Kiedyś można było spytać znajomego: "Jak sądzisz, czy Twoje dane trafiły w niepowołane ręce?". W dzisiejszych czasach należałoby raczej zapytać kiedy to się stało? Zastanówmy się więc co sprawia, że w ogóle wyciekają dane? I czy można temu zapobiec?
Moje maile też da się znaleźć na listach wycieków. Co więcej - nie wstydzę się tego. Wiem, brzmi dziwnie, ale zastanów się, ile serwisów, z których korzystasz, nie ma żadnych Twoich danych, poza loginem i hasłem? Jeśli działasz na forach motoryzacyjnych i na każdym masz hasło SubaruImpreza555, czy coś się stanie, gdy je stracisz? No nic. Jeśli jednak jako fani marki spod znaku gwiazdozbioru Plejad, tym samym hasłem logujemy się też to do mediów społecznościowych, maila, czy - o zgrozo do banku.
Socjotechnika, czyli daj mi swoje hasło
Phishing to słowo, które przez ostatnie lata zostało wielokrotnie odmienione przez wszystkie przypadki. Czym jest? Według Słownika Języka Polskiego:
Phishing: [czytaj: fiszing] wyłudzanie od internauty informacji umożliwiających nielegalny dostęp do poufnych i prywatnych informacji przez podszywanie się pod kogoś innego
Jak oszust może dostać się do Twoich danych? Słowo klucz to socjotechnika. Zrobi wszystko, by przekonać Cię do podania mu, z uśmiechem, twojego loginu, hasła, czy danych karty płatniczej.
Panel „płatności”, czy „logowania” to jednak już sam efekt finalny. Dane wyciekają dopiero, gdy tam dotrzemy. Jak?
E-mail. Taki, gdzie dowiemy się o konieczności dopłaty, czy odrzuceniu płatności. Albo, że konto nam wygasa, czy też musimy je przedłużyć. Zdarza się też sugestia, że musimy zalogować się na konto „usługodawcy” w niesłychanie pilnym celu.
SMS. Kto nigdy nie dostał dziwnego SMS-a niech pierwszy rzuci telefonem! Super promocje, dopłata do rachunku, pieniądze za... kupiony już towar, który wystawiliśmy w serwisie ogłoszeniowym, wreszcie monit o zatrzymanej przesyłce kurierskiej. My bez zastanowienia klikamy, wpisujemy co chcą - i dane wyciekają.
Reklama na Facebooku. To kolejny rak, toczący internet. Tutaj znajdziemy głównie "inwestycje" (najczęściej w kryptowaluty i Baltic Pipe), ale też np. sensacyjne newsy.
Rozmowa telefoniczna. Najpierw „kapitalna oferta” inwestycji. Potem skuszeni podajemy swój e-mail i numer telefonu, by zadzwonił na nie „doradca”. Ba, co więcej - zdarzający się atakujący, którzy tak zakręcą ofiarą, że ta zadzwoni sama!
Jakie wyciekają dane, gdy damy się oszukać
No to jeszcze raz - co się może stać, gdy damy się złapać na powyższe scenariusze? Co możemy stracić?
- E-mail
- Jeśli będą to tylko login i hasło do przełamanego serwisu to można powiedzieć, że mamy sporo szczęścia. Potem zapewne oszuści spróbują poszukać tej samej pary login+hasło w popularnych serwisach (Gmail, media społecznościowe, banki). Jeśli nie powtarzasz haseł - masz sporo szczęścia.
- Dane karty płatniczej. Ja mam np. powiadomienia o płatności w aplikacji mobilnej, więc gdy siedzę w domu, a ktoś płaci - mogę błyskawicznie zareagować. No chyba, że zacznie działać w środku nocy.
- Wersja najbardziej pesymistyczna – oszust w całości przejmuje nasze konto bankowe. A my orientujemy się dopiero, gdy kasjer/ka w sklepie powie: "Odmowa?"
- SMS
- Tu w zasadzie zawsze kolejnym krokiem jest fałszywa strona płatności lub logowania do banku; tak więc - dwa ostatnie scenariusze opisane powyżej
- Reklama „inwestycji”/rozmowa telefoniczna
- Rzadziej – kilkaset złotych „pierwszej wpłaty”, które przez kilka dni/tygodni rzekomo będzie się błyskawicznie pomnażać.
- Najczęściej – oszust będzie chciał przekonać nas do zainstalowania „specjalnej aplikacji do inwestowania”, która tak naprawdę da przestępcy pełen zdalny dostęp do naszego komputera. A wtedy stracimy wszystko. Pieniądze też.
A co, gdy wyciekają dane u źródła
Jak? Przyczyn może być np. podatność w aplikacji sieciowej (bo ktoś odkładał aktualizację, albo atakujący wykorzystał nową podatność - tzw. 0-day), czy socjotechnika, celowana w konkretną osobę. Dam sobie rękę uciąć, że przy odpowiednio dużej bazie znajdzie się przynajmniej kilka procent kont, które padną przy pierwszym ataku słownikowym. Hasło Wiosna2024! może wydawać się trudne, jednak po pierwsze jest zbyt krótkie (11 znaków, przy zalecanych 14 i więcej), przede wszystkim zaś - popularne tak bardzo, że nie powinno być słownika do łamania haseł, w którym go nie znajdziemy.
To nie koniec. Możemy też np. (będąc złym człowiekiem) mieć dostęp do bazy np. pracowników danej firmy (wyciągając ją, czy włamując się na serwer Active Directory). A wtedy działamy odwrotnie - sprawdzamy najpopularniejsze hasła na wszystkich dostępnych kontach (tzw. password spraying). O ile zakład, że znajdzie się dodatkowe parę procent?
Konsekwencje? Jako klient takiej firmy spodziewaj się phishingowego maila lub SMS-a. Jeśli hasło, które używasz wycieknie w którymś z popularnych serwisów i trafiła do Ciebie informacja o wycieku - szybko sprawdź, czy jeszcze możesz się zalogować na pozostałe serwisy. Jeśli tak - masz szczęście, nie kuś go i zmień natychmiast hasła.
Wracamy więc do punktu wyjścia: przede wszystkim ustaw mocne hasło i tam, gdzie możesz - uwierzytelnianie dwuskładnikowe.
Kiedy nic nie poradzisz
Choćby wtedy, gdy przestępca skorzysta z podatności Twojego urządzenia sieciowego, dostanie się na nie bez Twojej wiedzy i np. zmieni serwery DNS, przez które idą zapytania. Co może się stać?
serwer DNS przetwarza zrozumiały dla użytkownika adres strony wpisany w przeglądarce, np. cert.orange.pl, na adres IP (w tym przypadku 217.97.216.226), pod który faktycznie udaje się przeglądarka
Jeśli więc ktoś podstawi nam swój serwer DNS, wpisując adres swojego banku, możemy zostać przekierowani na witrynę przygotowaną przez złodziei. Dlatego właśnie w naszych Funboxach nie zmienisz serwerów DNS.
No i oczywiście złośliwy kod, np. bankery, wykradające poświadczenia logowania do serwisów bankowości elektronicznej. Możemy je wpuścić sami na telefon (aplikacje wyłącznie z oficjalnych sklepów!) albo wykorzysta on podatność 0-day, czy to na komputerze, czy mobilną.
A może masz manię prześladowczą
Dobra, to tak na koniec. Gdzie zostawiasz dane o sobie?
- Patrzysz, czy ktoś za Tobą nie stoi, gdy wpisujesz loginy i hasła? (filtr prywatyzujący na laptopa to fajna sprawa)
- Czy Twoje rozmowy przez telefon słyszysz tylko Ty?
- Co mogą o Tobie powiedzieć (i kto je ogląda?) zdjęcia publikowane w social mediach?
- Zaglądałaś/eś kiedyś w metadane zdjęć, które publikujesz? A może na drapaku Twojego kota po zbliżeniu widać "Mruczek" i dziwnym trafem masz właśnie takie hasło?
Zazwyczaj nie wiemy, ile można w sieci znaleźć treści o nas! "Celowany" phishing w konkretnego pracownika, o którym pisałem wcześniej, zazwyczaj można łatwo złożyć właśnie z takich pozornie drobnych i nieistotnych oddzielnie kawałków!
Masz teraz chwilę? Może czas, by poddać się w aspekcie powyższego pewnej refleksji.