Lepiej zapobiegać, niż leczyć ― tę zasadę warto wcielić w życie wirtualne, gdzie czyha na nas wiele niebezpieczeństw. Najpopularniejszym jest phishing. Sprawdź, jak chronić się przed cyberatakiem.
W pandemii internet tętni życiem jak nigdy wcześniej, a liczba cyberataków istotnie wzrosła. Przestępcy chcąc wykraść wrażliwe dane lub poufne informacje, biorą na celownik m.in. nasze skrzynki poczty elektronicznej. Aby uchronić się przed nieprzyjemnymi konsekwencjami takiego ataku, należy przestrzegać ściśle określonych zasad bezpiecznego surfowania po sieci.
7 zasad bezpiecznego korespondowania
Zasady bezpieczeństwa w internecie jak mantrę powtarza CERT Polska. To działający w ramach Naukowej i Akademickiej Sieci Komputerowej (NASK) zespół ekspertów, który zwalcza e-zagrożenia i edukuje społeczeństwo, jak uchronić się przed cyberprzestępcami. Co radzi w zakresie bezpiecznego użytkowania poczty elektronicznej i mediów społecznościowych.
-
Oddziel sprawy prywatne od służbowych
Nie używaj prywatnych kont poczty elektronicznej i komunikatorów do korespondencji służbowej! Porada może wydawać się banalna, ale tegoroczne wydarzenia z udziałem szefa Kancelarii Prezesa Rady Ministrów (KPRM) w roli głównej, pokazują, że bagatelizowanie jej może przynieść opłakane skutki. Sprawa tzw. afery mailowej odbiła się szerokim echem w mediach, kompromitując urzędnika państwowego.
Zasadę: oddziel sprawy prywatne od zawodowych należy stosować także w odniesieniu do komputerów i telefonów. Eksperci ostrzegają przed czytaniem służbowej korespondencji na prywatnym urządzeniu oraz przed udostępnieniem jej rodzinie lub innym osobom z bliskiego otoczenia.
-
Dostrzegaj niepokojące sygnały i reaguj
Logując się na konto sprawdzaj, czy domena portalu (nazwa, która znajduje się między “http://” a następnym znakiem “/”) jest prawidłowa. Przestępcy wykorzystują domeny o zmodyfikowanych nazwach w stosunku do domeny atakowanej, np. przestawiają litery. Łatwo to przeoczyć, dlatego te ataki są bardzo skuteczne. Atakujący wykorzystują przejętą korespondencję np. do szantażowania ofiary lub wyłudzenia pieniędzy.
Ignoruj wszelkie wiadomości z prośbą o podanie hasła. To typowy atak phishingowy, czyli próba wyłudzenia danych do logowania polegająca na podszyciu się pod zaufane osoby (administratorów poczty, banki, firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych itp.). Jej celem jest zdobycie informacji umożliwiających przejęcie Twojego konta. Podejrzane wiadomości na skrzynce służbowej zgłaszaj administratorom z Twojej organizacji, a prywatnej ― na adres: [email protected]. Specjaliści od cyberbezpieczeństwa przede wszystkim ostrzegają przed wiadomościami, które zawierają załączniki lub linki i nakłaniające adresata do natychmiastowej reakcji.
Bardziej niebezpiecznym rodzajem phishingu jest spear phishing. To atak wymierzony w konkretną osobę. W tym przypadku przestępcy mogą podszywać się pod naszych partnerów biznesowych, z którymi współpracujemy, a wiadomość może być spersonalizowana ― bezpośrednio odwoływać się do naszych relacji. To działanie często poprzedzone jest dokładnym rozpoznaniem przez atakującego naszej firmy, urzędu lub dostępnych o nas danych w mediach społecznościowych.
Jeśli podejrzewasz, że na Twoje konto mógł się ktoś włamać, niezwłocznie zmień hasło, a następnie sprawdź w profilu historię logowania i zakończ wszystkie aktywne sesje.
-
Stosuj długie hasła
Według ekspertów CERT najlepsze hasła to te zawierające powyżej 14 znaków. Tutaj sprawdzają się całe frazy, składające się z kilku słów ― np. “2CzerwoneRoweryJedzaNalesniki’. Można wpleść w nie dodatkowo znaki specjalne: „!@#$%^&*()_+=-/’:;.><,|\]}[{|”, co wzmocni zabezpieczenie.
Należy unikać haseł, które łatwo powiązać z publicznymi informacjami na nasz temat ― np. datą urodzin lub nazwiskiem. Hasło zawsze należy zmienić wtedy, gdy mamy podejrzenie, że mógł je ktoś poznać. Co ważne, nie powinno się używać tego samego hasła w kilku miejscach ― w szczególności do poczty elektronicznej i bankowości internetowej.
-
Włącz dwuskładnikowe uwierzytelnienie
Wszędzie tam, gdzie tylko jest to możliwe, zabezpiecz się podwójnie. Umożliwia to tzw. weryfikacja dwuetapowa (2FA). Polega ona na wpisaniu loginu i hasła, a następnie autoryzacji tej operacji np. za pomocą kodu przychodzącego na numer telefonu komórkowego. Według ekspertów CERT, najlepiej w zabezpieczeniu dwuetapowym sprawdza się token sprzętowy U2F, bo jest on odporny na ataki phishingowe.
-
Aktualizuję dane kontaktowe
Zweryfikuj swoje dane kontaktowe w ustawieniach profilu poczty elektronicznej i mediów społecznościowych. Jeśli są przestarzałe, to zaktualizuj je ―pamiętaj, że alternatywny sposób kontaktu z Tobą ułatwi odzyskanie utraconego konta.
-
Nie zaniedbuj oprogramowania
Na bieżąco aktualizuj system operacyjny i programy komputerowe. Aktualizacje robione są po to, aby naprawić błędy i usprawnić system. Ich najważniejszą funkcją jest zamykanie luk w zabezpieczeniach, co chroni przed atakami hakerów.
Pamiętaj o tym, aby zawsze mieć aktualny program antywirusowy. Co ważne, VPN nie chroni Cię przed atakami phishingowymi i złośliwym oprogramowaniem.
-
Zabezpiecz się dodatkowo
Korzystaj z zaszyfrowanych komunikatorów (np. Signala) do prywatnej, wrażliwej korespondencji. Ponadto warto używać opcji automatycznego kasowania wiadomości po upływie określonego czasu.