Autorką artykułu jest Marta Sobczak, prowadząca w mediach społecznościowych profil Cyberbezpieczne Porady.
Chciałabym żebyś wyobraziła sobie bank oraz miejsce, w którym przechowywane są pieniądze. O ile się nie mylę, przed Twoimi oczami pojawił się właśnie ogromny metalowy sejf, którego ściany przypominają grubością fortecę. To właśnie tutaj składowane są banknoty oraz monety, które trzymają nasze budżety w ryzach. Podobnie jak mury fortu chronią przed atakiem wroga, tak metalowe ściany sejfu zabezpieczają nasze oszczędności przed kradzieżą i utratą wartości.
W obu przypadkach potrzebna jest solidna ochrona, aby zachować bezpieczeństwo i stabilność.
A teraz chciałabym, abyś powróciła do mnie i poznała firmy takie jak Switch Data Centers, Amazon Web Services czy popularny Microsoft, który oferuje również usługę przechowywania danych. Wszystkie te firmy umożliwiają przechowywanie informacji w chmurze, co oznacza, że dzisiejszy bankowy sejf mieści się za murami serwerowni, a pieniądze wyświetlają się w formie cyfr na ekranach naszych urządzeń. W ten sposób, podobnie jak w przypadku tradycyjnego sejfu, potrzebna jest wysokiej klasy ochrona, aby zachować bezpieczeństwo i stabilność naszych finansów. Natomiast w tej relacji bezpieczeństwo nie zależy już tylko od banku, ale również od nas samych i tego jak bardzo świadomymi użytkownikami i użytkowniczkami Internetu jesteśmy.
Kradzież pieniędzy z “banku”
Część z Was słyszała na pewno o przypadkach, w których to przestępca kradnie pieniądze z naszego konta. I choć oszustom nie brakuje kreatywności chciałabym skupić się na dwóch popularnych scenariuszach, których wyobrażenie pomoże zabezpieczyć Wasze finanse przez cyberprzestępcami.
- Scenariusz pierwszy
Oszust poznał Twoje dane osobowe i wyrabia fałszywy dowód osobisty na Twoje nazwisko. Skąd przestępcy mieli dostęp do informacji z naszego dokumentu? Odpowiedzią bardzo często jest… skrzynka mailowa. Jeśli niepożądana osoba uzyska dostęp do naszej poczty, istnieje duże prawdopodobieństwo, że znajdzie tam wszystkie potrzebne dane osobowe do przygotowania fałszywego dokumentu tożsamości. Przypomnij sobie, ile razy wysyłałaś skan dowodu osobistego lub wypełniałaś dokument PLF (ang. Passenger Locator Form), do którego potrzebny był numer dowodu osobistego?
Pamiętaj, że hasło do skrzynki e-mail to drugie najważniejsze hasło zaraz po tym, które pozwala Ci korzystać z bankowości elektronicznej i innych kont związanych z pieniędzmi. Koniecznie ustaw weryfikację dwuetapową logowania, a jeśli chcesz zadbać o swoje bezpieczeństwo maksymalnie jak to tylko możliwe, rozważ zakup klucza U2F. Bez tego fizycznego urządzenia, dostęp do skrzynki email nie będzie możliwy. Jeśli wymieniasz przez pocztę poufne dane, warto raz na jakiś czas usunąć stare wiadomości i wyczyścić kosz. W przypadku włamania, przestępca nie uzyska wystarczającej ilości danych, aby wyrobić kolekcjonerski dowód. I choć na stronach z dokumentami dla ich miłośników są zapisy, że taki dowód nie powinien być używany do popełnienia przestępstwa, nikt nie może nam zagwarantować, że tak się nie stanie. Poza legalnymi źródłami istnieje darkweb, gdzie taki dowód można zdobyć zachowując całkowitą anonimowość, a jakość jego wykonania jest jeszcze lepsza.
Ten scenariusz ma też drugą warstwę. Oszust z takim dowodem musi udać się do placówki banku lub połączyć poprzez wideo z konsultantem. Niech nie zwiedzie Cię też używana przeze mnie forma męska “przestępca” i “oszust”. Na stronie https://poszukiwani.policja.pl/ można zobaczyć całą galerię kobiet złodziejek, oszustek, przestępczyń i włamywaczek, których twarz mogłaby się znaleźć na takim fałszywym dokumencie.
I możesz sobie pomyśleć na co komu tyle zachodu? Nikt nie mówił, że oszuści mają lekko. Praca cyberprzestępcy to praca również na pełen etat, a wyrobienie dowodu kolekcjonerskiego to dla nich czysta inwestycja. Na jednej (1) ze stron możemy kupić nasz rodzimy dokument tożsamości za 549 zł. Jeden z artykułów w prasie (2) podaje, że ofiarami padają zazwyczaj osoby zamożne. Im więcej mamy pieniędzy tym bardziej powinniśmy zwracać uwagę na ochronę naszych danych osobowych.
- Scenariusz drugi
Choć ten schemat można podzielić na wiele podscenariuszy, chciałabym wydobyć na powierzchnię ich wspólny mianownik, jakim jest WIADOMOŚĆ. Może to być telefon, SMS, e-mail lub komunikator. Nadawcą może być nieznajomy lub znajomy z zhakowanym kontem. Do tej puli wkładamy wszystkie informacje, które do nas docierają i zawierają prośby o przesłanie pieniędzy lub linki do (fałszywych) stron bankowych czy serwisów płatniczych. Przestępstwa te będą ciągle ewoluować, abyśmy sami wysłali nasze pieniądze lub podali dane do logowania do bankowości elektronicznej. Nawet jeśli wiadomość nie zawiera od razu podejrzanego linka, przestępca wykorzysta czas na budowanie historii i zdobycie naszego zaufania.
Na tym etapie chciałabym wyposażyć Cię w dwa mechanizmy, które wystarczą, aby się ochronić. Nie reaguj od razu, a natychmiast zweryfikuj. Czasami wystarczy zalogować się na stronie banku lub serwisu bezpośrednio, a nie przez podesłany link, lub samodzielnie skontaktować się z infolinią w celu potwierdzenia sprawy.
Gdzie przechowywać złoto w domu? A gdzie tego nie robić?
Ta część artykułu dotyczy naszych monet i sztabek, które zabrałyśmy jako inwestorki. Jeśli chodzi o przechowywanie fizycznych aktywów w domu, sejf wydaje się być odpowiednim miejscem do ich przechowywania. W poniższym tekście opowiem Wam, jakiego sejfu nie wybierać.
Na rynku zdecydowana większość sejfów posiada kod serwisowy, który ma za zadanie działać poza naszym hasłem. Jeśli kiedykolwiek zapomniałybyśmy naszego hasła lub odziedziczyłybyśmy zamknięty sejf, taki kod może nam pomóc. Niestety, taki kod jest również atrakcyjny dla włamywaczy, ponieważ można go znaleźć w… dokumentacji producenta. Jeżeli właśnie rozglądasz się za sejfem, wybierz taki co ma dwa rodzaje zamków (kluczowy i cyfrowy).
Jeżeli masz już swój sejf zweryfikuj dokumentację producenta (nie sprzedawcy) i sprawdź ją pod kątem kodów serwisowych lub administracyjnych. Prawdopodobne jest, że taki domyślny kod będzie można zmienić. Jeden z serwisów piszących o bezpieczeństwie (3) ponadto radzi, żeby zdefiniować kody dla wszystkich użytkowników na wypadek, gdyby sprzedawca zajął jednego użytkownika za nas.
Chciałabym odradzić Ci również miejsca takie jak szuflady lub szafki łazienkowe, lodówki i zamrażarki, pudełka pod łóżkiem. Wbrew pozorom to są miejsca, do których złodziej profesjonalista z odpowiednią ilością czasu na włamanie na pewno zajrzy. Jeżeli nie chcesz inwestować w sejf postaraj się o kreatywną, ale i też bardzo nieoczywistą kryjówkę.
Oszuści i ataki w phishingowe w liczbach
NASK, państwowy instytut badawczy nadzorowany przez Ministerstwo Cyfryzacji, w którego w skład wchodzi CERT Polska (o którym więcej dowiesz się z następnej części artykułu) w 2023 roku obsłużył 40 poważnych incydentów, których wystąpienie spowodowało lub mogłoby spowodować znaczne obniżenie jakości lub przerwanie ciągłości działania świadczonej usługi kluczowej czy podmiotu publicznego. Usługi kluczowe to takie, które są objęte krajową ustawą o systemie cyberbezpieczeństwa. Ich przestój lub zniszczenie np. poprzez cyberatak mogłoby wywołać poważne skutki w funkcjonowaniu naszego kraju. Taką ustawą są objęte np. elektrownie czy NBP. Co jest ważne, aż 31 z 40 incydentów dotyczyło sektora bankowego (4).
W poniższej tabeli znajdują się najpopularniejsze firmy, które służyły oszustom do ataków. Chciałabym, żebyś zwróciła uwagę na pozycję 1. Zdecydowana większość domen (nazw stron internetowych) mających nas naciągnąć w 2023 roku należała do kategorii Inwestycje. Będą to podrobione strony banków czy serwisów płatniczych oraz bardziej wysublimowane przestępstwa związane z “prawdziwą” okazją inwestycyjną.
NASK w tym roku poinformował, że w ciągu pierwszego kwartału 2024 zgłoszono już 14 tys. domen oferujących fałszywe inwestycje (5). Jeżeli ten trend się utrzyma, statystyki za rok 2024 w porównaniu do wyniku z 2023 urosną dla pozycji 1 trzykrotnie.
Co to dla nas oznacza? Cyberprzestępcy nigdy nie byli tak aktywni jak teraz, więc tym bardziej stawiajmy na uważność i edukację w temacie bezpieczeństwa w sieci. Wg. jednego z badań (6) już ponad połowa Polaków miała do czynienia z cyberatakiem bezpośrednio (35% ankietowanych) lub wskazuje, że ich bliscy mierzyli się z problemem (19% ankietowanych).
Wśród pytań na grupie GMC pojawiło się również pytanie o to, kto najczęściej pada ofiarą takich ataków. Korzystając z badań Banku Pocztowego (7), które skupia się na osobach +40 można domniemywać, że jest to najbardziej podatna grupa osób na działania cyberprzestępców. Aż 42% osób powyżej 40 roku życia spotkało się z próbą oszustwa. Dla 7% badanych była to próba zakończona sukcesem przestępców oznaczającym przekazanie pieniędzy na konto oszusta. Ponadto, wg. wyników badania, liczba respondentów, którzy twierdzą, że mieli kontakt z cyberprzestępcą, jest podobna w grupach wiekowych 40+ i 60+. Jednak to osoby powyżej 60 roku życia rzadziej (31%) niż osoby po 40 roku życia (42%) zgłaszają, że ich bliscy mieli do czynienia z próbą cyberoszustwa. Takie wyniki sugerują, że osoby w wieku 60+ mogą być bardziej narażone na oszustwa cyberprzestępców, bo mniej takich informacji do nich dociera. Dlatego uważam, że tym bardziej warto z seniorami rozmawiać o tym co dzieje się w świecie online.
Prawda jest taka, że oszust skorzysta z wszelkiej okazji i spróbuje zaatakować każdego, kto będzie podatny lub słabo zabezpieczony.
Ponadto chciałabym pokazać Wam też statystyki z perspektywy firmowej jako, że większość z nas pracuje w jakiejś organizacji lub może taką zarządza. Wg. raportu KNF (8) o cyberzagrożeniach w sektorze finansowym na 2022 roku ok. 300 tys. małych i średnich firm w Polsce padło ofiarą zdarzeń fraudowych. Zjawisko dotknęło więc 17%. firm z sektora MŚP. Na dodatek ten sam raport wskazuje, że ponad 10 mln zł rocznie traci 9% dużych firm z branży finansowej i telekomunikacyjnej w wyniku wyłudzeń, a 42% przedstawicieli ankietowanych firm deklaruje liczbę ponad 100 prób oszustw rocznie.
Jak zgłosić incydent cyberbezpieczeństwa?
Czy wiesz, że kiedyś zamki w Polsce były budowane w odległości 40 km od siebie? Taka architektura miała zapewnić kilka funkcji, m.in. możliwość alarmowania sąsiednich zamków o zbliżającym się zagrożeniu. Tak jak kiedyś ich mieszkańcy informowali się wzajemnie o kłopotach, tak i my dziś możemy poinformować kogoś, kto ostrzeże innych i nawet zatrzyma atak.
Przedstawiam Wam CERT Polska – ogólnopolski zespół reagujący na incydenty. Jest to jednostka, która zajmuje się monitorowaniem zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym. Zachęcam do zgłaszania i weryfikacji wszystkich podejrzanych wiadomości, które wzywają nas do natychmiastowej akcji oraz bazują na naszych emocjach. Są to dokładnie wszystkie wezwania do dopłaty za paczkę czy uregulowania rachunku za gaz. Zgłaszanie może pomóc zatrzymać atak i uchronić innych przed nim. Zgłoszenia do CERT Polska można dokonać poprzez:
- Formularz na stronie https://incydent.cert.pl/ – zgłoszenie fałszywej wiadomości e-mail, domeny, nielegalnej treści, odkrytej podatności w oprogramowaniu lub oszustwa.
- SMS na numer 8080 lub 799-448-084 – zgłoszenie szkodliwej wiadomości SMS
- Telefon na numer +48 22 380 82 74
- E-mail: cert@cert.pl
- Tradycyjną pocztę na adres NASK-PIB.
Jak zabezpieczyć pieniądze bliskich osób?
W waszych pytaniach na grupie facebook’owej pojawiało się też wiele wątków dotyczących zabezpieczenia osób starszych, które często nie są tak biegłe w świecie online. Myślę, że najważniejszą kwestią jest edukacja i rozmowa o współczesnych zagrożeniach. Dlatego stworzyłam dla Was darmowy ebook „Przewodnik po oszustwach dla wszystkich. Twoja odporność na blef w internecie i nie tylko”. Zawiera on 20 stron o 7 najbardziej popularnych oszustwach z praktycznymi wskazówkami, jak się przed nimi chronić oraz co robić, gdy padnie się ich ofiarą. Ebook zawiera grafikę ilustrującą zagrożenia i wskazówki, którą można zawiesić naszym bliskim na lodówkę lub w innym widocznym miejscu. Ma ona przypominać o tym, aby nie reagować od razu, a natychmiast weryfikować. Ebook pobierzesz, że strony https://cyberbezpieczneporady.pl/HK3pW7 .
Ponadto:
- Pomóż znajomym seniorom zastrzec numer PESEL. Uchroni to ich przed zaciągnięciem zobowiązania finansowego jeżeli ich dane osobowe wyciekną.
Wskazówki jak to zrobić znajdziesz tutaj: https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie
- Rozważ alert BIK w formie pakietu rodzinnego. Alert, podobnie jak blokada PESEL, ma nas uchronić przed kredytem na nasze nazwisko. W chwili pisania artykułu rekomenduję oba mechanizmy, ponieważ instytucje finansowe będą miały obowiązek weryfikować zastrzeżenie numeru PESEL od 1 czerwca 2024 roku. Osobiście daję sobie czas na podjęcie decyzji o rezygnacji z alertów. Będę czekać na rozwinięcie scenariuszy ataków, jakie przestępcy będą musieli wprowadzić, by poradzić sobie z nowym mechanizmem ochrony naszych danych.
Więcej informacji o alertach:
- Zainstaluj sobie i/lub swoim bliskim aplikację CyberAlerty. Aplikacja jest całkowicie bezpłatna i będzie informować Was o nowych i masowych oszustwach krążących w kraju.
Jak pobrać aplikację:
https://niebezpiecznik.pl/alerty/
- Korzystaj z darmowych materiałów edukacyjnych. Zajrzyj na stronę inicjatywy Safer Internet. Znajdziesz tam kursy, ulotki, podcasty i audiobooki nie tylko dla dorosłych, ale również dla dzieci.
Materiały znajdziesz tutaj:
https://www.saferinternet.pl/materialy-edukacyjne.html
Jeżeli artykuł jest dla Ciebie pomocny, koniecznie odwiedź konto Cyberbezpieczne Porady na Instagramie i nie zapomnij o darmowym ebook’u dla Ciebie i Twoich bliskich. Dziękuję Ci, że dotarłaś do końca wpisu i życzę Ci wszystkiego bezpiecznego.
Przypisy:
- https://dokumenty-kolekcjonerskie.com/product-1
- https://www.rp.pl/ekonomia/art7074741-zlodzieje-maja-nowy-sposob-okradania-kont
- https://niebezpiecznik.pl/post/tajne-kody-otwierajace-zamki-w-sejfach-o-ktorych-producenci-nie-mowia-klientom/
- https://cert.pl/uploads/docs/Raport_CP_2023.pdf
- https://www.nask.pl/pl/aktualnosci/5368,CERT-Polska-Liczba-oszustw-finansowych-w-internecie-alarmujaco-rosnie-Na-co-uwaz.html
- https://www.gazetaprawna.pl/wiadomosci/kraj/artykuly/8679992,cyberprzestepczosc-dane-w-sieci-bezpieczenstwo-incognito.html
- https://pocztowy.pl/blog/badanie-banku-pocztowego/
- https://cebrf.knf.gov.pl/images/Cyberzagroenia_w_sektorze_finansowym_2022.pdf
