środa, Luty 5, 2020
Facebook
Home Tagi Wpis otagowany "phishing"

phishing

Cyber monday

Cyberponiedziałekcybernetyczny poniedziałekcyfrowy poniedziałek – pierwszy poniedziałek po amerykańskim Święcie Dziękczynienia, który słynie z licznych wyprzedaży i promocji oferowanych przez sklepy internetowe – Tak o nim pisze polska Wikipedia. Dalej na stronach encyklopedii czytamy:

„Koncepcja ta narodziła się w Stanach Zjednoczonych, a określenia Cyber Monday po raz pierwszy użyto w roku 2005. W kolejnych latach zwiększoną sprzedaż w sklepach internetowych zaobserwowano także w krajach Ameryki Południowej, Europy Zachodniej oraz w Japonii. Tego dnia w 2006 Amerykanie wydali 610 milionów dolarów, w 2010 było to 1,4 miliarda, a w roku 2013 już ponad 2 miliardy dolarów.”

Cyberprzestępcy

Klienci i sprzedawcy nie są jedynymi, którzy przygotowują się do największego sezonu zakupowego w ciągu roku. Przedświąteczna gorączka to także duże wydarzenie dla cyberprzestępców. Za każdym razem w trakcie jej trwania analitycy bezpieczeństwa odnotowują gwałtowne wzrosty aktywności kryminalnej w internecie: od oszustw phishingowych i pojawiania się fałszywych witryn sklepów internetowych, przez oprogramowanie do wykradania danych kart kredytowych, po złośliwe aplikacje publikowane w wirtualnych sklepach dostępnych w telefonach komórkowych. Jednocześnie, ponieważ o tej porze roku ludzie dokonują rekordowo dużej liczby transakcji, atakujący zakładają, że użytkownicy kart kredytowych nie zwrócą uwagi na kilka „przypadkowo” obecnych na wyciągu pozycji.

Realne ryzyko

Zakupy online oraz rozwijający się cyfrowy rynek przekształciły świat konsumentów i zapewniły im szybki dostęp do tak szerokiej gamy produktów i usług, jak nigdy wcześniej w historii. Jednak korzystanie z tych dobrodziejstw wiąże się z realnym ryzykiem, którego należy być świadomym. Dziś coraz mniej jest złodziei w sklepach – przenieśli się do internetu. Są nie tylko sprytni technicznie, ale także rozpoznają najnowsze trendy konsumenckie, rozumieją postawy klientów i wiedzą, jak je wykorzystać. Dlatego, aby cieszyć się bezpiecznymi zakupami w trakcie wyprzedaży, należy się odpowiednio do nich przygotować. Specjaliści firmy Fortinet proponują podjęcie kilku konkretnych działań.

Działania ochronne

Przede wszystkim należy zacząć od upewnienia się, że wszystkie aplikacje na urządzeniach (głównie system operacyjny, przeglądarki internetowe i oprogramowanie antywirusowe) zostały zaktualizowane do najnowszych wersji. Kategorycznie nie powinno się robić zakupów z komputerów i urządzeń mobilnych z systemami operacyjnymi, dla których nie są już publikowane poprawki bezpieczeństwa – w takiej sytuacji często nawet aktualne oprogramowanie antywirusowe nie będzie w stanie pomóc w przypadku zaawansowanego ataku.

Jeżeli kluczem do internetowych sklepów i banków są proste do odgadnięcia hasła (imię dziecka, miasto urodzenia), to jest to proszenie się o kłopoty. Najbezpieczniejsze obecnie jest stosowanie tzw. uwierzytelniania dwuskładnikowego (po wpisaniu hasła użytkownik otrzymuje dodatkowy kod w treści SMS-a lub e-maila), ale gdy istnieje możliwość skorzystania tylko z hasła, trzeba zapewnić, aby jego treść była trudna do zgadnięcia zarówno przez inną osobę, jak też automat, próbujący odkryć hasło przy pomocy tzw. ataku słownikowego.

Dobre hasło

Istnieje wiele sposobów na stworzenie haseł, które dla postronnych osób są nie do odgadnięcia. Wystarczy ułożyć je np. z pierwszych liter ulubionego przysłowia, a na końcu dodać rok urodzenia, ale w odwróconej kolejności liczb. Ewentualnie zapisać bez spacji unikalne krótkie zdanie, zacząć je wielką literą, zawrzeć w nim błąd ortograficzny i zakończyć dowolnym znakiem przystankowym, np. „Urodziłemsięwpiontek!”. Naturalnie nie powinno się używać tego samego hasła do różnych kont i serwisów internetowych. Zapominalskim pomocne może okazać się oprogramowanie do zarządzania hasłami.

Trochę trudniej, ale bezpieczniej

Istnieje wiele działań zapewniających dodatkowe bezpieczeństwo internetowych zakupów. Czynności te nie dają konkretnych korzyści, ale w znacznym stopniu minimalizują ryzyko powodzenia ataku.

W każdej przeglądarce internetowej możliwa jest weryfikacja, czy dana transakcja realizowana jest poprzez szyfrowane połączenie SSL. Wystarczy sprawdzić, czy w pasku adresu strony internetowej obecny jest znaczek zamkniętej kłódki bądź czy adres zaczyna się od „https://” zamiast „http://”. Można skorzystać także z bezpłatnych wtyczek do przeglądarek, które uniemożliwiają korzystanie z niezaszyfrowanych stron (np. HTTPS Everywhere), jak też blokują reklamy, poprzez które na komputerze użytkownika mogą zostać zainstalowane niepożądane złośliwe skrypty (np. uBlock Origin).

Połączenia szyfrowane

Warto także rozważyć skorzystanie z usług wirtualnych sieci prywatnych VPN (Virtual Private Network) podczas robienia zakupów w internecie. Gwarantują one szyfrowane połączenie z dostawcą witryny, na której jest użytkownik. Dzięki temu, nawet jeśli komunikacja zostanie przechwycona przez cyberprzestępców, uzyskane dane będą bezużyteczne. Bardziej zaawansowane technicznie osoby mogą też zastosować oprogramowanie do tworzenia wirtualnych maszyn. Wówczas zakupy można prowadzić z ich wnętrza, a w przypadku powodzenia ewentualnego ataku, dzięki stworzonej w ten sposób izolacji, inne dane użytkowników przechowywane na tym samym komputerze nie będą narażone.

Ostrożności nigdy za wiele

Teoretycznie przez ponad dwie dekady popularności internetu wszyscy powinni nauczyć się, że nie powinno się klikać linków w podejrzanych wiadomościach e-mail i na stronach internetowych, których reputację trudno jest ocenić. Niestety wciąż postępuje tak wielu użytkowników. Dlatego, jeżeli ciekawość zwycięża, zawsze warto jest sprawdzić, dokąd dany link prowadzi. Wystarczy najechać na niego kursorem myszy, a adres URL powinien pokazać się jako wyskakujące okienko lub u dołu wiadomości e-mail lub strony w przeglądarce.

Wówczas należy mu się bardzo uważnie przyjrzeć. Czy wygląda normalnie? Czy nazwa jest za długa, zawiera wiele łączników lub liczb? Czy jest to adres URL, którzy rzeczywiście prowadzi do strony oczekiwanej przez użytkownika lub do innej? Czy też może litery zastąpione są cyframi, np. amaz0n.com?

Dalsza weryfikacja

Przed kliknięciem w adres URL można go sprawdzić w jeszcze inny sposób. Wystarczy kliknąć na nim prawym klawiszem myszy, z otwartego menu kontekstowego wybrać funkcję kopiowania do schowka, a następnie wkleić w wyszukiwarce domen, np. na stronie who.is. W ten sposób można uzyskać różnorodne informacje, np. kiedy strona została utworzona po raz pierwszy, w jakim kraju jest fizycznie zlokalizowana, a także kto jest jej właścicielem. Należy zachować podejrzliwość w stosunku do wszystkiego, co było dostępne online tylko przez bardzo krótki czas lub zostało zarejestrowane w innym niż spodziewanym kraju.

Nieustanna czujność

Niestety, cyberprzestępcy dokładają wszelkich starań, aby stworzyć fałszywe repliki popularnych witryn zakupowych. Dlatego użytkownik powinien zachować szczególną ostrożność, odwiedzając daną stronę. Jest na to kilka sposobów.

Zacząć należy od spojrzenia na projekt strony internetowej. Większość cyberprzestępców nie ma czasu ani zasobów, aby wykonać dokładną kopię witryny lub stworzyć własną, fałszywą stronę. Jeżeli internetowy sklep nie wygląda profesjonalnie, nie wszystkie linki działają, jest zbyt wiele wyskakujących reklam lub w tekście opisu produktów są błędy, to zły znak.

Zbyt piękne…

Szczególną uwagę należy zwrócić też na ceny – mówi Jolanta Malak, dyrektor Fortinet w PolsceNawet w nadchodzący Black Friday i Cyber Monday wiele ofert wygląda zbyt pięknie, aby były prawdziwe. Korzystający z nich internauci ryzykują, że kupią podrobiony produkt a także nielicencjonowane oprogramowanie, bądź po prostu pożegnają się z pieniędzmi, nie otrzymując nic. Do tego rośnie ryzyko utraty danych karty kredytowej.

Bardzo ważną rzeczą, chociaż nie związaną bezpośrednio z technologiami IT, jest to, aby podczas internetowych zakupów korzystać z karty kredytowej, a nie debetowej. Wiele kart kredytowych objętych jest mechanizmami ochrony przed oszustwami. Ich wystawcy często ostrzegają też użytkowników o zaobserwowanych podejrzanych transakcjach. W razie problemów można też taką kartę łatwo zastrzec, nie blokując sobie dostępu do gotówki, jak miałoby to miejsce w przypadku utraty dostępu do karty debetowej. Ponadto podczas zakupów na stronach, co do których wiarygodności nie jesteśmy absolutnie pewni, można skorzystać z takich serwisów jak Privacy.com, które umożliwiają wygenerowanie wirtualnej karty kredytowej do przeprowadzenia jednej lub kilku transakcji. Ewentualna kradzież numeru takiej karty nie powoduje żadnych konsekwencji finansowych dla użytkownika.

Sposoby płatności

Czujność użytkowników powinna wzbudzić też sytuacja, w której dany sprzedawca nie akceptuje płatności kartami. Może to oznaczać, że nie chce pokazać, jaką drogę pokonuj środki zapłacone przez klienta. Jeśli w witrynie wymagany jest bezpośredni przelew z banku, należy jej unikać. Jeśli tylko to możliwe, należy używać systemów płatności typu PayPal po uprzednim sprawdzeniu czy użytkownik rzeczywiście znajduje się na stronie tego usługodawcy) lub mechanizmów dodatkowej weryfikacji zapewnianych przez wystawców kart kredytowych.

cyberbezpieczeństwo
Rośnie liczba cyberataków. Tylko w 2018 roku CERT Polska zanotował ponad 3,7 tys. incydentów naruszenia cyberbezpieczeństwa. To przede wszystkim phishing, dystrybucja złośliwego oprogramowania i spam. W ciągu roku trzykrotnie wzrosła liczba fałszywych sklepów internetowych. Cyberprzestępcy stale poszukują nowych historii, które uwiarygodnią ich przed odbiorcami wiadomości. Zagrożenia w sieci przybliży kampania edukacyjna „CyberLiga”, która w stylistyce znanych produkcji takich jak „Gra o Tron” czy „Avengers”, pokazuje, że w cyberprzestrzeni cały czas toczy się niebezpieczna gra.

– Użytkownicy internetu natrafiają najczęściej na zagrożenia, które wyłudzają od nich dane. To są zagrożenia zwane phishingiem. Poprzez eksploatację takich metod ataków można stracić pieniądze na swoim koncie bankowości elektronicznej lub paść ofiarą innych wyłudzeń. Druga grupa to ransomware, czyli zagrożenia polegające na tym, że dane na dysku zostają zaszyfrowane przez atakującego. Żeby odzyskać dostęp do danych, należy zapłacić okup – podkreśla w rozmowie z agencją Newseria Biznes Krzysztof Silicki, zastępca dyrektora NASK, dyrektor ds. cyberbezpieczeństwa i innowacji.

Wzrost naruszenia cyberbezpieczeństwa

Według raportu CERT Polska w 2018 roku doszło do ponad 3,7 tys. incydentów naruszenia cyberbezpieczeństwa (wzrost o 17,5 proc. rdr.). Najwięcej było ataków phishingu (ok. 44 proc.), dystrybucji złośliwego oprogramowania (23 proc.) i spamu (11 proc.). Najczęściej zgłaszanymi incydentami phishingowymi były fałszywe strony zagranicznych serwisów, takich jak Netflix lub PayPal, zamieszczone na polskich serwerach. Motywem była przede wszystkim chęć pozyskania danych uwierzytelniających do serwisów, także banków.

– Cyberprzestępcy wykorzystują pocztę elektroniczną, żeby się podszywać pod różne instytucje, jak banki czy firmy kurierskie. Należy być bardzo czujnym i ostrożnym. Najlepiej nie klikać w nieznane linki, bo to prowadzi do stron zarażonych, zainfekowanych – tłumaczy Krzysztof Silicki. – Jeśli nie spodziewamy się jakiegoś e-maila i nie znamy nadawcy, to nie otwierajmy bezkrytycznie takiej wiadomości. Warto sprawdzić, czy ta instytucja, która się do nas zwraca, ma telefon, na który można zadzwonić i zweryfikować jej tożsamość.

Faktura do opłacenia – czy na pewno?

Często obserwowanym atakiem były również e-maile z fakturą lub dokumentem rozsyłane w imieniu znanej firmy. Takie wiadomości zawierają złośliwe załączniki czy linki odsyłające do pobrania złośliwego oprogramowania. Przestępcy wykorzystywali oprogramowania typu ransomware oraz tzw. bankery, ukierunkowane na klientów bankowości elektronicznej i mobilnej. Do ataków coraz częściej wykorzystywane są też wiadomości SMS.

– Metody wykorzystywane przez przestępców są coraz trudniejsze w detekcji. Pojawiają się ataki, które polegają na tym, że nasza karta SIM jest duplikowana i nagle tracimy informacje. To może być sygnał, że ktoś może czyhać na naszą komunikację, którą prowadzimy np. z bankiem – tłumaczy Krzysztof Silicki.

Hakerzy próbują nowych ataków, wykorzystują przy tym popularność wydarzeń sportowych, seriali czy filmów. Chętnie sięgają też po chwytliwe tytuły i nagłówki, które mogą zainteresować szerokie grono internautów.

– Cyberprzestępcy stale poszukują nowych historii, nowych scenariuszy, które uwiarygodnią ich przed odbiorcami ich wiadomości. Albo muszą sami wymyślać historie, jak np. porwanie dziecka w centrum handlowym, albo bardzo chętnie podpinają się pod jakieś wydarzenia, które już są napędzane przez media: wypadek, katastrofa – wskazuje Przemysław Jaroszewski, kierownik CERT Polska w NASK.

Przeczytaj także:

Kapitan Antyvir i Lady Anyspam

Cyberprzestępcy coraz chętniej wykorzystują także elementy i ikony popkultury. Dlatego NASK, posługując się językiem popkultury, chce przybliżyć zagrożenia w sieci. Kampania „CyberLiga” posługuje się podobną estetyką, co serial „Gra o tron” czy seria „Avengers”. Cyberbohaterowie, czyli Kapitan Antyvir i Lady Antyspam, będą się zmagać z czarnymi charakterami – PhishingManem i RansomWoman, aby pokazać, że w cyberprzestrzeni toczy się niebezpieczna gra, której celem są nasze dane i pieniądze.

– W „CyberLidze” chodzi przede wszystkim o to, aby pewne abstrakcyjne i trudne do zrozumienia dla przeciętnego użytkownika pojęcia jak ransomware czy phishing spersonifikować, pokazać je właśnie w formie antybohatera, któremu przeciwstawieni są pozytywni bohaterowie ligi. Chcemy pokazać, jakie są atrybuty, jak to zagrożenie funkcjonuje, w jaki sposób można z nim walczyć – tłumaczy Przemysław Jaroszewski.

Twórcy kampanii chcą w ten sposób dotrzeć nie tylko do najmłodszych, lecz także do dorosłych, którzy często nie rozumieją, czym są ataki phishingowe czy ransomware. Nie wiedzą, jak się przed nimi chronić, nie korzystają z aktualnych programów antywirusowych. W kampanii z RansomWoman i PhishingManem skutecznie walczą Kapitan Antyvir i Lady Antyspam.

– Edukacja i budowanie świadomości o zagrożeniach to podstawa. To nie jest coś, co wyeliminuje te zagrożenia w stu procentach, ale bez tego, tak jak bez uczenia dzieci o bezpiecznym korzystaniu z drogi, nie ma mowy o skutecznej walce z zagrożeniami. Próbujemy w nowatorski sposób przeprowadzić tę edukację – mówi Przemysław Jaroszewski.

Źródło: Newseria

W 2019 roku cyberprzestępcy ukradną 2 bln dolarów, czyli kwotę, na którą 38 mln Polaków musiałoby pracować przez 4 lata (!) Przestępczy proceder kwitnie, a jedną z najpowszechniejszych form kradzieży danych pozostaje phishing. W świetle najnowszych badań oszustwa tego typu najszybciej rozwijają się w…serwisach społecznościowych. W pierwszym kwartale 2019 r. przybyło ich aż o 75%. Firma Xopero, producent rozwiązań do backupu i ochrony przed utratą danych, radzi, jak nie dać się „złowić”.

Kosmiczne zarobki cyberprzestępców

Eksperci z Cisco Systems szacują, że w 2019 roku hakerzy zarobią 2 bln dolarów. Dla porównania, Polska wypracuje w tym samym okresie PKB w wysokości ok. 0,5 bln dolarów – czterokrotnie mniej. To, jak ogromną sumę ukradną cyberprzestępcy zobrazować może Wam widok 5 stosów studolarówek sięgających Międzynarodowej Stacji Kosmicznej, która orbituje 400 km nad Ziemią.

Jak “łowi” się w sieci

W kontekście kosmicznych zysków generowanych przez przestępców, rozwój ich działalności nie powinien nikogo dziwić. Jedną z chętniej wykorzystywanych przez nich metod pozostaje phishing. Jest to rodzaj oszustwa internetowego polegającego na wyłudzaniu poufnych danych, zazwyczaj za pomocą wiadomości zawierających złośliwe załączniki lub linki kierujące użytkowników na pozornie autentyczne strony logowania znanych i wiarygodnych instytucji lub firm. Często wystarczy samo kliknięcie, aby jednocześnie zainicjować proces ściągania na komputer złośliwego oprogramowania. Skradzione dane uwierzytelniające wykorzystywane są przez oszustów jako punkt wyjścia do dalszych ataków lub sprzedawane na DarkWebie.

Ulubione marki oszustów

Obie te metody wymagają od przestępców umiejętności podszycia się pod znane firmy i instytucje. Wizerunków których najchętniej używają? Według raportu „Phishers Favorites” na liście 10 ulubionych marek znalazły się m.in. Microsoft, PayPal, Netflix, Facebook czy DHL oraz banki, z których w Polsce najbardziej znany jest Credit Agricole. W tym zestawieniu rośnie jednak znaczenie mediów społecznościowych.

Przeczytaj także:

Wzrost ataków phishingowych w social mediach

W pierwszym kwartale 2019 r. na terenie Ameryki Północnej oraz Europy ilość oszustw w social mediach wzrosła o 74,5%. Na liście ulubionych portali, poza wspomnianym Facebookiem, znalazły się LinkedIn oraz Instagram. Ilość oszustw na Facebooku wzrosła o 155,5%, podczas gdy na Instagramie aż o…1868,8% (!).

Skąd taki wzrost zainteresowania mediami społecznościowymi? Przede wszystkim z powodu ich powszechności. Z danych raportu “Digital 2019” wynika, że konta w social mediach posiada blisko 45% całej populacji.

Z Facebooka korzysta na co dzień 2,23 mld, z Instagrama 1 mld, a z LinkedIna 303 mln ludzi. Spędzają w nich średnio 2 godziny i 16 minut dziennie, czyli ⅓ całkowitego czasu, jaki przebywają w sieci. Z cytowanego raportu wynika również, że średnio co czwarty użytkownik wykorzystuje social media w swojej pracy. Zważywszy na ilość powstających profili firmowych, jak również rosnącą rolę social mediów w komunikacji, również biznesowej, możemy być pewni, że ilość zagrożeń w mediach społecznościowych będzie w dalszym ciągu wzrastać.  

Jak nie dać się “złowić”?         

Wzrost wykorzystania social mediów w celach służbowych to wbrew pozorom ogromny problem dla firm – zauważa Bartosz Jurga, Head of Sales w Xopero Software – z badań wynika, że to pracownicy odpowiadają za 48% naruszeń bezpieczeństwa w firmach i stanowią najsłabsze ogniwo całego systemu ochrony danych biznesowych. Na szczęście, problem został zauważony przez pracodawców, którzy zaczynają edukować swoje zespoły. Tylko w tym roku działania edukacyjne zamierza prowadzić aż 80,6% firm, a blisko połowa zwiększy swoje inwestycje w tym zakresie.

Jak edukować? Przedsiębiorcy mogą korzystać z wachlarza możliwości – szkoleń, wewnętrznych newsletterów o zagrożeniach, kontrolowanych ataków phishingowych realizowanych przez działy IT czy bezpłatnych webinarów edukacyjnych dla firm organizowanych cyklicznie na platformie e-Bezpieczna Polska.

Źródło: Xopero Software S.A.

Jak wynika z danych Departamentu Sprawiedliwości USA, oszustwa związane z fałszowaniem tożsamości są jednym z najczęściej stosowanych sposobów kradzieży danych osobowych w Stanach Zjednoczonych. Proceder ten jest także często wykorzystywany w naszym kraju, a dane z ostatnich lat wskazują na wzrost liczby tego typu przestępstw. Tylko w zeszłym roku Policja odnotowała ponad 100 tys. przypadków wyłudzeń dokonanych z wykorzystaniem cudzej tożsamości.

Z kolei – jak podaje InfoDok – każdego dnia w naszym kraju dochodzi średnio do 16 prób dokonania cyberprzestępstw na łączną kwotę 1,3 mln zł. Według ekspertów z F-Secure, hakerzy z różnych zakątków Świata tylko w ciągu jednej godziny podejmują średnio 700 prób cyberataków na naszych obywateli. Cyberoszustwa to cena, jaką płacimy za rozwój technologii, wygodę robienia zakupów przez Internet oraz za możliwość łatwego i szybkiego dokonywana płatności on-line. Aby zwiększyć swoje bezpieczeństwo w sieci, należy poznać najpopularniejsze metody postępowania cyberprzestępców, którzy czyhają na nasze dane. W przeciwnym razie, możemy nie tylko stracić oszczędności życia, ale i wpaść w długi, które znacząco utrudnią nasze plany finansowe.

Nie daj się złowić na phishing i szantaż cyberprzestępców

Frima Symantec oszacowała, że globalnie co sekundę średnio 18 osób pada ofiarą cyberataków, co przekłada się z kolei na roczną stratę w łącznej wysokości 113 mld dolarów. Warto zaznaczyć, że według analiz ekspertów F-Secure Polska nie wyróżnia się na tym tle od innych państw i podąża zgodnie z globalnym trendem wzrostu liczby przestępstw dokonanych w sieci, z których najpopularniejsze dotyczą phishing’u i ataków ransomware.

Phishing polega na podszywaniu się pod inną osobę lub instytucję i wysłaniu wiadomości e-mail bądź sms w celu wyłudzenia określonych informacji, np. danych dotyczących karty kredytowej, danych autoryzacyjnych służących do logowania się do bankowości internetowej itp. A jak to „działa” w praktyce? – Możemy otrzymać wiadomość elektroniczną wyglądem i treścią do złudzenia przypominającą tę, którą mógłby nam wysłać np. bank. Przeważnie nadawca prosi o przekazanie naszych danych, aby np. odzyskać dostęp do interfejsu bankowości elektronicznej lub dokonać transakcji, która z powodu najróżniejszych „błędów” systemowych nie została ukończona. W związku z tym, że treść takich komunikatów wygląda na wiarygodną, a część informacji na nasz temat w niej zawartych się zgadza (phishing polega właśnie na wykorzystaniu prawdziwych danych, które przestępca pozyskał wcześniej z innego źródła), automatycznie wykonujemy to, o co zostaliśmy poproszeni. Przeglądając w pośpiechu pocztę, np. w drodze do pracy, nietrudno o pomyłkę i kliknięcie w link lub odpowiedź na fałszywą wiadomość, co może nas wiele kosztować – wyjaśnia Marcin Dynak, Inspektor ochrony danych w Intrum.

Jak sam dodaje, jeżeli w porę nie odkryjemy, że ktoś bezprawnie wykorzystał nasze dane, to nie tylko możemy np. stracić oszczędności swojego życia, ale również popaść w poważniejsze kłopoty finansowe. Ponadto, skradzione informacje mogą posłużyć oszustom do zaciągania kredytów na nasze nazwisko czy do dokonywania drogich zakupów przy wykorzystaniu naszych środków. Nie zapominajmy jednak, że największym zyskiem dla cyberprzestępców są po prostu nasze dane. Wzorce zachowań w Internecie, zwyczaje zakupowe czy nawet poglądy polityczne mogą zostać wykorzystane do dokonania niejednego przestępstwa, często dużo bardziej opłacalnego niż zysk z wyłudzonego kredytu konsumenckiego. W 2018 r. hakerzy uzyskali dostęp do cyfrowych kodów logowania użytkowników Facebooka i wykorzystując lukę w zabezpieczeniach portalu, wykradli dane osobowe aż 29 mln osób.

W trakcie kupowania w sklepie on-line, korzystając z bankowości internetowej lub po prostu przeglądając Internet, możemy także paść ofiarą innego szkodliwego oprogramowania typu ransomware (zbitka wyrazowa angielskich słów okup i oprogramowanie). Cyberprzestępcy poprzez kryptowirusa (najpopularniejsze z nich to tzw. trojany), blokują dostęp do systemu operacyjnego na komputerze lub do poszczególnych aplikacji, uniemożliwiając tym samym odczyt zapisanych w nich informacji, a następnie żądają od ich właściciela „okupu” za przywrócenie urządzenia czy oprogramowania do stanu sprzed ich zainfekowania. W celu uzyskania okupu oszuści wykorzystują różne metody płatności, od tych popularnych, jak tradycyjne przelewy, wiadomości SMS Premium (specjalne wiadomości tekstowe o podwyższonej opłacie) czy usługi pre-paid, po walutę Bitcoin. Ataki ransomware z 2017 r. kosztowały jego ofiary w sumie 4 mld dolarów.

Jak zatem przebiega atak z wykorzystaniem szkodliwego oprogramowania typu ransomware? Po zainfekowaniu naszego komputera na jego ekranie zostaje wyświetlone fałszywe ostrzeżenie opublikowane rzekomo np. przez Policję, informujące o tym, że musimy ponieść karę finansową, np. za naruszenie praw autorskich w związku z nielegalnym pobraniem treści z Internetu. Innym przykładem komunikatu jest informacja o posiadaniu nieoryginalnej wersji systemu Microsoft Windows.

To tylko najpopularniejsze przykłady zagrożeń czyhających na nas w sieci i należy pamiętać, że oszuści – powodowani chęcią uzyskania łatwych i wymiernych korzyści – nieprzerwanie wymyślają nowe sposoby na to, jak wykraść nasze dane i pieniądze.

Przeczytaj także:

Uwaga na dane widniejące w dowodzie osobistym

Nierzadko sami narażamy się na niebezpieczeństwo, przekazując swoje dane w niepowołane ręce. Rozważmy nasypujący przypadek: czy jeżeli podczas aktywności w Internecie, np. w trakcie robienia zakupów lub zamawiania jakiejś usługi, zostaniemy poproszeni o przekazanie newralgicznych danych osobowych widniejących w naszym dowodzie tożsamości (np. PESEL czy seria i numer dokumentu), to powinniśmy się na to zgadzać? – Zdecydowanie należy rozważyć zasadność podawania tego typu danych, ponieważ w niewłaściwych rękach, mogą one posłużyć do wyłudzenia kredytu lub do zaciągania w naszym imieniu innych zobowiązań (np. poprzez zawarcie niekorzystnej dla nas umowy), których konsekwencje mogą wpędzić nas w kłopoty finansowe na długie lata – ostrzega Marcin Dynak, ekspert Intrum.

Skutków kradzieży tożsamości jest zdecydowanie więcej i wszystkie one – w krótszej lub dłuższej perspektywie – odbijają się negatywnie na kondycji finansowej. Dostęp osób nieuprawnionych do naszych danych może posłużyć między innymi do: prowadzenia fałszywej działalności biznesowej, wyłudzania np. zwrotu podatku lub zapłaty od kontrahentów i klientów, kradzieży wypożyczonego samochodu, zawarcia umowy z operatorem telefonii komórkowej, założenia fałszywego konta internetowego lub fałszywego profilu itp. W związku z tym, każdy z nas powinien upewnić się, czy konieczność podawania danych osobowych jest uzasadniona i celowa oraz ustalić, kto prosi o ich podanie. Jeżeli są one potrzebne do zweryfikowania naszej tożsamości np. podczas zakupu biletu lotniczego lub przy zakładaniu zaufanego profilu na stronie internetowej urzędu, to upewnijmy się, że połączenie internetowe jest bezpieczne (będzie oznaczone symbolem zielonej kłódki widniejącej po lewej stronie paska adresu w przeglądarce internetowej). Tego typu rozwiązanie techniczne powinno zapewnić, że informacje, które przesyłamy na tak chronioną witrynę, są i pozostaną prywatne oraz zabezpieczone przed dostępem osób nieuprawnionych.

10 zasad bezpieczeństwa, które powinien znać każdy internauta

Jak zatem chronić swoją tożsamość w Internecie i na co należy zwrócić uwagę, by nie stać się ofiarą cyberprzestępców? Jak zaznacza Marcin Dynak, kupowanie i płacenie on-line może być bezpieczne, wystarczy tylko znać i stosować się do kilku opisanych niżej zasad bezpieczeństwa:

  1. Wybieraj tylko bezpieczne i sprawdzone sklepy internetowe, czyli takie, o których wiadomo, że przestrzegają zasad bezpieczeństwa i stosują odpowiednie zabezpieczenia, dzięki którym dane osobowe ich klientów nie staną się łatwym łupem dla oszustów.
  2. Dokonuj płatności internetowych tylko przy udziale certyfikowanych pośredników.
  3. Nie otwieraj wiadomości e-mail i sms nieznanego pochodzenia oraz zawierających podejrzaną treść. Zwróć szczególną uwagę na wiadomości nakazujące zapłatę zaległych (w tym przypadku fikcyjnych) faktur lub podanie dostępu do konta bankowego albo danych z karty płatniczej.
  4. Zadbaj o bezpieczeństwo haseł dostępu. Hasła powinny składać się z różnych znaków (wielkie i małe litery, znaki specjalne i cyfry) oraz być odpowiednio długie (min. 8 znaków), wtedy będą trudniejsze do złamania. Co nie mniej ważne – nie posługuj się tym samym hasłem dostępu do wielu kont i pamiętaj, aby zmieniać je co jakiś czas.
  5. Nigdy nie podawaj haseł i loginów osobom trzecim.
  6. Sprawdzaj, czy bank lub sklep internetowy, z którego korzystasz, wykorzystuje szyfrowaną wersję protokołu http. Innymi słowy, sprawdź, czy adres strony poprzedza fraza „https” (np. https://www.abcdefghijkl.pl). Jeżeli nie, to takie połączenie nie jest szyfrowane, co znacząco obniża poziom zaufania do takiej witryny i warto rozważyć, czy istnieje potrzeba przekazywać tam swoje dane.
  7. Wykonując przelew bankowy on-line, nigdy nie kopiuj numeru rachunku bankowego z zewnętrznych źródeł, tylko za każdym razem wpisuj go ręcznie.
  8. Nie korzystaj z otwartych, niezabezpieczonych sieci Wi-Fi, czyli tzw. hotspotów, dostępnych w miejscach publicznych, takich jak restauracje, galerie handlowe czy lotniska, nawet jeżeli musisz skorzystać z aplikacji bankowej, aby wykonać szybki przelew. W celu zwiększenia ochrony naszych urządzeń, zasadne wydaje się rozważenie nabycia usługi VPN (z ang. Virtual Private Network), dzięki której przeglądanie Internetu, w tym także korzystanie z usług bankowych czy robienie zakupów, będzie odpowiednio zabezpieczone i niedostępne dla osób trzecich.
  9. Używaj sprawdzonych programów antywirusowych. Dzięki temu dodatkowemu zabezpieczeniu możesz mieć pewność, że zarówno Twoje dane, które udostępniasz w Internecie, jak i informacje, które przechowujesz lokalnie na komputerze lub w smartfonie, będą bezpieczne. Korzystaj tylko z oprogramowania pochodzącego z autoryzowanych, legalnych źródeł.
  10. Dokonuj regularnych aktualizacji oprogramowania na Twoim komputerze.

Źródło: Intrum

Na każde 5 ataków, które zostaną zidentyfikowane jako phishing, przypada 20, które ominęły zabezpieczenia – wynika z danych Ironscale. W 95% przypadków, złodzieje wysyłają indywidualne wiadomości, które do złudzenia przypominają codzienną korespondencję.

Phishing to w głównej mierze próba przejęcia informacji wrażliwych, czyli haseł lub tajemnic handlowych, których posiadanie pozwala m.in. na kradzież pieniędzy. Już teraz niemal 95% prób phishingu jest wysoce celowanych. Złodzieje atakują pojedyncze skrzynki odbiorcze, wcześniej zbierając szczegółowe informacje o właścicielu danego adresu e-mail. I tak w przypadku odbiorców usług takich jak telewizja czy internet, złodzieje wiedzą doskonalone z jakiej firmy korzysta dana osoba i w którym dniu otrzymuje fakturę. Natomiast w przypadku pracowników, przestępcy podszywają się pod zespół komunikacji wewnętrznej czy przełożonego. Co ważne, wiadomości do złudzenia przypominają codzienne e-maile. Złodzieje powielają już nie tylko styl i szablony językowe powszechnie używane w danej branży, lecz także coraz częściej korzystają z rzeczywistych szczegółów wyróżniających daną firmę – kopiują stopki mailowe, logotypy, a także dbają o wiarygodne tematy e-maili, zgodne z profilem działalności firmy. Przestępcy załączają też pliki czy linki chronione hasłem. Tym samym podkreślają ich znaczenie i poufność. Tak podrobione wiadomości rozsyłane są nie tylko wewnątrz przedsiębiorstwa lecz także do aktualnych i potencjalnych partnerów.

– Wykorzystanie wizerunku znanych firm w atakach phishingowych to częsta praktyka. Bez podszycia się pod instytucje wzbudzające zaufanie, ataki tego typu nie byłyby skuteczne. Dlatego tak istotne jest, aby przedsiębiorcy zadbali o własne bezpieczeństwo i wdrożyli odpowiednie zabezpieczenia. Firmy mogą m.in. włączyć funkcję, która spowoduje, że przy każdym e-mailu pojawi się specjalny znaczek uwierzytelniający – mówi Michał Walachowski, dyrektor zarządzający z EmailLabs.

Cyberprzestępcy doskonale wiedzą, iż najsłabszym ogniwem w łańcuchu bezpieczeństwa internetowego jest człowiek. W danej firmie wystarczy kilku nieświadomych zagrożenia pracowników, którzy klikną na zainfekowany link, aby zdobyć dane wrażliwe. Co istotne, wirusy są instalowane na komputerach na długi okres. Jak podaje Ironscale, czas od naruszenia do wykrycia niebezpieczeństwa wynosi średnio 146 dni.

– Newralgicznym punktem dla cyberbezpieczeństwa jest moment podejmowania decyzji przez pracownika czy otworzyć zawartość danego e-maila. Osobę świadomą zagrożenia trudniej będzie oszukać, dlatego tak istotna jest ciągła edukacja w tym zakresie. Nie można jednak pomijać znaczenia odpowiednich rozwiązań systemowych. To właśnie one są w stanie ochronić najważniejsze dane przed wyciekiem. Trzymając kluczowe informacje w chmurze możemy spać spokojnie, bo skompresowane i zaszyfrowane kopie dokumentów, umieszczane są w różnych lokalizacjach geograficznych. Dzięki temu są bezpieczne. Warto też oczywiście regularnie aktualizować oprogramowanie – podsumowuje Jakub Hryciuk, dyrektor zarządzający Onex Group.

Wypowiedź: Rafał Suchożebrski, dyrektor sprzedaży Onex Group.

Cybersquatting, typosquatting, phishing i… napad z bronią w ręku – Hekko.pl wskazuje na najpopularniejsze taktyki przestępców działających przeciw domenom w 2017 roku.

Próby nielegalnego przejęcia domen internetowych to dziś chleb powszedni. Przykładów takich działań można mnożyć – to cybersquatting, typosquatting czy phishing. Czasem domenę można stracić przez własną nieuwagę, czasem w efekcie… napadu z bronią w ręku. Sprawdziliśmy, jak oszukują cyberprzestępcy w 2017 roku i co zrobić, gdy padniemy ich ofiarą?

Domanier czy cybersquatter?

Domanierzy to osoby zajmujące się kupowaniem, sprzedawaniem, parkowaniem i kolekcjonowaniem domen internetowych. Nierzadko i niesłusznie myleni są z cybersquatterami, których działanie polega na celowej rejestracji domen z nieużywanymi przez daną firmę rozszerzeniami, celem odsprzedania ich po odpowiednio zawyżonych cenach.

Cybersquatterzy działają w złej wierze, bazując na renomie firmy korzystającej z danej nazwy czy znaku towarowego. Co zatem zrobić, jeżeli padnie się ich ofiarą? Wszystko zależy od ustalonych priorytetów. Jeżeli rozszerzenie domeny nie jest zbyt popularne (to np. „.net.pl” czy „.co”), być może warto pogodzić się ze stratą. Drugą opcją jest podjęcie negocjacji z cybersquatterem i odkupienie domeny. Trzecim rozwiązaniem – skierowanie sporu do sądu, np. Sądu Polubownego ds. Domen Internetowych przy Polskiej Izbie Informatyki i Telekomunikacji w Warszawie lub Sądu Arbitrażowego przy Krajowej Izbie Gospodarczej w Warszawie. Jeżeli udowodni się, że osoba, która zajęła domenę naruszyła prawo ochronne na znak towarowy czy dobra osobiste powoda, działała w złej wierze lub dopuściła się czynu nieuczciwej konkurencji, można doprowadzić do wycofania takiej rejestracji.

Jak ustrzec się cybersqattingu? Najlepiej zastosować profilaktykę i wykupić wszystkie najpopularniejsze rozszerzenia dla danej domeny, zatem nie tylko „.pl”, ale również „.com.pl”, „.com” i „.eu”.

Typosquatting, czyli celowa literówka

W tym przypadku oszustwo polega na rejestracji domeny o nazwie bardzo podobnej lub niemal identycznej do nazwy danej firmy lub marki. Przykładem może być adres tvn23.pl czy urządzamy.pl. Ten drugi można zakupić za nie bagatela 72 tys. złotych.

Dlaczego cyberprzestępcy stosują typosquatting? Ponieważ dzięki wykorzystaniu domeny o podobnie brzmiącej nazwie, mogą przechwytywać ruch internauty, kierując go na strony z reklamami lub własne portale (zwiększając w ten sposób liczbę odwiedzin i czerpiąc korzyści finansowe). Na szczęście sądy kładą coraz większy nacisk na kwestie związane z ochroną własności intelektualnych w internecie, traktując typosquatting jako korzystanie z cudzej marki i renomy dla uzyskania własnych korzyści.

Jak ustrzec się typosquattingu? Trzeba zarejestrować wszystkie alternatywne nazwy z możliwymi do popełnienia literówkami. Dobrze na tę okoliczność zabezpieczył się serwis aukcyjny allegro.pl. Po wpisaniu w wyszukiwarkę adresu z literówką – alllegro.pl, następuje słuszne przekierowanie na adres allegro.pl (choć allgero.pl kieruje już do typowego parkingu, czyli strony z reklamami).

Phishing, czyli uważaj na maile

Kolejną praktyką jest phishing, w którym cyberprzestępca podszywa się pod inną osobę czy firmę w celu wyłudzenia informacji lub nakłonienia do wykonania określonych działań. Ofiara najczęściej otrzymuje maila z adresu do złudzenia przypominającego adres właściwego dostawcy usług, z fakturą proforma do opłacenia lub zachętą do zalogowania się lub podania jednorazowego kodu SMS. Jeżeli wykona się tego rodzaju działanie -konsekwencje zazwyczaj są poważne.

Jak uchronić się przed phishingiem? – Przede wszystkim należy dokładnie sprawdzać nadawcę maili, szczególnie jeżeli w załączniku znajdują się dokumenty obligujące do płatności lub generują konieczność kliknięcia w link. Dobrą ochroną jest też sprawdzanie certyfikatów SSL, szczególnie w dobie najnowszej aktualizacji Google Chrome, która oznacza jako niebezpieczną każdą stronę wymagającą podania danych i nieposiadającą SSL. Jeśli jesteś operatorem strony, koniecznie pamiętaj o ochronie swojej domeny odpowiednim certyfikatem – tłumaczy dr inż. Artur Pajkert.

Pilnuj terminów

Pamiętajmy, że sam fakt rejestracji domeny nie oznacza, że stajemy się jej właścicielem. Formalnie otrzymuje się czasową możliwość jej użytkowania. Dlatego, jeżeli nie przedłuży się domeny w odpowiednim czasie, trafi ona na giełdę, skąd będzie mógł kupić ją każdy, zgodnie z zasadą: „kto pierwszy, ten lepszy”.

Przykładem jest sytuacja, jaka spotkała Klub Parlamentarny „Prawo i Sprawiedliwość”. Klub nie przedłużył domeny kppis.pl, w wyniki czego obecnie pod tym adresem można znaleźć stronę Klubu Przyjaciół Pieczywa i Sera. Według wielu spektakularną gafą na rynku domen była też sytuacja z Tchibo z początku tego roku. Z niewiadomych powodów firma nie przedłużyła wartej kilkaset tysięcy złotych domeny kawa.pl. Przypomnijmy, że adres należał do Tchibo przez ponad 10 lat.

Jak więc uchronić się przed taką sytuacją? To proste – wystarczy ustawić sobie przypomnienie o przedłużeniu domeny.

Podsumowując, jak zabezpieczyć domenę?

  1. Zarejestruj domenę we wszystkich popularnych rozszerzeniach
  2. Zarejestruj alternatywne nazwy domeny z możliwymi do popełnienia literówkami
  3. Zwracaj uwagę na maile z załącznikami, szczególnie fakturami do opłacenia
  4. Pamiętaj o regularnym odnawianiu domen
  5. Nie daj się domenowym naciągaczom, zgłaszając problem do odpowiedniego sądu

Na koniec dość ciekawy przykład z życia wzięty. Kilka tygodni temu 43-letni Sherman Hopkins z Iowa w Stanach Zjednoczonych dokonał próby przejęcia domeny, grożąc jej właścicielowi… bronią palną. W efekcie strzelaniny obaj mężczyźni zostali ranni. Niestety nie udało się ustalić, o jaki adres chodziło.

Rynek domen rozwija się w sposób dynamiczny, a wraz z nim rośnie pomysłowość cyberprzestępców, szukających sposobów na łatwy i szybki zarobek. Obecnie najpopularniejszymi praktykami domenowych hakerów jest cybersquatting, typosquatting oraz phishing, choć domenę można stracić także na skutek własnych zaniedbań. Warto zabezpieczyć się na wszystkie te sytuacje, aby uniknąć bolesnych finansowo i wizerunkowo konsekwencji – podsumowuje Jakub Dwernicki, prezes Hekko.pl.

W Polsce jest już blisko trzydzieści milionów internautów, a dostęp do sieci ma 80 proc. gospodarstw domowych. Korzystanie z zasobów świata wirtualnego daje użytkownikom wiele możliwości, ale jednocześnie jest źródłem niebezpieczeństw. W związku z Dniem Bezpiecznego Internetu, obchodzonym 7 lutego, eksperci platformy edukacyjnej Kapitalni.org radzą, jakie środki ostrożności zachować i jak korzystać z sieci, aby nie stać się ofiarą cyberprzestępców.

Mija 26 lat od momentu, kiedy w Polsce pojawił się Internet. Jak wynika z danych GUS, dostęp do niego ma już 80 proc. polskich gospodarstw domowych. Według badania PBI i Gemius – pod koniec 2016 r. w naszym kraju było już 27,5 mln użytkowników sieci.

Dziś wielu nie wyobraża sobie codziennego funkcjonowania w trybie off-line. Internetu używamy do pracy, nauki, rozrywki i zakupów. Rosnąca liczba użytkowników, a także rozwój sieci, mają niestety przełożenie również na większą liczbę oszustw internetowych. Z danych policji wynika, że w ciągu pierwszych dziewięciu miesięcy 2016 r. stwierdzono 1 223 przestępstw związanych z bankowością internetową, z czego 121 przypadków opisano jako phishing. Polega on na tym, że złodziej podszywa się pod znaną firmę lub osobę, w celu kradzieży naszych danych, np. loginów i haseł do bankowości elektronicznej.

Co zrobić, aby nie paść ofiarą cyberoszustów? Obchodzony 7 lutego Dzień Bezpiecznego Internetu, to dobra okazja, aby przypomnieć sobie najważniejsze zasady bezpieczeństwa dotyczące korzystania z sieci.

Zwróć uwagę na wiadomości, które otrzymujesz

Każdego dnia otrzymujemy kilkanaście, a nawet kilkadziesiąt wiadomości e-mail. Wiele z nich pochodzi od nieznanych nam adresatów, np. sklepów internetowych czy firm oferujących swoje usługi. Jak rozpoznać te, które zawierają szkodliwe treści?

– Sfałszowane e-maile na pierwszy rzut oka wyglądają jak zwykłe oferty handlowe. Jednak jest parę szczegółów, które pomogą nam odróżnić niegroźny spam od zainfekowanego e-maila. Nieprawidłowa nazwa nadawcy, błędy w treści wiadomości lub brak logo instytucji, to elementy, które powinny zwrócić naszą uwagę – zauważa Tomasz Jaroszek, ekspert platformy edukacyjnej Kapitalni.org.

Fałszywe wiadomości stały się prawdziwą plagą w Internecie. Jak wynika z danych Kaspersky Lab, tylko w III kwartale 2016 r. system antyphishingowy został aktywowany ponad 37,5 mln  razy na komputerach użytkowników używających produktów firmy. – Mając na uwadze te dane, powinniśmy być wyczuleni na wiadomości dotyczące opłacenia faktur, windykacji, komunikaty z serwisów aukcyjnych czy też informujące nas o wygranej na loterii. Może się bowiem okazać, że zostały wysłane przez cyberprzestępców. Jeśli nie znamy nadawcy danej wiadomości lub otrzymaliśmy fakturę od firmy, w której nie robiliśmy zakupów, to lepiej jej nie otwierać – przestrzega Tomasz Jaroszek z Kapitalni.org.

Nie podawaj swoich danych

Pamiętaj, że banki oraz inne instytucje nigdy nie proszą o przesłanie danych wrażliwych klienta drogą e-mailową. Dlatego jeśli otrzymasz wiadomość, której nadawca informuje np. o podejrzanej aktywności bądź transakcji na Twoim koncie i prosi o jak najszybszą jego weryfikację, to lepiej na nią nie odpowiadaj. Nie podawaj też swoich danych wrażliwych. W takiej sytuacji należy jak najszybciej skontaktować się z daną placówką i zapytać, czy mają coś z tym wspólnego.

Nie pobieraj załączników dołączonych do wiadomości

Każdą wiadomość z załącznikiem pochodzącą z nieznanego źródła należy traktować jako podejrzaną. Przestępcy często wykorzystują pliki spakowane w formie ZIP lub RAR, aby zainstalować złośliwe oprogramowanie na naszym komputerze. Warto zatem zwrócić uwagę na nazwę pliku oraz rozszerzenie, w jakim jest zapisany. Jeśli jest ono podwójne, np. PDF.EXE lub DOC.SCR, nie należy ich otwierać, ponieważ najprawdopodobniej zawierają szkodliwe treści.

– Samo otwarcie danego pliku nie musi być groźne – jednak niebezpieczeństwo może czaić się w środku, np. zawierać tzw. makro. Jest to dodatkowy program, który może pobrać na nasz komputer, np. konia trojańskiego. Może też wystąpić sytuacja, że po otwarciu pliku będziemy poproszeni o wpisanie hasła, załączonego w wiadomości. To powinno stanowić dla nas sygnał ostrzegawczy. Najczęściej bowiem taki plik zawiera niebezpieczne oprogramowanie. Nie dajmy się też zwieść ikonce załączonego pliku, która kojarzy nam się np.  z bezpieczną i zaufaną firmą. Przestępcy mogą bardzo łatwo ją zmodyfikować – mówi Tomasz Jaroszek, ekspert portalu Kapitalni.org.

Fałszywe linki

Przesyłanie fałszywych linków to jeden z najpopularniejszych sposobów wykorzystywanych przez internetowych przestępców. Z pozoru wyglądają jak prawdziwe adresy witryn, np. www.bankabc.pl/logowanie, jednakże przekierowują nas do fałszywej strony. Aby sprawdzić, dokąd prowadzi wysłany nam link, należy najechać na niego kursorem myszy, a w lewym dolnym rogu wyświetli się adres strony internetowej. Jeśli nie jest to oficjalny adres strony naszego banku albo innego dostawcy usług, lepiej na niego nie wchodzić.

Protokół HTTPS

Protokół HTTPS jest to szyfrowana wersja protokołu HTTP, który zapobiega przechwytywaniu naszych danych oraz ich zmienianiu.  – Banki oraz instytucje finansowe korzystają z szyfrowanego połączenia, zawsze, gdy konieczne jest zalogowanie się do systemu. Kiedy adres strony internetowej poprzedzony jest znakiem zielonej kłódki oraz ciągiem https:// to oznacza, że jest ona bezpieczna, a informacje, które przesyłamy na danej witrynie, pozostają prywatne  – mówi Tomasz Jaroszek z Kapitalni.org.

Jeżeli strona logowania np. do naszej bankowości nie zawiera nazwy protokołu w adresie, ani charakterystycznego znaku kłódki, powinieneś zachować szczególną ostrożność, nie podawać żadnych danych oraz zgłosić to swojemu bankowi.

 

Źródło:  Kapitalni.org

W dzisiejszych czasach zagrożenia z obszaru bankowości przeniosły się do Internetu. Fizyczne kradzieże portfela mają miejsce coraz rzadziej, ponieważ wszystko odbywa się drogą elektroniczną.

– Zagrożenia, które mogą nas spotkać to wirusy, które tak naprawdę nie są widoczne w momencie, kiedy logujemy się do bankowości elektronicznej. Wirusy starają się podkraść nam login albo hasło, w związku z tym istnieje ogromne niebezpieczeństwo, że zostanie dokonana transakcja bez naszej wiedzy, na zupełnie inny numer konta niż zakładaliśmy. To są główne wyzwania, które pojawiają się w bankowości elektronicznej, mówi Ewa Pasewicz, szef sektora bankowości w firmie IMPAQ.

Kolejnym zagrożeniem jest Phishing, stosowanym na szeroką skalę w Internecie. Polega na podszywaniu się pod instytucję, w tym przypadku bank, z którego korzysta dany użytkownik. W takiej sytuacji często klient nie jest w stanie spostrzec, że dzieje się coś innego na stronie bankowości elektronicznej, niż to co zazwyczaj dokonywaliśmy. Dlatego warto zachować ostrożność, na przykład sprawdzać czy na pewno jesteśmy na zabezpieczonej stronie bankowości, czy przychodzą do nas jakieś komunikaty od banków, które wcześniej nie przychodziły. Jeżeli zauważymy coś niepokojącego warto wykonać telefon na infolinię do banku i zweryfikować czy wiadomość, którą otrzymaliśmy albo strona, która nieco się zmieniła jest faktycznie efektem działań naszego banku. Możemy także regularnie sprawdzać swoje konto bankowe, czy nie została wykonana jakaś niezlecona przez nas transakcja. Bądźmy uważni, jednocześnie zachowując spokój, bowiem firmy technologiczne, które współpracują z bankami, czuwają aby ich status instytucji zaufania publicznego nie uległ zmianie.

– Naszą domeną jest działanie prewencyjne, a nie post factum, w myśl zasady, że lepiej zapobiegać, niż leczyć. To co robią nasze systemy to właśnie monitorują czy po stronie klienta nie ma wirusa oraz weryfikują zachowanie klienta. Na przykład monitorujemy zachowanie klienta, który dokonuje kilka transakcji w miesiącu z polski, a nagle widzimy, że jest dokonywana transakcja z zupełnie innego kontynentu – w takich sytuacjach możemy zablokować daną transakcje, podsumowuje Ewa Pasewicz.

Wypowiedź: Ewa Pasewicz, szef sektora bankowości w firmie IMPAQ.

Hakerzy zbierają coraz większe żniwa. Ostatnie doniesienia potwierdzają, że wzrasta liczba incydentów zwłaszcza z wykorzystaniem ataków socjotechnicznych typu phishing. Chcesz się przed nimi ochronić? Zacznij od wdrożenia kilku prostych zasad.

Phishing, forma oszustwa internetowego, która służy pozyskaniu poufnych danych, oparty jest na podszywaniu się przestępców pod instytucje, np. banki, firmy oferujące różne usługi, sklepy internetowe, a także inne osoby. Cyberprzestępcy, aby zdobyć nasze dane, takie jak numer karty kredytowej lub hasła do serwisów internetowych, najczęściej wykorzystują specjalne strony internetowe do złudzenia przypominające oryginalne. A linki do nich zamieszczają w wysyłanych  do nas masowo e-mailach oraz SMS-ach – mówi Maciej Jurczyk, inżynier ds. bezpieczeństwa informacji z ODO 24. W raporcie „Krajobraz Bezpieczeństwa polskiego internetu w 2015” CERT Polska wskazuje, że w poprzednim roku odnotowało aż 34 proc. incydentów związanych z phishingiem, o ponad 4 proc. więcej niż w 2014. Były to głównie incydenty dotyczące phishingu umieszczonego na polskich serwerach, bądź phishingu polskich instytucji, znajdującego się na serwerach zagranicznych – czytamy w dokumencie.

Jak bronić się przed działaniami phisherów? Oto kilka cennych porad:

Nie otwierać podejrzanych e-maili od nieznanych nadawców. Mogą zawierać złośliwe oprogramowania, które zainstalowane na komputerze lub telefonie będą np. śledzić każdy nasz ruch w internecie i przekazywać informacje o wpisywanych hasłach do logowania.

Ignorować mailowe prośby o przesłanie danych uwierzytelniających lub innych osobowych. Pamiętajmy, że bank, a także inne instytucje finansowe nie poproszą nas o weryfikację informacji w taki sposób.

Korzystać  z oprogramowania antywirusowego. Filtr antyphishingowy powinien wykryć zagrożenie – fałszywą bądź podejrzaną witrynę internetową – i nas zaalarmować.

Regularnie uaktualniać system i oprogramowanie na wszystkich używanych urządzeniach. Dzięki temu możemy mieć pewność, że na bieżąco łatane są wszystkie luki bezpieczeństwa i cyberprzestępcy ich nie wykorzystają.

Zwracać uwagę na to czy odwiedzane witryny posiadają protokół https. Przede wszystkim nie powinniśmy podawać danych uwierzytelniających na tych, które go nie zawierają. Protokół https oznaczony jest kłódką przy adresie strony, która oznacza szyfrowane połączenie i zaufanego dostawcę.

Przestępcy najczęściej podszywają się pod usługodawców z sektora bankowego i serwisy  płatnicze – Paypal, Wells Fargo, Bank of America. A także popularne strony internetowe, takie jak Google, Netfix, Amazon czy Dropbox, które wymagają od użytkownika podania danych osobowych przy rejestracji i logowania się w celu skorzystania z niektórych oferowanych przez nie usług – wskazuje ekspert ODO 24. Na ataki phishingowe narażony jest każdy, dlatego warto wiedzieć jak można się przed nimi zabezpieczyć.

 

ODO 24

Eksperci

Co czeka branżę Consumer Finance? Prognoza 2020

Początek nowej dekady będzie dla branży pożyczkowej pełen wyzwań. Katarzyna Jóźwik, Dyrektor General...

Polacy puszczają z dymem 105 tysięcy mieszkań rocznie

W bieżącym roku Polacy wydadzą na wyroby tytoniowe około 28 miliardy złotych – wynika z szacunków HR...

Na mieszkanie wydajemy co czwartą złotówkę

Najmocniej w ostatnim roku drożał wywóz śmieci. Według GUS podwyżka opłat wyniosła 31,3%, co więcej ...

To nie jest kraj dla bogatych ludzi – zmiany Małego ZUS-u

Dzięki rozszerzeniu Małego ZUS-u najmniejsi przedsiębiorcy każdego miesiąca zaoszczędzą średnio po k...

PKB Polski rośnie coraz wolniej. Opinia eksperta.

Polska gospodarka zwalnia. Od jakiegoś czasu mówi o tym ekonomiści. Kilka dni temu rządzący politycy...

AKTUALNOŚCI

UOKiK Idea Bank ma oddać pieniądze ofiarom GetBack

Według UOKiK Idea Bank stosował misselling, czyli oferował konsumentom obligacje GetBack w sposób ni...

Najpopularniejsze nazwiska w Polsce. Ministerstwo Cyfryzacji pokazuje dane

Najpopularniejsze nazwiska w Polsce raczej nie są zaskoczeniem. Ciekawić za to może ich liczba. Tego...

S16 – trasa ekspresowa na Mazurach. Kolejne kilometry.

GDDKIA wyłoniła wykonawcę trasy S16. Wybrany w ponownym przetargu na projekt i budowę drogi ekspreso...

Lotnisko w Radomiu. Wiemy kto je zbuduje.

Lotnisko w Radomiu a dokładnie terminal ma wykonawcę. W efekcie ponad 8 godzinach aukcji elektronicz...

Koniec PZU Tower? Na działce stanie nowy wieżowiec?

Po 20 latach Grupa PZU opuszcza warszawskie PZU Tower. Największy polski ubezpieczyciel podpisał lis...

UOKiK Idea Bank ma oddać pieniądze ofiarom GetBack

Według UOKiK Idea Bank stosował misselling, czyli oferował konsumentom obligacje GetBack w sposób ni...

Najpopularniejsze nazwiska w Polsce. Ministerstwo Cyfryzacji pokazuje dane

Najpopularniejsze nazwiska w Polsce raczej nie są zaskoczeniem. Ciekawić za to może ich liczba. Tego...

Mały ZUS Plus – nie dla freelancerów

1 lutego wystartowała nowa ulga dla najmniejszych przedsiębiorców: Mały ZUS Plus. Dzięki temu rozwią...

Przemysł 4.0: co składa się na inteligentną fabrykę?

Przemysł 4.0 - wiele osób postrzega go jako odległą przyszłość. Tymczasem, technologie takie jak Int...

Emocje i biznes: zdrowie psychiczne pracowników. Bezpłatny webinar INFOR

Przeciętnie każdy z nas spędza około 90 000 godzin swojego życia pracując. Pomimo, że w polskich fir...