci. Tutaj nie ma lepszej rady niż ostrożność, ostrożność, ostrożność.
Jak przygotować dzieci do bezpiecznego korzystania z sieci?
Z wiedzą o cyberbezpieczeństwie jest jak z nauką mycia rąk – najlepiej działa wcześnie wpojone przyzwyczajenie. Wdrażanie zasad cyberbezpieczeństwa trzeba zacząć jak najwcześniej. Rozmawiajmy, edukujmy, ale również kontrolujmy, co nasze dzieci robią w sieci oraz jakie aplikacje ściągają na telefon. Dziecko (podobnie jak my) może się uodpornić na internetowe niebezpieczeństwa dzięki wiedzy oraz programom antywirusowym i mocnym hasłom.
Czy w ogóle można być bezpiecznym w sieci?
Żelazne zasady cyberhigieny powinny nas obowiązywać zawsze: kiedy robimy zakupy w internecie, zamawiamy jedzenie, korzystamy z bankowości elektronicznej, umawiamy wizyty u lekarza przez portal pacjenta, wrzucamy posty i komentarze w mediach społecznościowych, bierzemy udział w konferencjach online czy umawiamy się na wirtualne randki. Pamiętajmy, że korzystając z internetu, zostawiamy ślady. Dużo śladów. Dzięki nim można ustalić dane, określić nasze poglądy, preferencje i gusty, namierzyć dawne komentarze w mediach społecznościowych (także te, których się wstydzimy), zidentyfikować nasze pozostałe konta w serwisach internetowych, również te „anonimowe”, założone np. na portalach randkowych. I choć wolimy o tym nie myśleć, niestety, nikt nie jest całkowicie bezpieczny w sieci.
Beata Legowicz - ekspertka w dziedzinie cyberbezpieczeństwa i cyberprofilerka. Absolwentka SGH w Warszawie. Pracowała w Komendzie Głównej Policji oraz w Centralnym Biurze Antykorupcyjnym.
