Blog

Jak się „nie dać” we współczesnym świecie komputerów?

2018-04-06

bezpieczenstwo w swiecie ITKochamy internet i jednocześnie go nienawidzimy, chcemy mieć dostęp do danych i tak samo mocno pragniemy ich strzec. Czy to dlatego tak łatwo dajemy się złapać phishingowym oszustom?

Żyjemy w czasach, kiedy nikt już nie może przejść obojętnie wobec „potęgi”, jaką stał się Internet. Często nawet nie zdajemy sobie sprawy, że tak naprawdę z każdej strony otacza nas „sieć”. Najprostszym przykładem może być zwykły smartfon, który de facto jest niczym więcej jak miniaturowym komputerem, który każdy nosi w kieszeni. Oczywiście znajdą się ludzie, którzy twierdzą, że „wyłączają dostęp do Internetu w smartfonie i używają go tylko wtedy, kiedy jest naprawdę potrzebny”. Spójrzmy jednak prawdzie w oczy – smartfon bez dostępu do sieci, przestaje być smartfonem! I w tym właśnie miejscu moglibyśmy zadać sobie pytanie – dlaczego ludzie jeszcze czasem próbują odciąć się od wszechobecnej sieci? Przecież dostęp do Internetu daje nam nieograniczone niemal źródło informacji! Uzbrojeni w zwykły smartfon, możemy nie ruszając się z kanapy zamówić jedzenie, taksówkę, sprawdzić (czasem nawet całkiem dokładną) prognozę pogody i wykonać wiele innych czynności, które tak naprawdę jeszcze zaledwie kilka lat temu wydawały się rodem z filmów SF. Dlaczego wiec „boimy” się Internetu? Odpowiedz jest prosta – ponieważ Internet oprócz wspomnianych wcześniej korzyści, niesie też ze sobą szereg zagrożeń.

Musimy tu jednak pamiętać, że sam Internet nie jest „zły” i „niebezpieczny”. Ktoś kiedyś powiedział, że technologia sama w sobie nie jest ani dobra, ani zła – jest tylko narzędziem w rękach człowieka. Jeśli za kierownicą samochodu siedzi policjant – wykorzysta on zapewne możliwości, jakie daje auto, żeby pomagać ludziom i ścigać przestępców. Ale jeśli za kierownicą siedzi bandyta? Wtedy to samo auto użyte może zostać do zupełnie innych celów. Po drugiej stronie zawsze jest człowiek i to właśnie z jego strony za pośrednictwem sieci, jesteśmy narażeni na różnego typu niebezpieczeństwa.

No właśnie, ale czego tak naprawdę najbardziej boimy się będąc „on-line”? Wirusów? Utraty konta na Facebook? Kradzieży pieniędzy z konta? Boimy się tego wszystkiego – razem i z osobna.

Generalnie rzecz biorąc, można więc powiedzieć, że boimy się utraty/wycieku danych. Danych o nas samych, danych o naszej rodzinie, znajomych, danych naszych kont bankowych. Boimy się, że ktoś te dane nam ukradnie i wykorzysta przeciwko nam.

I prawdę mówiąc nie są to obawy całkiem nieuzasadnione. Nie starczyłoby i dnia, żeby opowiedzieć o wszystkich możliwych zagrożeniach, jakie czyhają na nas w Internecie, dlatego postaram się zwrócić uwagę i zasygnalizować tylko te najczęstsze i te, których ofiarą możemy bardzo łatwo paść.

„Łamałem ludzi, nie hasła” – tak zatytułował swoją książkę Kevin Mitnick, jeden z bardziej znanych swego czasu na świecie hackerów. I tu wydaje mi się tkwi sedno sprawy. Przed utratą danych zabezpieczamy się na tysiąc sposobów – poprzez mniej lub bardziej skuteczne programy antywirusowe, poprzez mniej lub bardziej skuteczne zapory (firewall), ale zapominamy, że to właśnie człowiek jest najsłabszym ogniwem. Choćbym miał zainstalowane najlepsze oprogramowanie zabezpieczające na komputerze, a po otrzymaniu „podejrzanego” maila, ignorując wszelkie (jeśli się pojawią) ostrzeżenia i tak kliknę w otrzymany tam link….to często otwieram złodziejowi furtkę do mojego komputera i moich danych.No właśnie, jak to więc jest z tymi „podejrzanymi” wiadomościami email? Z fałszywymi komunikatami ze strony mojego banku, któremu przecież ufam, w końcu powierzyłem mu swoje pieniądze? To phishing, czyli popularna metoda wyłudzania danych.

Co to jest phishing?

Skorzystajmy z dobrodziejstw Internetu, żeby znaleźć jego definicję 🙂 Pierwsza, jaka mi się pokazała, po wpisaniu szukanej frazy w wyszukiwarce to: „Phishing obejmuje kradzież haseł, numerów kart kredytowych, danych kont bankowych i innych poufnych informacji. Wiadomości phishingowe przybierają zazwyczaj formę fałszywych powiadomień z banków, komunikatów od dostawców systemów e-płatności i innych poważanych organizacji”. A przekładając to na bardziej ludzki język – jak sama nazwa mówi, jest to metoda polegająca na „łowieniu” istotnych dla oszusta informacji. Dokładnie tak samo jak podczas wyprawy na ryby, kiedy spokojnie siadamy, wyjmujemy wędkę, zakładamy przynętę, zarzucamy i czekamy! Tak samo działa oszust: zarzuca przynętę, którą w tym przypadku może być zmyślnie spreparowana wiadomość od mojego banku, która informuje mnie, że muszę niezwłocznie zaktualizować swoje dane osobowe, ponieważ jeśli tego nie zrobię stracę dostęp do konta. A żeby było mi łatwiej „tu mam link” w który wystarczy kliknąć, zalogować się i po kłopocie…Nic prostszego, prawda? Takie banalne oszustwo i wydawać by się mogło, że każdy powie: „Ja? Nigdy w życiu nie dałbym się nabrać na coś takiego” A jednak, nabieramy się i to, jak życie pokazuje, dość często. A to przecież tak prosta przynęta – zwykły „robak na haczyku”, nic wymyślnego – ot zwykły ładnie pokolorowany email. Dlaczego więc się nabieramy?

Przyczyn jest wiele – najczęstszą jest strach. W 90% przypadków takie wiadomości straszą nas, że jeśli czegoś nie zrobimy (nie zaktualizujemy swoich danych, nie opłacimy faktury) stracimy „dostęp”. Dostęp do czego? To już sprawa drugorzędna, wystarczy sama groźba, że coś zostanie nam zabrane. Kolejnym aspektem jest zawsze aspekt wizualny – jeśli coś wygląda jak futerał na gitarę, to musi być futerałem na gitarę, prawda? Nikt nie zakłada, że tak naprawdę jest to skrytka na broń. Więc jeśli coś do złudzenia przypomina stronę mojego banku, to przecież musi nią być!

Jak się zatem skutecznie chronić przed phishingiem, kiedy wszystkie zabezpieczenia na moim komputerze zawiodły? Przecież mój program antywirusowy i firewall (za które czasem nawet zapłaciłem) nie uznały takiej wiadomości za zagrożenie! Tu niestety jedyną skuteczną metoda jest… zdrowy rozsądek.

A o sposobach, które ten zdrowy rozsadek mogą wspomóc, postaram się opowiedzieć w kolejnym wpisie.

Zdjęcie: Freepik.com

Łukasz Walicki

Pracownik Poznańskiego Parku Naukowo-Technologicznego w latach 2014-2022.

Były Administrator Systemów Informatycznych w DataCenter PPNT.

Odpowiadał za utrzymanie środowiska VMware, VMware vCloud Director, systemów Microsoft oraz systemów archiwizacji danych. Absolwent Uniwersytetu Ekonomicznego w Poznaniu, wydział Informatyki i Gospodarki Elektronicznej. Swoją ponad 10-letnią karierę w branży IT rozpoczął w Wydawnictwie Forum w Poznaniu, jako Administrator. Równolegle rozwijał swoje umiejętności trenerskie, prowadząc szkolenia informatyczne w Action Centrum Edukacyjnym. W latach 2009-2014 pracował na stanowisku Administratora w Solaris Bus&Coach S.A., gdzie odpowiadał za utrzymanie systemów Windows, Linux i baz danych.

Doświadczony wdrożeniowiec, pasjonat technologii Cloud oraz szeroko pojętej wirtualizacji.