Kiedyś można było spytać znajomego: „Jak sądzisz, czy Twoje dane trafiły w niepowołane ręce?”. W dzisiejszych czasach należałoby raczej zapytać kiedy to się stało? Zastanówmy się więc co sprawia, że w ogóle wyciekają dane? I czy można temu zapobiec?

Moje maile też da się znaleźć na listach wycieków. Co więcej – nie wstydzę się tego. Wiem, brzmi dziwnie, ale zastanów się, ile serwisów, z których korzystasz, nie ma żadnych Twoich danych, poza loginem i hasłem? Jeśli działasz na forach motoryzacyjnych i na każdym masz hasło SubaruImpreza555, czy coś się stanie, gdy je stracisz? No nic. Jeśli jednak jako fani marki spod znaku gwiazdozbioru Plejad, tym samym hasłem logujemy się też to do mediów społecznościowych, maila, czy – o zgrozo do banku.

Socjotechnika, czyli daj mi swoje hasło

Phishing to słowo, które przez ostatnie lata zostało wielokrotnie odmienione przez wszystkie przypadki. Czym jest? Według Słownika Języka Polskiego:

Phishing: [czytaj: fiszing] wyłudzanie od internauty informacji umożliwiających nielegalny dostęp do poufnych i prywatnych informacji przez podszywanie się pod kogoś innego

Jak oszust może dostać się do Twoich danych? Słowo klucz to socjotechnika. Zrobi wszystko, by przekonać Cię do podania mu, z uśmiechem, twojego loginu, hasła, czy danych karty płatniczej.

Panel „płatności”, czy „logowania” to jednak już sam efekt finalny. Dane wyciekają dopiero, gdy tam dotrzemy. Jak?

E-mail. Taki, gdzie dowiemy się o konieczności dopłaty, czy odrzuceniu płatności. Albo, że konto nam wygasa, czy też musimy je przedłużyć. Zdarza się też sugestia, że musimy zalogować się na konto „usługodawcy” w niesłychanie pilnym celu.

SMS. Kto nigdy nie dostał dziwnego SMS-a niech pierwszy rzuci telefonem! Super promocje, dopłata do rachunku, pieniądze za… kupiony już towar, który wystawiliśmy w serwisie ogłoszeniowym, wreszcie monit o zatrzymanej przesyłce kurierskiej. My bez zastanowienia klikamy, wpisujemy co chcą – i dane wyciekają.

Reklama na Facebooku. To kolejny rak, toczący internet. Tutaj znajdziemy głównie „inwestycje” (najczęściej w kryptowaluty i Baltic Pipe), ale też np. sensacyjne newsy.

Rozmowa telefoniczna. Najpierw „kapitalna oferta” inwestycji. Potem skuszeni podajemy swój e-mail i numer telefonu, by zadzwonił na nie „doradca”. Ba, co więcej – zdarzający się atakujący, którzy tak zakręcą ofiarą, że ta zadzwoni sama!

Jakie wyciekają dane, gdy damy się oszukać

No to jeszcze raz – co się może stać, gdy damy się złapać na powyższe scenariusze? Co możemy stracić?

• E-mail
  • Jeśli będą to tylko login i hasło do przełamanego serwisu to można powiedzieć, że mamy sporo szczęścia. Potem zapewne oszuści spróbują poszukać tej samej pary login+hasło w popularnych serwisach (Gmail, media społecznościowe, banki). Jeśli nie powtarzasz haseł – masz sporo szczęścia.
  • Dane karty płatniczej. Ja mam np. powiadomienia o płatności w aplikacji mobilnej, więc gdy siedzę w domu, a ktoś płaci – mogę błyskawicznie zareagować. No chyba, że zacznie działać w środku nocy.
  • Wersja najbardziej pesymistyczna – oszust w całości przejmuje nasze konto bankowe. A my orientujemy się dopiero, gdy kasjer/ka w sklepie powie: „Odmowa?”
• SMS
  • Tu w zasadzie zawsze kolejnym krokiem jest fałszywa strona płatności lub logowania do banku; tak więc – dwa ostatnie scenariusze opisane powyżej
• Reklama „inwestycji”/rozmowa telefoniczna
  • Rzadziej – kilkaset złotych „pierwszej wpłaty”, które przez kilka dni/tygodni rzekomo będzie się błyskawicznie pomnażać.
  • Najczęściej – oszust będzie chciał przekonać nas do zainstalowania „specjalnej aplikacji do inwestowania”, która tak naprawdę da przestępcy pełen zdalny dostęp do naszego komputera. A wtedy stracimy wszystko. Pieniądze też.

A co, gdy wyciekają dane u źródła

Jak? Przyczyn może być np. podatność w aplikacji sieciowej (bo ktoś odkładał aktualizację, albo atakujący wykorzystał nową podatność – tzw. 0-day), czy socjotechnika, celowana w konkretną osobę. Dam sobie rękę uciąć, że przy odpowiednio dużej bazie znajdzie się przynajmniej kilka procent kont, które padną przy pierwszym ataku słownikowym. Hasło Wiosna2024! może wydawać się trudne, jednak po pierwsze jest zbyt krótkie (11 znaków, przy zalecanych 14 i więcej), przede wszystkim zaś – popularne tak bardzo, że nie powinno być słownika do łamania haseł, w którym go nie znajdziemy.

To nie koniec. Możemy też np. (będąc złym człowiekiem) mieć dostęp do bazy np. pracowników danej firmy (wyciągając ją, czy włamując się na serwer Active Directory). A wtedy działamy odwrotnie – sprawdzamy najpopularniejsze hasła na wszystkich dostępnych kontach (tzw. password spraying). O ile zakład, że znajdzie się dodatkowe parę procent?

Konsekwencje? Jako klient takiej firmy spodziewaj się phishingowego maila lub SMS-a. Jeśli hasło, które używasz wycieknie w którymś z popularnych serwisów i trafiła do Ciebie informacja o wycieku – szybko sprawdź, czy jeszcze możesz się zalogować na pozostałe serwisy. Jeśli tak – masz szczęście, nie kuś go i zmień natychmiast hasła.

Wracamy więc do punktu wyjścia: przede wszystkim ustaw mocne hasło i tam, gdzie możesz – uwierzytelnianie dwuskładnikowe.

Kiedy nic nie poradzisz

Choćby wtedy, gdy przestępca skorzysta z podatności Twojego urządzenia sieciowego, dostanie się na nie bez Twojej wiedzy i np. zmieni serwery DNS, przez które idą zapytania. Co może się stać?

serwer DNS przetwarza zrozumiały dla użytkownika adres strony wpisany w przeglądarce, np. cert.orange.pl, na adres IP (w tym przypadku 217.97.216.226), pod który faktycznie udaje się przeglądarka

Jeśli więc ktoś podstawi nam swój serwer DNS, wpisując adres swojego banku, możemy zostać przekierowani na witrynę przygotowaną przez złodziei. Dlatego właśnie w naszych Funboxach nie zmienisz serwerów DNS.

No i oczywiście złośliwy kod, np. bankery, wykradające poświadczenia logowania do serwisów bankowości elektronicznej. Możemy je wpuścić sami na telefon (aplikacje wyłącznie z oficjalnych sklepów!) albo wykorzysta on podatność 0-day, czy to na komputerze, czy mobilną.

A może masz manię prześladowczą

Dobra, to tak na koniec. Gdzie zostawiasz dane o sobie?

• Patrzysz, czy ktoś za Tobą nie stoi, gdy wpisujesz loginy i hasła? (filtr prywatyzujący na laptopa to fajna sprawa)
• Czy Twoje rozmowy przez telefon słyszysz tylko Ty?
• Co mogą o Tobie powiedzieć (i kto je ogląda?) zdjęcia publikowane w social mediach?
• Zaglądałaś/eś kiedyś w metadane zdjęć, które publikujesz? A może na drapaku Twojego kota po zbliżeniu widać „Mruczek” i dziwnym trafem masz właśnie takie hasło?

Zazwyczaj nie wiemy, ile można w sieci znaleźć treści o nas! „Celowany” phishing w konkretnego pracownika, o którym pisałem wcześniej, zazwyczaj można łatwo złożyć właśnie z takich pozornie drobnych i nieistotnych oddzielnie kawałków!

Masz teraz chwilę? Może czas, by poddać się w aspekcie powyższego pewnej refleksji.

Klienci ofert na kartę mogą odebrać bonusową usługę CyberTarczę przez 30 dni za darmo. Pakiet zabezpieczeń jest do przetestowania na smartfonach w ramach naszej comiesięcznej akcji dla użytkowników prepaid.

W dobie licznych cyberprzestępstw i zagrożeń warto zadbać o telefony i swoje dane, hasła i finanse. Tym bardziej, że teraz można zrobić to całkiem bezpłatnie.

Jak skorzystać z prezentu

• Prezent jest w aplikacji Mój Orange lub po zalogowaniu się do swojego konta z urządzenia mobilnego, w zakładce Dla Ciebie.
• Po wybraniu na banerze przycisku „Zamawiam i Płacę” nastąpi automatyczne odesłanie do przygotowanego SMS-a. Po jego wysłaniu promocja zacznie działać.
• 2 dni przed końcem promocji poinformujemy o tym, że niedługo zakończy się okres bezpłatny. Będzie też informacja, jak z usługi zrezygnować.
• Jeśli użytkownik będzie chciał przedłużyć Cybertarczę po okresie próbnym jej koszt będzie wynosił 12 zł miesięcznie.
• Promocja trwa do 30 kwietnia.

O usłudze CyberTarczy przeczytacie tutaj. To przydatne narzędzie, efektywniejsze niż zwykły antywirus. Nie spowalnia telefonu, ostrzega przed zagrożeniami, wykrywa działania hakerskie itp. 

Przypominam też, że dziś można jeszcze skorzystać z kolejnej akcji – Śród z Mój Orange, czyli promocji z prezentami dla użytkowników tej aplikacji.

Macie ochotę na dobre kino? W tym miesiącu w Orange VOD na dekoderach Telewizji od Orange i w aplikacji Orange TV Go znajdziecie mnóstwo nowości: animacji, wzruszających dramatów i sporą dawkę fantastyki.

Nie przegapcie premier filmów, takich jak: „Madame Web”, „Przesilenie zimowe”, „Pies i robot” czy „Bob Marley: One Love”.

Familijne oglądanie

4 kwietnia zapraszamy na bardzo lotną bajkę pt.: „Wyfrunięci”. To nowa historia od studia Illumination, twórców takich hitów, jak „Minionki”, „Sing” czy „Sekretne życie zwierzaków domowych”. Tym razem poznacie spokojną rodzinę kaczek, która zafascynowana opowieściami pierzastych znajomych o wspaniałościach świata, postanawia opuścić bezpieczny staw i udać się na wakacje. Zaczyna się szalona, pełna ptasiego humoru i przygód, fascynująca podróż.

5 kwietnia obejrzyjcie przebojową animację pt.: „Ekipa z dżungli: Misja ratunkowa”. To opowieść o zwariowanych zwierzakach, które muszą połączyć siły, łapy, płetwy i skrzydła, aby uratować dżunglę przed zakusami podstępnego złoczyńcy.

Z kolei 19 kwietnia polecamy doskonałą produkcję dla całej rodziny pt.: „Pies i robot” – nominowaną do tegorocznych Oscarów®. To inspirująca i skłaniająca do myślenia historia o sile przyjaźni oraz o odpowiedzialności. Pies ma dosyć samotności, dlatego postanawia kupić sobie Robota. Metalowy koleżka ożywa i odtąd staje się najlepszym przyjacielem czworonoga. Wkrótce jednak jedno niefortunne zdarzenie sprawia, że dni beztroski i zabawy mogą się skończyć.

18 kwietnia zobaczcie produkcję pt.: „Trzej Muszkieterowie: Milady”, kontynuację filmu z 2023 roku. Tym razem D’Artagnan musi połączyć siły ze złowieszczą Milady de Winter, by uratować ukochaną. Do pomocy ma jednak nieocenionych kompanów, czyli Atosa, Portosa i Aramisa. W filmie ponownie zagrali Vincent Cassel, Eva Green oraz François Civil.

Jeszcze więcej kinowych hitów

19 kwietnia obejrzyjcie polski dramat historyczny pt.: „Powstaniec 1863”. W produkcji wystąpili m.in.: Sebastian Fabijański, Cezary Pazura oraz Daniel Olbrychski. To przejmująca opowieść o księdzu Stanisławie Brzósce – polskim duchownym, kapelanie i generale z czasów powstania styczniowego.

Także 19 kwietnia polecamy wstrząsający, nominowany do Oscara® film pt.: „Obsesja”, w którym świetnie zagrali Natalie Portman, Julianne Moore oraz  Charles Melton. Aby przygotować się do roli w nowym filmie, Elisabeth próbuje zbudować portret psychologiczny przestępczyni. Wkrótce zwykła aktorska ciekawość przeradza się w obsesyjną fascynację. 

25 kwietnia obejrzyjcie komediodramat pt.: „Przesilenie zimowe”. W filmie, w roli głównej zagrał Paul Giamatti, a partneruje mu Da’Vine Joy Randolph, która za ten występ została nagrodzona Oscarem®.  Nielubiany i zrzędliwy nauczyciel, doświadczona przez los szkolna kucharka i niesforny uczeń, któremu grozi wydalenie z placówki za naganne zachowanie. Czy ta trójka jest w stanie spędzić razem Święta i nie zwariować? Zobaczcie sami – film pokochano na całym świecie.

30 kwietnia włączcie „Madame Web”, pełną tajemnic i niesamowitych zdarzeń, najnowszą opowieść ze świata Marvela. Poznajcie historię Cassandry Webb, ratowniczki z Nowego Jorku, która po nieszczęśliwym wypadku odkrywa, że może przewidywać przyszłość. Wkrótce w swoich wizjach zaczyna dostrzegać trzy nastolatki, które w przyszłości mogą dokonać wielkich czynów, o ile… przeżyją. W roli tytułowej wystąpiła Dakota Johnson.

Także 30 kwietnia polecamy pełną świetnej muzyki produkcję biograficzną pt.: „Bob Marley: One Love”. Zobaczcie, jak naprawdę wyglądało życie oraz kariera jednego z najsłynniejszych muzyków reggae w historii. Dodajmy, że film został wyprodukowany we współpracy z rodziną Marleyów.

Gdzie znaleźć tyle propozycji i dobrych filmów w jednym miejscu? Zobaczcie pakiety z telewizją w Orange a także poznajcie nasze VOD.