Sieć bez zagrożeń – rady dla każdego

Jeżeli wydaje ci się, że na własne bezpieczeństwo w internecie nie masz wpływu, jesteś w błędzie. Rada? Kilka prostych zasad w połączeniu ze zdrowym rozsądkiem. Szczegóły przedstawia nasz firmowy ekspert – Mariusz Podkościelny z Impel Cyber.

W ciągu każdego dnia podejmujemy wiele decyzji związanych z bezpieczeństwem w sieci. Zacznijmy od tego, że wysyłamy, otrzymujemy i wymieniamy mnóstwo maili.

Kiedy mail może być niebezpieczny?

Przyjrzyjmy się każdemu mailowi, zanim wykonamy jakikolwiek inny ruch – klikniemy link czy odpowiemy nadawcy. Ostrożność należy zachować szczególnie w sytuacjach, gdy:

  1. rozpoznajemy nadawcę, ale jest to osoba, z którą nigdy nie rozmawialiśmy

Mail może być niebezpieczny, gdy nazwisko nadawcy jest ci znane, ale np. jest to ktoś, z kim zwykle się nie komunikujesz lub treść wiadomości e-mail nie ma nic wspólnego z twoimi standardowymi obowiązkami zawodowymi. Tak samo dzieje się, jeśli jesteś odbiorcą w polu „DW” (do wiadomości) wiadomości do osób, których nie znasz lub do grupy współpracowników z niepowiązanych jednostek biznesowych.

Należy zwracać uwagę na adresata wiadomości – czy na pewno pochodzi z właściwej domeny. Mogą być to jedynie pozory, a w rzeczywistości adres może wyglądać np. tak:

1literaimienia.nazwisko@impel.pl (prawidłowy)

imie.nazwisko@impel-poczta.pl (nieprawidłowy)

@gazetawyborcza.pl (prawidłowy)

@gazetawyb0rcza.pl (zamiast „o” jest zero – adres nieprawidłowy)

Mamy tu do czynienia z oszustwem znanym pod nazwą phishing. Przestępca podszywa się pod inną osobę lub instytucję najczęściej, by wyłudzić określone informacje, takie jak np. dane logowania, czy karty kredytowej) lub nakłonić do określonych działań. Z kolei tzw. spoofing wykorzystuje wizualnie identyczny adres WWW do przekierowania użytkownika na złośliwą stronę.

  • wiadomość zawiera nieoczekiwane lub nietypowe załączniki

Załączniki te mogą zawierać złośliwe oprogramowanie, oprogramowanie typu ransomware (które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych, a następnie żąda okupu za przywrócenie stanu pierwotnego) lub inne zagrożenia online.

  • wiadomość zawiera łącza, które wyglądają dziwnie

Jeżeli nawet pozornie wszystko wygląda prawidłowo, nie klikaj pochopnie w żadne wbudowane łącza. Zamiast tego wskaż kursorem myszy łącze, aby wyświetlić rzeczywisty adres URL. Zwróć szczególną uwagę na subtelne błędy pisowni w dobrze znanej witrynie – po tym rozpoznasz fałszerstwo. Zawsze lepiej jest wpisać bezpośrednio adres URL, niż kliknąć osadzone w mailu łącze.

  • wiadomość brzmi groźnie

Uważaj, jeśli wiadomość e-mail ma charakter straszący lub alarmujący, sugerujący pilność, zachęcający do kliknięcia „teraz”, zanim konto zostanie zamknięte. Pamiętaj, że poważne organizacje nie proszą o podanie danych osobowych przez internet.

Na co zwracać uwagę, chcąc zainstalować nową aplikację?

Korzystanie z aplikacji również może wiązać się z różnymi zagrożeniami. Niedawno żyliśmy wrażeniami z postarzania twarzy za pomocą FaceApp, a w krótkim czasie po tym – niepokojem o nasze dane, które przekazaliśmy, by sprawdzić, jak hipotetycznie będziemy wyglądać w dojrzałym wieku.

Tymczasem wystarczyłoby zapoznać się szczegółowo z warunkami korzystania z aplikacji. FaceApp nie robi nic, o czym nie uprzedza użytkownika. Jednak nieostrożny użytkownik nie zwraca uwagi, kiedy w chwili instalacji i pierwszego uruchomienia aplikacja prosi o dostęp do aparatu, do zapisanych plików (zdjęć) i wysyła dane na serwer producenta aplikacji. Robi to, co duża część aplikacji mobilnych – transferuje naszą prywatność z telefonu w miejsca, gdzie tracimy nad tymi danymi kontrolę. Dlaczego FaceApp nie robi tego w obrębie naszego telefonu, bez wysyłania naszych danych? I najważniejsze pytanie retoryczne – czy jesteśmy przekonani, że aplikacja do postarzania zdjęć jest nam niezbędna i bardzo pragniemy ją zainstalować kosztem naszej prywatności?

Przy instalowaniu aplikacji na telefon można założyć z bardzo dużym prawdopodobieństwem, że zostaniemy poproszeni o wyrażenie zgody na udzielenie uprawnień – sprawdźmy jakich i do czego.

W większości przypadków (i mam tutaj również na myśli aplikacje pochodzące z zaufanych źródeł, np. producenci telefonów Samsung, Apple, Huawei, dostawcy usług telefonii komórkowej Play, T-Mobile, producent systemu operacyjnego Google, Apple) jesteśmy proszeni o zaakceptowanie zgód niezwiązanych z działaniem aplikacji.

Wielką migającą czerwoną lampką „NIE” powinny być dla nas sytuacje, gdy np.:

  • aplikacja galerii zdjęć Samsung prosi o dostęp do listy kontaktów,
  • aplikacja galerii zdjęć Huawei prosi o: ID konta Huawei, identyfikator urządzenia, adres IP, listę zainstalowanych aplikacji i komentarzy,
  • głosowe „pisanie smsów” wymaga zgody na transmisję internetową w celu przesłania wypowiedzianych danych na serwer producenta,
  • aplikacja klubu piłkarskiego prosi o dostęp do mikrofonu.

Powyższe zgody nie są potrzebne do działania wymienionych aplikacji.

W mniej drastycznych przypadkach należy również zastanowić się, czy aplikacja na pewno potrzebuje danego uprawnienia – jeśli nie, to powinniśmy zrezygnować z instalacji, bo w przyszłości możemy pożałować swojej pochopnej decyzji. Bez względu na to, z czego i w jakim zakresie korzystamy, należy kierować się rozsądkiem i choć przez chwilę przemyśleć podejmowane działania.

EKSPERT


Mariusz Podkościelny

Pentester senior w Impel Cyber, odpowiedzialny za przeprowadzanie testów penetracyjnych, wskazywanie sposobów eliminowania podatności na zagrożenia w systemach i sieciach oraz doradztwo w zakresie IT security. Absolwent kierunku technologia sieci i systemów komputerowych na Politechnice Lubelskiej.

Rating: 3.5/5. From 4 votes.
Please wait...
 
Komentarze

Brak komentarzy.

Zostaw odpowiedź