W 2024 roku CERT odnotował ponad 600 tys. zgłoszeń, co oznacza olbrzymi wzrost aktywności cyberprzestępców względem 2023 roku, bo aż o 62 proc. Liczba zarejestrowanych incydentów również wzrosła, o 29 proc. Przeszło co piąty z nas lub osoba w jego otoczeniu miała do czynienia ze zhakowaniem konta w mediach społecznościowych (22 proc.) lub z phishingiem (22 proc.), czyli próbą wyłudzenia danych poprzez podszywanie się pod osobę, firmę czy instytucję. Jak się przed tym bronić?
Zachowaj czujność, nie śpiesz się i zadzwoń
Stara zasada w cyberbezpieczeństwie mówi, że najsłabszym jego elementem jest człowiek. Niezależnie od tego, jak skomplikowany klucz kryptograficzny zastosujemy, to jeśli złodziej nas przechytrzy, może uzyskać do niego dostęp. Dlatego phishing jest najpopularniejszą metodą oszustwa, w której wykorzystuje się niedoskonałości naszych procesów poznawczych.
Co zrobić? Po pierwsze, gdy w grę wchodzi podawanie hasła, dopłata za przesyłkę czy przelew pieniężny, trzeba być czujnym. Oszuści wywierają na nas presję, przekonując, że nie ma czasu, pieniądze trzeba przelać teraz, że przesyłka nie dotrze do nas bez dopłaty albo że jeśli nie zmienimy hasła tu i teraz, stracimy dostęp do konta. W takich sytuacjach należy zachować spokój; takie rzeczy nie dzieją się z minuty na minutę, a do tego nie zdarza się, by pracownik banku czy policjant dzwonił do nas z nagłą potrzebą. Warto w takich sytuacjach poprosić o dane osoby, z którą rozmawiamy, zadzwonić do instytucji, na którą powołuje się rozmówca i sprawdzić, czy naprawdę jest w niej zatrudniony. Co ważne, należy samemu znaleźć numer i nie korzystać z danych kontaktowych, które ów rozmówca nam poda.
Jeśli przychodzi do nas mail z prośbą o zmianę danych logowania albo z wezwaniem do zapłaty, trzeba uważnie sprawdzić, z jakiego przyszedł adresu. Często jest to losowy ciąg znaków, co już zdradza nam, że najpewniej jest to oszustwo. Niemniej oszuści wyspecjalizowali się w tym i starają się spreparować dane tak, by wyglądały na prawdziwe. Znów więc warto skontaktować się z instytucją, na którą powołuje się rozmówca, ale można też samemu skopiować np. adres mailowy i sprawdzić, czy odpowiada on oficjalnym danym kontaktowym. Najbezpieczniejsze jednak pozostaje zweryfikowanie informacji w banku czy na policji.
Ta sama zasada ograniczonego zaufania i dzwonienia w celu potwierdzenia tożsamości dotyczy sytuacji, gdy ktoś prosi cię o kod BLIK. Nawet jeśli robi to bliski znajomy, to możliwe, że oszuści uzyskali dostęp do jego konta na Facebooku, telefonu czy maila. Dlatego tak ważne jest, by wykonać telefon i potwierdzić, że nie mamy do czynienia z oszustwem.
Włącz dwuetapową weryfikację i ustaw silne hasło
Nawet jeśli nasze dane logowania zostały skradzione, można uniknąć przykrych konsekwencji poprzez włączenie dwuetapowej weryfikacji. Wówczas login i hasło to za mało, by dostać się do konta. Wymagane jest bowiem dodatkowe potwierdzenie logowania. Można ją wykonać na kilka sposobów:
- poprzez aplikację do autentyfikacji, które generują co kilkanaście sekund nowy kod niezbędny do logowania
- poprzez aplikację danej usługi, np. bank podczas logowania na komputerze, może prosić o weryfikację
- poprzez telefon, gdy automat dzwoni i podaje kod lub dostajemy SMS z takim kodem.
Warto też włączyć zabezpieczenia danych logowania biometrią, choć to rozwiązanie przeznaczone do logowania na telefonach, które zwiększa bezpieczeństwo, ale też przyspiesza cały proces.
Złodziejom ponadto warto utrudnić kradzież poprzez ustawienie nieco bardziej skomplikowanego hasła. Ważne, by miało ono wielkie i małe litery (najlepiej takie, które nie oznaczają nic konkretnego), znaki specjalne i liczby. Dobrym sposobem jest korzystanie z menedżerów haseł, które mogą ustalić trudne do złamania hasło za nas. W razie potrzeby dostęp do hasła można uzyskać poprzez logowanie do takiego menedżera (np. na telefonie poprzez użycie biometrii). To niewymagający sposób na zabezpieczenie najważniejszych haseł. Jeśli jednak wolicie polegać na własnej pamięci, to warto skorzystać z kilku sztuczek i na przykład stworzyć hasło, które akronimem dłuższego zdania, np.: "W każdy poniedziałek piję 3 kawy rano" daje hasło "WkPp3Kr!". Dobra praktyka to też zamiana: a na @, s na $ czy litery i na wykrzyknik. Warto ponadto mieć różne hasła do różnych serwisów, szczególnie tych najważniejszych i najbardziej podatnych na oszustwo.
Zmień hasła, które zostały skradzione
Menedżer haseł pozwala też sprawdzić, czy nasze dane nie zostały skradzione i czy należy je zmienić. Można zrobić to również przez rządowy portal bezpiecznedane.gov.pl lub poprzez stronę Have I Been Pwned. Można też włączyć alerty logowania z nowych urządzeń, jeśli usługa posiada taką możliwość.
Uwaga na "Kubę Podszywacza". BLIK ruszył z kampanią edukacyjną
BLIK wystartował z kampanią edukacyjną "Metoda na Podszywacza", która ma na celu uświadomienie użytkownikom, jak łatwo jest dziś paść ofiarą tego oszustwa. Głównym przesłaniem akcji jest promowanie nawyku weryfikacji i ograniczonego zaufania.
Materiały dostępne na stronach operatora kładą nacisk na to, by nigdy nie podawać kodu bez uprzedniego potwierdzenia tożsamości rozmówcy, używać silnych haseł i weryfikacji 2FA w mediach społecznościowych a także by dokładnie czytać powiadomienia autoryzacyjne w aplikacji banku. Technologia jest bezpieczna, to my, użytkownicy, musimy nauczyć się z niej bezpiecznie korzystać. Weryfikacja trwa 30 sekund. Strata oszczędności może boleć latami. #StopPodszywaczom.
