Świat zagrożeń w świecie wirtualnym przypomina ten realny
Czas liczy się bardzo, gdy w sprawę wchodzi przejęcie naszej tożsamości czy wykradzenie danych dotyczących karty kredytowej. Ale nie tylko, również sprawna prewencja, w której możemy być jak najbardziej aktywnymi uczestnikami, odgrywa wielka rolę.
Historia sprzed ok. 20 lat. Do sklepu odzieżowego w centrum Warszawy wchodzi młoda para. Wybiera kurtkę, która podoba się chłopakowi, dziewczyna płaci za nią 200-złotowymi banknotami. Suma akurat się zgadza, grosz reszty jest zbędny. Klienci szybko wychodzą się ze sklepu, podejrzanie szybko. Roztargniony sprzedawca dopiero po chwili sięga po pieniądze, by schować je do kasy. Pech chce, że tego dnia było deszczowo i blat przy kasie również był wilgotny. W ułamku sekundy zarobek zamienia się w plamę na kontuarze. Banknoty były drukowane, i to chałupniczą metodą na drukarce atramentowej.
Socjotechnika to nie wytwór świata cyfrowego. Była z nami od zawsze
Jaki błąd popełnił sprzedawca? Za bardzo interesował się klientami, nie sprawdził, czy banknoty są prawdziwe, choć mógł to zrobić. Takie oszustwo miało miejsce, gdy bankowość elektroniczna poprzez smartfony była jeszcze odległą wizją, wirusy kojarzyły się nam raczej ze szkodnikami w systemie operacyjnym, a perspektywa "wyczyszczenia" naszego konta w banku wydawała się mało prawdopodobna. Czasy, gdy 80 proc. zagrożeń stanowiło złośliwe oprogramowanie, to już przeszłość, dziś działania cyberprzestępców koncentrują się na phishingu (wyłudzaniu danych, a w efekcie cennych informacji czy wręcz pieniędzy, gdy taki oszust będzie w stanie dokonać przelewu z naszego konta lub my sami nieumyślnie je przelejemy).
Ta historia pokazuje, jak bardzo podobny jest świat dzisiejszych zagrożeń, choć inne są wektory ataku, czyli dotarcia do oszukiwanej lub okradanej osoby. Socjotechnika to być może określenie, które kojarzy się dziś wyłącznie ze spamem e-mailowym, czy połączeniami telefonicznymi, które wykorzystują CLI Spoofing (podszywanie się pod numer obcej osoby/instytucji) i fałszywymi SMS-ami. Jednak i te 20 lat temu sklepowi oszuści zadziałali w sposób, który uderzył w słabość ofiary. Przekonali sprzedawcę, że płacą prawdziwymi pieniędzmi i sprawili, że nie weryfikował ich wiarygodności. Tak samo dzieje się dziś, z tą różnicą, że cyberprzestępca nie jest już osobą, która przed nami stoi, a tylko wirtualnym bytem. Dzięki technologiom AI, zdolnym dziś wygenerować nie tylko przekonujący SMS czy e-mail, ale też mowę danej osoby pełną emocji tylko na podstawie kilkunastosekundowej próbki głosu, taki byt może stać się czymś prawie rzeczywistym.
Szybka reakcja na cyberatak, nawet nieudany, jest esencją bezpiecznego internetu
Dziś, gdy stajemy w obliczu cyberprzestępstwa lub padamy jego ofiarą, ważna jest szybka reakcja. Im szybsza, tym wcześniej uda się zagrożenie zdusić w zarodku. Bo nie wszystko dzieje się natychmiast. Phishingowa kampania reklamowa poprzez SMS nie wysyła się w sekundę, zajmuje to trochę czasu, a zespoły takie jak CERT Orange Polska są w stanie z nią walczyć. Oczywiście z korzyścią dla nas.
Jak reagować? Gdy do skrzynki pocztowej jako e-mail lub na telefon jako SMS trafi informacja, która ma choćby najmniejsze znamiona cyberprzestępstwa, warto wysłać ją np. na numer CERT Orange Polska (dla użytkowników usług mobilnych Orange wysłanie takiego SMSa jest bezpłatne). Ten numer w przyszłości, jak powiedział nam szef CERT Orange Polska, Robert Grabowski, powinien pojawić się w kontaktach domyślnie umieszczanych na karcie SIM. I dobrze, bo warto mieć taki przyjazny kontakt pod palcem.
Warto śledzić aktualności i ostrzeżenia na stronach CERT Orange Polska, na Twitterze @CERT_OPL, a także w każdy czwartek na blogu Orange. Ważne jest także reagowanie – jeśli otrzymamy wiadomość z linkiem, SMS-em lub na komunikatorze, która zawiera link i wzbudza nasz niepokój czy choćby niepewność lub zauważymy podejrzaną reklamę w mediach społecznościowych. Warto przesłać je SMS-em na numer 508 700 900. Pozwoli to na skuteczniejszą ochronę wielu osób przed oszustwem. Wysłanie wiadomości na 508 700 900 jest darmowe dla klientów usług mobilnych Orange Polska.
CyberTarcza, unikalne rozwiązanie wśród polskich operatorów
Orange w ramach swoich sieci dostępowych oferuje swoim użytkownikom bardzo ważne narzędzie, do którego nie miał dostępu nasz sprzedawca sprzed 20 lat, czyli CyberTarczę. Powstała ona prawie dekadę temu, choć początkowo tylko klienci Neostrady byli w pełni świadomi tego, jak dużo ona znaczy. W 2022 r. ochroniła już 5,1 mln użytkowników. Rok wcześniej zablokowała aż 150 tys. domen phishingowych, ponad 10 razy więcej niż w 2019 r. W 2020 r. do arsenału technik CyberTarczy dołączyło uczenie maszynowe i sztuczna inteligencja. Dzięki temu możliwe jest szybkie i skuteczne blokowanie całych grup subdomen, bo jak się okazuje, bywają wykorzystywane do setek ataków przez krótki czas i są ciągle zmieniane.
Raport CERT Orange za rok 2022 to ciekawe opracowanie sytuacji na rynku cyberzagrożeń, które powinno zainteresować nie tylko fachowców, ale także (i to przede wszystkim) zwykłych użytkowników sieci.
CyberTarcza, choć chroni, to bynajmniej nie zwalnia nas z myślenia. Musimy zawsze się pilnować, bo cyberprzestępcy, gdy jedna metoda ataku nie wypali, zaraz szukają innej. Warto budować swoją świadomość zagrożeń i tego, jak one się rozpowszechniają. Doskonałą lekturą jest najnowszy raport CERT Orange Polska za rok 2022. Wbrew pozorom to nie wyłącznie zbiór suchych liczb i wykresów, ale też kolekcja ciekawych artykułów, które ilustrują pomysłowość cyberprzestępców.
Dodajmy do CyberTarczy Orange naszą "osobistą tarczę". To się opłaci
Skoro my myślimy, to po co CyberTarcza? Po to, by tych zagrożeń, z którymi możemy się zetknąć, było jak najmniej. Bo to, że ktoś kiedyś spróbuje nas zaatakować, jest praktycznie w 100 proc. pewne. Gdy tak się zdarzy, łatwiej będzie nam zareagować. A to oznacza, że i my musimy mieć własną osobistą tarczę, bo pewnych rzeczy nie zrobi za nas żadna technologia.
Każdy internauta powinien:
· Dążyć do zrozumienia podstaw działania usług, z których korzysta, by poznać działania dozwolone i te, które nie powinny mieć miejsca. To podobna zasada jak w prawie, która mówi, że jego nieznajomość nie jest wytłumaczeniem.
· Starać się być cierpliwym. Szybkie klikanie w "Tak" i "Akceptuję" to pierwszy krok do problemów. Przestępcy, skoro potrafią podszyć się pod inny numer telefonu, tym bardziej zadbają o maskowanie fałszywych linków. Ale czasem nie trzeba aż tak wyrafinowanych działań, szczególnie gdy celem są osoby starsze, mniej wyedukowane w kwestiach działania komputerów.
· Uczyć się nie udostępniać żadnych swoich danych na życzenie/żądanie dzwoniącego do nas rozmówcy.
· Mieć aktualne oprogramowanie na telefonie, komputerze, odpowiednie i różnorodne hasła oraz stosować zasadę zero zaufania, np. uważając podczas powierzania instytucjom wykonywania działań za nas. Takim działaniem jest np. zlecenie terminowych płatności.
Poznaj techniki, jakich używają cyberprzestępcy
I jeszcze jedna ważna rzecz, czyli znajomość technik, jakimi posługują się cyberprzestępcy. Statystyki kanałów i scenariuszy oszustw są pomocne, gdy chcemy wiedzieć, jak się przed nimi ustrzec. Oszustwa bazujące na socjotechnice i manipulacji – czyli różnego rodzaju phishing stanowił w ub. roku ponad 40 proc. wszystkich, jakie zarejestrowano w sieci Orange Polska. Kreatywność cyberprzestępców w sposobach dotarcia do potencjalnych ofiar zdaje się nie mieć granic. Bardzo dobrze wykorzystują kontekst bieżących wydarzeń. W ubiegłym roku, kiedy zaczynała nam doskwierać inflacja, najczęściej tworzono fałszywe oferty inwestycji, oczywiście z obietnicą szybkiego i dużego zarobku. W czasie kiedy rozliczamy się z urzędem skarbowym, mnoży się phishing z wezwaniem do "dopłaty" podatku. Wojnie za naszą wschodnią granicą towarzyszy zalew dezinformacji, ale też emocjonalnych fake newsów, które mogą służyć do wyłudzania danych i pieniędzy – np. poprzez fałszywe zbiórki pieniędzy. Oszuści udają też firmy kurierskie, dostawców energii i rozsyłają SMS-y z linkami do fałszywych stron płatności pod pozorem drobnej niedopłaty, czy aktualizacji aplikacji. To ostatnie może skutkować ściągnięciem na telefon złośliwego oprogramowania wykradającego nasze dane.
Innym rodzajem oszustwa są sfałszowane połączenia telefoniczne. Także w tym przypadku najważniejszym narzędziem w rękach przestępców jest manipulacja. Wykorzystują oni mechanizm CLI Spoofingu by uwiarygodnić podszycie się pod inne osoby czy instytucje takie jak banki czy urzędy i wyłudzić dane lub pieniądze.
Dlatego warto być świadomym własnych działań i nie reagować strachem i paniką na informację od osoby dzwoniącej do nas, że nasze konto jest kontrolowane przez przestępców i musimy przelać środki na podany rachunek techniczny. W takiej sytuacji kluczowa jest chwila refleksji i ostudzenie emocji.
Słaby punkt cyberprzestępców to ich wiara, że są nie do namierzenia. Dlatego gdy tylko zapali się nam w głowie lampka ostrzegawcza, a powinno wystarczyć do tego każde żądanie danych, które druga strona powinna znać, czy oczekiwanie podjęcia narzuconej decyzji, np. o przelewie środków, trzeba temat drążyć. Co nam szkodzi zadzwonić do banku i potwierdzić tożsamość rozmówcy czy wiarygodność SMS-a? Wstyd i obawa przed potraktowaniem jako niedowiarka to źli doradcy. I trzeba ich z naszej świadomości wyplenić.
