Jeśli jesteś na świeczniku, to pamiętaj, że będziesz miał do czynienia z różnymi typami ataków różnych typiarzy i typiar. Ci typiarze i typiary będą szukać wszystkich twoich danych osobowych. Będą robić rozkminkę twoich haseł, aby zwiększyć skuteczność ataku. Potem się spróbują włamać do ciebie. Do kompa, telefonu, twojej skrzynki pocztowej, mailowej. Spróbują zniszczyć ci życie.
Jak to zrobią? Nawet tego nie zauważysz. Podeślą ci linka w mailu, napiszą coś miłego na LinkedIn, na Messengerze albo wyślą mailem kolorowy raport. Jak się nie uda, to poszukają słabych punktów w twoim otoczeniu (rodzina, kuzynka czy kochanka).
- Spotkania z klientami na zoomie już nie wystarczą. Jak cyfryzować firmę, żeby klient cię pokochał? Impresje Samcika i nie tylko [BIZNES BEZ PAPIERU]
- Hosting, czyli za co tak naprawdę płacisz? Jak wybrać firmę, z którą nie grozi ci "blackout" strony, e-sklepu lub bloga?
- Prywatność w sieci. Jak ją chronić przed oszustami, szpiegami, złodziejami i... rządem? Wystarczy zrobić tych kilka rzeczy
Jeśli będą zdeterminowani to włamią się do domu lub do bryki. W ostateczności ukradną ci telefon albo laptopa. Możesz liczyć na ich pomysłowość: zawsze!
Wielu z tych typiarzy to amatorzy, ale wśród nich na pewno są profesjonaliści, którzy są bez skrupułów i mogą mieć złe zamiary wobec Ciebie, Twojego mocodawcy czy pracodawcy i mocodawcy Twojego mocodawcy.
Poniżej 10 rad dla ludzi na świeczniku. Dzięki nim nie dasz sobie ukraść swoich danych czy nawet tożsamości.
1. Słuchaj swojego bezpiecznika
Każda korporacja czy ministerstwo ma bezpieczników, czyli żywych ludzi w Departamencie Bezpieczeństwa. To dziwni ludzie, bywa, że miewają zaburzenia psychiczne, ale warto żyć z nimi w zgodzie. Dlaczego mają na przykład schizofrenię? Dlatego, że wszędzie wietrzą niebezpieczeństwo i złodziei. Odwrotnie niż większość normalnych ludzi bezpiecznik zakłada, że coś się w człowieku zepsuje, że ktoś ukradnie hasło, że będzie się chciał włamać. Nikomu nie ufają. Nawet Tobie. Tak, tak nie ufają Tobie, chociaż możesz nawet być ich przełożonym. Bezpiecznik wie, że wozisz laptopa z tajnymi danymi w bagażniku, kiedy jedziesz do centrum handlowego, czy odstawiasz po drodze do roboty dziecię do przedszkola. On wie, że na służbowym komputerze zaglądasz do swojego internetowego banku.
On wie, że chcesz w domu przejrzeć jakieś dane i nie będzie ci się chciało zabrać służbowego laptopa, bo żona się denerwuje, że za dużo pracujesz i dzieci wiszą ci na głowie, a ty masz i tak mało czasu na wszystko.
Ale ten bezpiecznik ma rację. (He is right). Utrudni ci życie po to, abyś nie miał problemów. Jego pomysły są czasem mało wygodne. Blokuje twoje maile służbowe. Blokuje laptopa zdalnie. Zabiera ci prawo dostępu i administracji komputerem. Wskazuje ci, co wolno a czego nie wolno robić w sieci.
2. Nie słuchaj cudzych bezpieczników (chyba, że to bezpiecznik z niebezpiecznik.pl*)
Twoi bezpiecznicy oraz tamci i tak się dobrze znają. Z pewnością też wymieniają się informacjami. Na twój temat też gadają. I nikt im tego nie zabroni bo robią to dla twojego dobra, a nikt ich przecież nie skontroluje! I jeśli są profesjonalni to nie gadają o tym z twoimi przełożonymi, chyba że muszą to zrobić, bo mają to w procedurze.
I sam ich ochroniłeś przed sobą, gdyż zatwierdzając politykę bezpieczeństwa dałeś bezpiecznikom podstawę do autonomicznego działania. W tej polityce na pewno jest napisane, czego nie powinieneś robić i jakie przepisy korporacyjne złamałeś w ostatnim czasie.
*Są też inne bezpiecznikowe portale (prywatnik, zaufana trzecia strona).
3. Używaj dwuskładnikowego uwierzytelniania/logowania
W ważnych miejscach (ustawienia do Facebooka, Instagrama, Slacka) spróbuj włączyć dwuskładnikowe logowanie lub przynajmniej dwuskładnikowy proces zmiany twojego hasła.
Na czym to polega? Zwykle podczas zmiany hasła do konta społecznościowego wysyłany jest do ciebie email z taką informacją.
I ten informacyjny email jest wysyłany też na inne twoje urządzenie. Założenie skuteczności tego systemu polega na tym, że złodziej nie ukradnie Ci naraz wszystkich urządzeń. To poprawia zdecydowanie twoje szanse.
W świecie kart kredytowych na ten dwuskładnikowy model zabezpieczeń transakcji finansowych mówi się 3D (czyli jakby to było zabezpieczenie z każdej strony, w takim trójwymiarze). Oznacza to, że poza wprowadzaniem PIN-u do karty płatniczej konieczna jest jeszcze autoryzacja transakcji za pomocą SMS albo w twoim Banku.
4.Używaj VPN korporacyjnego i/albo prywatnego
VPN to zabezpieczona sieć. To zabezpieczone szyfrowaniem przesyłanie danych, maili, dostępu do chmury. Chronić się przed przestępcami oraz amatorami hakerami. Pisaliśmy o VPN tutaj VPN dla początkujących. Jak działa i co pozwala ukryć? a potem pisaliśmy też tutaj: VPN, czyli jak bezpiecznie surfować w sieci. VPN w korporacyjnej sieci nie jest taki straszny. Na pewno twój dział Informatyki uruchomił ci VPN-a. VPN być używany zarówno na komputerze jak na telefonie osobistym.
Na komputerze VPN to ten system, do którego musisz się zalogować, zanim wejdziesz do sieci Internet. VPN szyfruje Wasze dane i czyni, że połączenie pomiędzy Twoim urządzeniem a punktem docelowym jest bezpieczniejsze.
Na telefonie i tablecie trochę trudniej uruchomić zadania z klientem VPN używanym w biznesie i urzędach, ponieważ wymagają ona specjalnego systemu zarządzania urządzeniami mobilnymi MDM.
5. Używaj na urządzeniach mobilnych systemu MDM
Jeżeli bardzo ci brakuje VPN na urządzeniach mobilnych to twoja organizacja powinna używać systemu MDM (Mobile device management) czyli systemu zarządzania urządzeniami mobilnymi. System MDM pozwala na zarządzanie VPN na urządzeniach mobilnych za pośrednictwem konsoli administracyjnej i programów agentów na komputerach w twojej organizacji.
Najbardziej znany system MDM to jest na przykład Airwatch. Zarządza on wszystkimi urządzeniami, które są podłączone do sieci korporacyjnej w taki sposób, że w jednym miejscu w twojej firmie, w konsoli systemu MDM ktoś ma pieczę nad wszystkimi urządzeniami mobilnymi. Do tego celu na każdym urządzeniu koniecznie jest zainstalowanie agenta AirWatch,
Taki system MDM z konsoli administracyjnej pozwala jednego miejsca bardzo szybko odciąć komuś dostęp do urządzenia mobilnego w sytuacji zagubienia, czyli utraty sprzętu. Niektóre systemy MDM są wpięte do systemu przekazywania danych operatora. To znaczy, że operator komórkowy zabezpiecza transmisję danych do twojego konkretnego telefonu. Zabezpieczenie danych czyli po prostu szyfruje, dzięki czemu rośnie poziom zabezpieczenia twojego urządzenia mobilnego, bo poza zwykłym zabezpieczeniem, które realizuje w MDM twoja firma masz także dodatkowe indywidualne szyfrowanie od operatora.
6. Ustalaj silne hasło
Nie możesz mieć prostego hasła. Twój PESEL nie może być hasłem. Typiarze takie proste hasło ogarną szybciej niż myślisz. Twoje imię nie może być hasłem. Imię żony ani kochanki także nie. Imię dziecka, psa odpada. Hasło trzeba też zmieniać. Dobry system to wymusza na tobie.
Amerykańskie narodowe biuro Cyber Security podało w 2021 listę 100 tysięcy haseł prostych, obecnych w wyciekach danych osobowych, znanych już hakerom.
Poniżej jest lista 20 czołowych haseł, których nie wolno używać.
A jak to wygląda w Polsce :
W 2018 na niebezpiecznik.pl zbadano wyciek z autocentrum.pl i wtedy top5 polskich skompromitowanych haseł to było:
123456
qwerty
12345
zaq12wsx
autocentrum
polska
123qwe
Powyższych haseł nie używaj.
A portal Zaufana Trzecia Strona w 2017 wyliczyła z baz wycieków polskich emaili najbardziej skompromitowane hasła – (ta pierwsza cyfra to liczba wystąpień tych haseł):
46818 123456 16682 qwerty 13093 123456789 10138 12345 10113 zaq12wsx 6538 polska 6220 111111 5774 1234 5182 misiek 4776 monika 4418 marcin 4369 12345678 4240 mateusz 4108 123qwe 4086 123 4073 1234567 3933 123123 3874 1234567890 3850 qwerty1
Oczywiście możesz sprawdzić, czy twoje hasło zostało wykradzione i jest w którymś ze światowych wycieków danych. Ta strona jest podobno bezpieczna, tak twierdzą znani bezpiecznicy.
7. Używaj bezpiecznych magazynów haseł (Password Manager)
Jeśli chcesz łatwiej generować swoje hasła – używaj opcji Autofill w Google, Windows czy w iOS (Apple). Generatory haseł w systemach operacyjnych doskonale generują silne hasła, które wyglądają jak krzaki.
Np.
ujh_3NZuHtU/2c5
inr2ngnrie*7^
Taki zarządca haseł istnieje w Twoim koncie Google.
Podobne są w iPhonach i iPadach (Apple) oraz w produktach Microsoft Windows. Są też produkty komercyjne, które to ułatwiają.
Password Manager potrafi sprawdzić, czy twoje hasło jest skompromitowane.
8.Nie otwieraj nieznanej ci poczty elektronicznej (od nieznanych nadawców)
Po pierwsze nie klikamy linków, co do których nie wiemy, kto je wysłał. I nie wiemy po co.
Spójrz na link w poniższym mailu .
Mail był wysłany z domeny wemers.pl
Ta domena nie istnieje, albo została założona w tym celu, aby wysłać linka, a w tym wypadku maila skierowanego do mnie. W kolejnych mailach ta domena może być inna.
Nie otwieramy maili z nagrodami. Ani od nigeryjskiego władcy który sobie zablokował 10 mln dolarów i chce się z tobą podzielić. Niezamówione towary to fejk. Nie otwieramy faktur, które do nas wysłał, ktoś kogo nie znamy. Nie otwieramy plików, które mogą udawać inne ważne rzeczy, ale nimi nie są. I bardzo ważna sprawa. Nie wypisujcie się z systemów SPAMujących. Nierzadko przycisk unsubscribe też może być podstawiony.
Nie wierzcie phisherom z OLX ani telefonistom z rosyjskim akcentem, z twojego banku (niby)…którzy namawiają cię do instalacji systemów zdalnego pulpitu. Niczego nie instaluj. To złodzieje- zobacz jak to działa.
9. Jeśli otworzyłeś już pocztę od nieznanych ci osób, to nie klikaj linków ani obrazków
Nie klikamy takich linków nigdy:
10. A jeśli już otworzyłeś i kliknąłeś i odesłałeś kod SMS albo pieniądze to się niczemu nie dziw
No i wtedy co możesz zrobić? Nic.
No dobrze, co możesz zrobić jak już przejęli twoje konta mailowe i/lub konta społecznościowe? Musisz się spieszyć. Szybko wysyłaj zgłoszenia o przejęciu Twoich kont.
Na Facebooku jest to w Pomocy (https://www.facebook.com/help/131719720300233/?helpref=search)
Na WP tutaj:
https://pomoc.wp.pl/jak-odzyskac-dostep
Funkcję zgłoszenia kradzieży konta dość łatwo znaleźć na wszystkich portalach pocztowych i hostingach. W trudniejszych sprawach zgłaszaj sprawę do cyberpolicji (albo do CERT).
Albo.. pogadaj ze swoim bezpiecznikiem. On cię zrozumie i ci pomoże.
p.s.1
Ale kiedy poczujesz się z kradzieżą twoich danych źle – to zadbaj o siebie i wykup usługę ochrony twojej tożsamości w BIKU (www.bik.pl ) i w KRD http://chronpesel.pl. Przynajmniej przyblokujesz złodziejowi tempo działania. Możesz też w ZBP/BIK zastrzec swój dowód osobisty albo kartę w Banku.
