Dlaczego tak łatwo dajemy się okraść w sieci? "Jesteśmy strasznie niefrasobliwi podczas korzystania z technologii"

Bartłomiej Pawlak
Rzekoma dopłata do rachunku za telefon czy fałszywy bon zniżkowy do sieci dyskontów. Coraz częściej nabieramy się nawet na najbardziej trywialne formy ataku w sieci. I zazwyczaj tracimy na tym majątek. "Internautom - mam wrażenie - wciąż się wydaje, że jednym kliknięciem nie stracą wszystkich swoich oszczędności" - mówi w rozmowie z nami Piotr Konieczny, założyciel serwisu Niebezpiecznik.pl i jeden z prelegentów podczas konferencji Infoshare 2020 Online.

Bartłomiej Pawlak, Next.Gazeta.pl: Jakie są obecnie największe zagrożenia czyhające na nas (internautów) w sieci?

Piotr Konieczny, założyciel serwisu Niebezpiecznik.pl: Odpowiem przewrotnie. My sami. A raczej nasza nieuwaga i nieświadomość. Branża bezpieczeństwa sporo napracowała się przez ostatnie lata, aby użytkownikom - zanim staną się ofiarami - przekazać kilka wskazówek. Problem w tym, że my ich nie czytamy. Albo czytamy bez zrozumienia. Przykładowo, najpopularniejsze i niesłabnące od 2 lat w Polsce ataki na fałszywą bramkę pośrednika płatności. Raz, że logując się do banku powinniśmy zauważyć, że jego adres jest niepoprawny, a dwa że w powiadomieniu lub SMS-ie z jednorazowym kodem do autoryzacji transakcji też w miarę jasno stoi: "autoryzujesz operację dodania odbiorcy zaufanego do twojego rachunku", a nie żaden przelew na złotówkę za rzekomo dezynfekcje przesyłki przez kuriera. Jesteśmy strasznie niefrasobliwi podczas korzystania z technologii.

Dlaczego zatem wciąż dajemy się nabierać i sami udostępniamy cyberprzestępcom swoje dane?

Wydaje mi się, że ta nasza niefrasobliwość wynika z jednej strony z pośpiechu i braku chęci dostosowania się do nowych zasad, a z drugiej strony chyba trochę z pesymistycznego przekonania, że technologii która nas otacza i tak nie będziemy w stanie zrozumieć. Czujemy się na nią skazani. Bezsilni w kontakcie z "maszyną" lub algorytmem. Branża na pierwszy z tych problemów nic nie zaradzi - ale w na wizerunek bezdusznej maszyny mamy wpływ. Niestety nie wszyscy projektują systemy tak, aby były przyjazne i po prostu przyjemne, a nawet łatwe w użyciu. Bo skomplikowanie rodzi niezrozumienie i frustrację, a to doskonała pożywka dla wszelkiej maści oszustów i przestępców.

A może powodem jest brak odpowiedniej wiedzy na temat cyberbezpieczeństwa? Mądrzejsi o pewną wiedzą bylibyśmy w stanie skuteczniej rozpoznawać, że mamy do czynienia z phishingiem?

Też. Ale ja na przykład nie rozumiem jak działa samochód i jak nazywają się wszystkie jego części, ale nie przeszkadza mi to w tym, bym przejechał samochodem z punktu A do B. Ja samochód traktuję jak narzędzie. I tak samo powinny być traktowane komputery. Mam jednak dziwne wrażenie, że kierowcy, przynajmniej w większości, poważniej podchodzą do czytania znaków na drodze, w przeciwieństwie do osób bankujących online. Może kierowcy mają większą świadomość tego, że jeden błąd i życie może zgasnąć. A internautom - mam wrażenie - wciąż się wydaje, że jednym kliknięciem nie stracą wszystkich swoich oszczędności. A problem w tym, że stracić mogą. Klikając i nie czytając.

I tu dochodzimy do edukacji - przed wyjechaniem na drogę kierowca musi przejść szkolenie i zdać egzamin. Przed założeniem internetowego konta w banku takiego obowiązku nie ma. A jak patrzę na coraz więcej ludzkich dramatów, to wydaje mi się, że powinno się ludzi obowiązkowo szkolić przed przekazaniem im takiego dostępu. Inaczej walka nie jest fair i moim zdaniem w przypadku kradzieży to bank powinien ponosić odpowiedzialność.

Co ciekawe, patrząc na wyroki sądów w sprawach zakładanych przez poszkodowanych bankom, wygląda na to, że sąd coraz częściej podziela moje zdanie nie doszukując się w nieczytaniu przez ofiarę komunikatów czynu tzw. "rażącego niedbalstwa", a dopiero to powoduje, że w rozumieniu sądu to ofiara ona jest winna temu, że straciła pieniądze.

Czy skutecznym rozwiązaniem problemu są klucze U2F? Warto wydać te 100-200 zł, aby "fizycznie" zabezpieczyć swoje konta?

Zdecydowanie. Tylko jestem ciekawe ile osób po usłyszeniu U2F bez googlania wie, o czym rozmawiamy. Klucz U2F to jedno z cudownych rozwiązań mających w zasadzie same zalety i rozwiązujących problem phishingu do tego stopnia, że nawet jak przekażemy przestępcy swoje hasło i inne kody oraz informacje o które nas poprosi, to i tak atak nie wyjdzie. Niestety, nie każdy z serwisów internetowych wdrożył obsługę klucza, choć z tygodnia na tydzień jest coraz lepiej. Ci najważniejsi, poważnie podchodzący do bezpieczeństwa, Gmail, Facebook, Twitter, obsługę kluczy mają od dawna. Polecam, aby każdy kupił sobie i swoim znajomym na prezent taki klucz przy pierwszej lepszej okazji. I gwarantuję, że nieautoryzowany dostęp do naszej skrzynki e-mail czy Facebooka i wyciek danych, które tam mieliśmy to stres i strata zdecydowanie wyższa niż 100 złotych wydane na klucz.

Są jeszcze inne metody ochrony przed zagrożeniami w sieci, które moglibyśmy polecić typowemu internaucie?

Tam gdzie nie da się podpiąć pod proces logowania klucza U2F warto skorzystać z managera haseł, czyli narzędzia które zadba o to, abyśmy do każdego z serwisów mieli różne hasło i sam je za nas wpisze. Dzięki temu nie będziemy wszędzie używać hasła "Wrzesien2020!" i jeśli wycieknie ono z jednego z serwisów, na którym mamy konto (a prędzej czy później wycieknie) to nie będzie ani wstydu ani stresu, że zaraz ktoś włamie się na inne nasze konta w pozostałych serwisach, bo przecież wszędzie mamy to samo hasło.

O phishingu mówimy najczęściej w kontekście indywidualnych użytkowników internetu. Czy pracownicy firm również mają się czego bać?

Tak, choć trzeba powiedzieć, że nad przeciętnym Kowalskim mają przewagę w postaci firmowego zespołu bezpieczeństwa, który jest w stanie wykryć pewne nieprawidłowości i zareagować tak, aby pokrzyżować plany atakującemu. Zwykłego Kowalskiego nikt nie chroni...

Jak w takim razie mogą przed phishingiem zabezpieczać się firmy? Czy skutecznym rozwiązaniem mogą być szkolenia pracowników czy jest jakaś inna, lepsza metoda?

Od lat atakujemy polskie i zagraniczne spółki, symulując pracę prawdziwych włamywaczy i zaobserwowaliśmy, że edukacja pracowników działa, ale jeśli jest poprawnie przeprowadzona, nie w oderwaniu od problemu - a jako jego rozwiązanie. Dlatego my najpierw ich atakujemy, podszywamy się pod przełożonych, klientów, przedstawicieli znanych firm i wykradamy dane. Na podstawie tych ataków budujemy skrojone pod klienta szkolenie, mówiące nie o phishingu na szefa kampanii prezydenckiego Hillary Clinton gdzieś w USA, a o ataku który miał miejsce w tej firmie, tydzień temu. Atak służy nam do zebrania informacji i materiału szkoleniowego, który potem analizujemy z pracownikami i pokazujemy gdzie popełnili błędy i które z procedur trzeba poprawić oraz jakie narzędzia dodatkowo warto byłoby wdrożyć. Tylko takiego szkolenia słuchać będzie każdy, nawet Ci co zazwyczaj przychodząc na salę wykładową kręcą nosem twierdząc, że wszystko wiedzą. Tacy ludzie szybko zmieniają zdanie jak zobaczą na slajdzie dokumenty projektu, które sami przesłali atakującemu bo nie zorientowali się, że dali się podejść. Strategia zimnego prysznica, chociaż często reakcje i zmiany są gorące jak po wybuchu bomby atomowej.

Na coś jeszcze (poza phishingiem) powinni uważać przedsiębiorcy?

Często wyobrażamy sobie, że to ci źli hakerzy z internetu są naszym największym zagrożeniem. A może się okazać, że problemem i źródłem wycieku danych będzie pracownik. I to niekoniecznie sabotażysta, podkupiony przez konkurencję. Po prostu ktoś, kto niechcący - a raczej na skutek braku odpowiednich procedur i weryfikacji oraz przeszkolenia - umieścił plik z grafikiem reszty pracowników w publicznie dostępnym katalogu, gdzie zapoznać się z nim mogły osoby postronne. W czasach RODO taka pomyłka może w rezultacie skutkować nawet dotkliwą stratą finansową. Warto więc wykonać tzw. analizę ryzyka i zawczasu określić co jest dla nas najważniejsze, wytypować wszystkie możliwe zagrożenia i tak wydać budżet na bezpieczeństwo aby zaadresować te najbardziej prawdopodobne i dotkliwe w pierwszej kolejności. Niestety, łatwiej powiedzieć niż zrobić, bo większość firm nie ma nawet jednoosobowego działu bezpieczeństwa...

Jak zdaniem ekspertów będą zmieniać się trendy dotyczące zagrożeń w sieci? Powstaną nowe, bardziej skuteczne metody wykradania danych czy wciąż przestępcy będą stawiać na proste, ale sprawdzone sposoby na oszukanie internautów?

Pewnie fajnie byłoby zakończyć naszą rozmowę wizją uzbrojonej po zęby sztucznej inteligencji, mentalnego malware i człowieka zdominowanego przez technologię. Ale uważam że jeszcze długa droga przed nami, zanim tak czarny scenariusz będzie możliwy do zrealizowania. Z naszych obserwacji wynika, że przestępcy nie są zbyt innowacyjni. Raczej tłuką w kółko te same scamy i ataki, bo zawsze kogoś upolują, bo zawsze ktoś nie doczyta, bo zawsze ktoś się spieszył, bo zawsze ktoś jest roztargniony. A skoro jakiś atak działa i jest tani, to z punktu widzenia internetowego przestępcy jest skuteczny, nawet jeśli dobrze znany. To z jednej strony duży plus dla osób budujących bezpieczeństwo, bo można ludzi ostrzec przed atakiem będącym odgrzewanym kotletem, ale z drugiej strony piękna i bolesna ilustracja tego, że bezpieczeństwo to jest proces a nie produkt. Nie wystarczy raz kupić pięć kilo bezpieczeństwa i mieć spokój na 2 lata. Trzeba ciągle obserwować co się dzieje, ostrzegać ludzi, a potem znów obserwować i znów ostrzegać, ale już nowe osoby, które stale dołączają do grona internautów. Im szybciej tę wiedzę dostaną, tym wszyscy będziemy bezpieczniejsi.

---

Infoshare 2020 Online - wirtualny festiwal społeczności napędzanej technologią!

Najnowsze trendy technologiczne, startupy, innowacje, wyzwania biznesu w czasach pandemii. To wszystko podczas Infoshare 2020. Największa konferencja technologiczna w Europie Środkowo-Wschodniej w formacie online, transmitowanym na cały świat z Gdańska potrwa 6 dni i odbędzie się w dniach 23-25 i 28-30 września. Na uczestników czeka aż 9 scen tematycznych z prelekcjami na żywo i niespotykane dotąd możliwości networkingu.

Kup bilet już dziś!