Phishing - jak duży jest to problem na świecie?
Svajcer: Uśredniając dane z raportów międzynarodowej organizacji antyphishingowej APWG z pierwszej połowy 2013 roku, możemy powiedzieć, że co miesiąc wykrywanych jest ok 30 tysięcy nowych stron, zaprojektowanych po to, aby podstępnie pozyskać nasze dane w celach niezgodnych z prawem. Skala zjawiska jest duża. Jeśli chodzi o phishingowe kampanie mailingowe, możemy mówić o podobnych liczbach każdego miesiąca.
Jakie dane cyberprzestępcy są w stanie zdobyć z naszych urządzeń?
Wszystkie, które nieświadomi zagrożenia zechcemy przesłać, myśląc, że korespondujemy z odpowiedzialnym, legitymizowanym podmiotem. Ważne jest tutaj zrozumienie istoty phishingu - złodzieje liczą, że sami w dobrej wierze dostarczymy im dostęp do kont i haseł. To działania przestępcze z pogranicza zaawansowanej informatyki i klasycznego oszustwa. Nawet najbardziej zaawansowane zamki nie pomogą, jeśli sami otworzymy złodziejowi drzwi.
Dlaczego głównie atakowani są klienci banków?
W kontekście ataków hackerskich można mówić o całym spektrum celów realizowanych przez dopuszczające się ich osoby i organizacje. Istotą phishingu jest zazwyczaj kradzież środków. Podczas, gdy nasza korespondencja mailowa i aktywność na portalach społecznościowych zazwyczaj zawiera w różnych proporcjach informacje prywatne i służbowe (które także można sprzedać). Analogicznie kontakt z bankiem dotyczy zawsze tylko i wyłącznie tego, o co nowoczesnym złodziejom chodzi: pieniędzy.
Jak można się przed tym chronić, jak nie stracić swoich poufnych danych. Czy istnieje jakiś kanon zachowań użytkownika internetu?
Szacujemy, że oszuści Internetowi, którzy chcą wejść w posiadanie naszych danych, czy numerów kont są w stanie przekonać aż 5 proc. ludzi, z którymi się kontaktują do odpowiedzi na wiadomość e-mail. To w najwyższym stopniu niepokojące. Istnieją podstawowe zasady bezpieczeństwa antyphishingowego, które znacznie minimalizują ryzyko zostania ofiarą takich przestępczych praktyk.
Co należy robić?
Przede wszystkim nigdy nie odpowiadajmy na e-maile, w których proszeni jesteśmy o jakiekolwiek dane dotyczące numerów kont czy informacji o naszych finansach. Jeśli odnosimy wrażenie, że wiadomość została wysłana przez przedstawiciela naszego banku, skontaktujmy się z pracownikiem banku osobiście. Gdy zamierzamy wejść na stronę naszego banku, nigdy nie posługujmy się przesłanym do nas linkiem. Zamiast tego należy zawsze wpisywać adres URL w pasku adresowym. Odwiedzając strony, które wymagają podawania osobistych informacji, sprawdzajmy, czy znajdują się one na zabezpieczonym serwerze. Rozpoznamy go po obecności literki “s” po standardowym “http”. Obok adresu szukajmy także ikony kłódeczki.
Nie podawajmy nikomu swoich numerów PIN I haseł do kont. Stosujmy różne hasła i często je zmieniajmy. Należy także unikać otwierania wiadomości, które lądują w spamie - ich otwarcie może dać sygnał przestępcom, że dotarli do istniejącej, prawdziwej osoby. Zabezpieczajmy komputer i skrzynkę mailową oprogramowaniem antywirusowym i antyspamowym.
Regularnie aktualizujmy system operacyjny naszego komputera. To najprostsze zasady ostrożności i higieny IT, jednak pozwalają one w znacznym stopniu zminimalizować ryzyko wpadnięcia w ręce internetowych przestępców.
Co z urządzeniami mobilnymi, głównie chodzi o bankowe i płatnicze aplikacje mobilne na tabletach i smartfonach, czy są bezpieczne?
Większość obecnych smartfonów zaawansowaniem technicznym i funkcjonalnością w niczym nie ustępuje komputerom stacjonarnym oraz laptopom. Oznacza to, że dokonując zakupów przez internet czy przelewów bankowych, narażeni jesteśmy na te same rodzaje zagrożeń, co w przypadku operacji dokonywanych zza biurka. Skoro w naszym telefonie znajdują się wszystkie informacje, które pozwalają nam kontrolować operacje finansowe należy zachować te same klasyczne środki ostrożności. Warto ustawić blokadę telefonu zabezpieczoną czterocyfrowym kodem na okres jednej minuty po ostatnim użyciu telefonu. W większości smartfonów istnieje możliwość ustawienia wymazywania wszystkich prywatnych danych po kilkukrotnej próbie podania niewłaściwego kodu.
Jakie cele wybierają cyberterroryści: duże firmy czy raczej osoby prywatne?
Cyberterroryści zazwyczaj angażują przestępcze umiejętności przeciwko dużym firmom, korporacjom, bankom i administracji państwowej. Jednak także zwykłe prywatne urządzenie, bez różnicy, czy jest to laptop, tablet czy smartfon, może stać się obiektem ataku. Włamując się do setek czy tysięcy prywatnych komputerów np. poprzez umieszczenie w nich złośliwego kodu, cyberprzestępcy tworzą potężne sieci informatyczne, zdolne rozsyłać spam w skali masowej, przynosząc organizacji przestępczej ogromne zyski. W ten sposób nasz zainfekowany laptop może bez naszej wiedzy stać się żołnierzem cybermafii.