Bezpieczeństwo

SMS wiecznie żywy

27 lutego 2020

SMS wiecznie żywy

Wiem, wiem – bardziej spodziewalibyście się takiego tytułu od Wojtka albo Piotrka, co? No i rzecz jasna nie teraz, tylko na przełomie lat, po świętach albo Sylwestrze. Przyznam się Wam szczerze, że od dawna nie obserwuję statystyk wysłanych w sieci SMSów. Tak jak wielu, jestem zdania, że ta licząca sobie już 28 lat (!) forma komunikacji jest już nieco archaiczna. Sam używam przede wszystkim komunikatorów internetowych. Po SMS sięgam zazwyczaj w… roamingu, bo wtedy są „w cenie” i nie trzeba zużywać tranmisji danych. Istnieje jednak pewna grupa społeczna, która krótkie wiadomości tekstowe upodobała sobie wyjątkowo. Wręcz przeżywają one u niej renesans już niemal od roku. Jaka grupa? Cyberprzestępcy, rzecz jasna.

Fałszywy SMS łapiemy jak najszybciej

Gdybyśmy za każdy SMS… Dobra, nie będę przesadzał z tekstami o „jednym groszu” (czy złotówce 🙂 ), bo akurat w sieci Orange Polska przestępcy nie mają tak różowo. Przez ostatni rok w CERT Orange Polska mocno pracowaliśmy nad szybką reakcją na tego typu zagrożenia, w efekcie czego do Was – jako klientów naszych usług – nie dociera tego paskudztwa przesadnie wiele. Dzięki naszym systemom bezpieczeństwa, sztucznej inteligencji/uczeniu maszynowemu, a także częstym zgłoszeniom od internautów, jesteśmy w stanie zablokować domeny, powiązane z kampanią, a nierzadko także nadawcę, już po kilku wysłanych przezeń testowych wiadomościach.

O czym piszą przestępcy? Standardowo usiłują nas przekonać na „dopłatę” do paczki, czasami chcą „potwierdzić tożsamość”, gdy wypisujemy się z usługi, na którą nigdy nie byliśmy zapisani, w przeddzień Tłustego Czwartku dość zabawnie (ciekawe, czy przypadkiem?) wysyłali SMSy o dopłacie „za nadwagę” (paczki rzecz jasna), zdarzają się wiadomości, podszywające się pod Izbę Skarbową, a ostatnio pod zapłatę podatku (czas PITów nadszedł).

Co robić?

Przede wszystkim, jak zawsze – uważać. I czytać wszystko, co do Was przychodzi. O ile w sieci Orange Polska nie dostaniecie od złych ludzi wiadomości z nadpisem CERT OPL, Orange, czy CyberTarcza (to nadpisy zastrzeżone) to już np. nazwa firmy kurierskiej może się pojawić. A jeśli dostawaliście już wiadomości o paczkach od „Kurier_X” (nie będę przytaczał żadnej istniejącej firmy) to jeśli przestępcy użyją tej samej nazwy, wiadomość od nich pokaże się pod tymi prawdziwymi i może zmylić potencjalną ofiarę.

Czytajcie każdy SMS, którego nie przysłał Wam nikt znajomy. Z założenia nie ufajcie linkom. Jeśli uprzecie się i klikniecie w adres w wiadomości – sprawdźcie dokładnie adres. Ja jednak nie ufałbym przekierowaniom do serwisów płatności klikanym na telefonie. Jeśli macie wątpliwości, zadzwońcie do domniemanego nadawcy (korzystając z telefonu na oficjalnej stronie), a jeśli jakimś cudem okaże się, że faktycznie macie coś zapłacić, poproście o link w mailu.

Udostępnij: SMS wiecznie żywy

Bezpieczeństwo

Snajperka, granat, czy… DDoS?

13 lutego 2020

Snajperka, granat, czy… DDoS?

DDoS (Distributed Denial of Service, Rozproszona Odmowa Dostępu) to od kilku lat jedna z najpopularniejszych krzywd, jakiej możemy doznać w internecie. Przede wszystkim ze względu na podaż usługi na rynku. O jakich liczbach mówimy? Funkcjonujące w internecie botnety można liczyć w setki. Spory botnet to nawet kilkaset tysięcy komputerów, przejętych przez przestępców i pozostających pod ich kontrolą. Wystarczy jedno kliknięcie, czasem kilka, by nasz komputer przestał być nasz i czekał na sygnał od – jak to złowieszczo brzmi – botmastera. A ten może użyć go np. do ataku DDoS.

Ile zatem kosztuje DDoS? Zależy od „dostawcy”, ale można spokojnie znaleźć usługę nawet za kilka dolarów. Nie potrwa wiele, może kilka minut; nie będzie przesadnie silny (atakujący botnet będzie miał może 1000 urządzeń), ale wystarczy. Do czego? Do tego, żeby wyrzucić rywala z sieciowej gry. Ba – z tym możemy poradzić sobie nawet bez pieniędzy. Niektórzy DDoSerzy oferują „proof of concept” swoich usług. Minuta? Dwie – wystarczy, by zamiast snajperką „odstrzelić” sieć rywala atakiem DDoS.

DDoS, czyli EVE Offline

Amerykańskie media kilka dni temu pisały o koszmarze graczy i administratorów popularnej gry MMO EVE Online, która za względu na masę dotykających jej infrastrukturę ataków DDoS stała się EVE… Offline. Najbardziej mają obrywać użytkownicy w USA, Australii i Afryce, tym niemniej specyfika gry powoduje, że „sypie” się ekonomia i spójność całej gry. Co ciekawe, problemy dotyczą nie tylko samej gry (wielu użytkowników ze względu na niestabilność infrastruktury EVE nie może się zalogować) ale również usługi czatu. W efekcie krążą również teorie, jakoby źródłem ataków byli hakerzy na usługach chińskiego rządu, po to, by utrudnić rozsiewanie prawdziwych informacji na temat koronawirusa 2019-nCov!

Czas pokaże (albo i nie) co było przyczyną, a póki co rzućmy okiem za kulisy będącego na ostatnim etapie tworzenia Raportu CERT Orange Polska 2019. A tam możemy zobaczyć, że z jednej strony poziom i liczba DDoSów wydają się spadać, co bez wątpienia jest efektem coraz skuteczniejszych metod zapobiegania tego typu atakom. Statystyki pozwalają jednak wypatrzyć pewien trend. Otóż nasilenie ataków na sieć Orange Polska widzimy w okresie świąt, wakacji i długich weekendów. Czyli dokładnie wtedy, gdy młodzież ma wolne i może poświęcać czas grom online.

Odstrzelić przed fosą

Jak radzimy sobie z DDoS w Orange Polska? Niewiele ponad rok temu pisaliśmy na stronie CERT Orange Polska o wprowadzeniu w naszej sieci BGP Flowspec. W skrócie – chodzi o próbkowanie ruchu w kilku miejscach sieci i w momencie, gdy systemy wykryją, iż z dużym prawdopodobieństwem mają do czynienia z ruchem „zatrutym” – odpowiednie informacje automatycznie trafią do dodatkowych tabel routingowych we wszystkich naszych routerach szkieletowych. Kolokwialnie mówiąc, zastrzelimy każdego zombie zanim przejdzie pierwszą fosę w naszym zamku.

Patrząc na statystyki ataków, ochrona wydaje się działać całkiem nieźle (na forach dla graczy z radością czytamy dobre słowa o naszym światłowodzie), nie oznacza to jednak, że zacieramy ręce i radośnie bierzemy się za inną robotę, zapominając o DDoSach. Każdemu zagrożeniu dokładnie się przyglądamy, obserwując i analizując trendy, by móc błyskawicznie zareagować, gdy przestępcy wymyślą coś nowego. Bo, jak mawiał Bogusław Linda w roli majora Kellera w „Demonach Wojny” Pasikowskiego:

To jest wojna (…) Musicie zabijać albo nie przeżyjecie

A to, że stawką nie jest – na szczęście – życie tylko Wasza prywatność, wrażliwe dane i pieniądze rzecz jasna, nie czynią jej mniej ważną.

Grafika autorstwa Bena Taylora na licencji CC BY 2.0

Udostępnij: Snajperka, granat, czy… DDoS?

Obsługa i Relacje z Klientami

Umowy na tablecie podpiszesz już we wszystkich salonach Orange

27 stycznia 2020

Umowy na tablecie podpiszesz już we wszystkich salonach Orange

Od dziś  we wszystkich naszych salonach – firmowych i partnerskich – można podpisać umowy oraz inne dokumenty na tablecie. Co to znaczy ? Otóż gdziekolwiek wejdziecie do salonu z logo Orange możecie kupić usługi i sprzęt, przedłużyć lub podpisać umowę, a nawet złożyć reklamację bez konieczności drukowania dokumentów. Wszystko załatwimy w formie elektronicznej.

Na tablecie podpiszesz umowę szybciej i wygodniej

Umowę przeczytamy i podpiszemy na tablecie, a jej kopia zostanie przesłane na nasz adres mailowy. To dużo prościej i pewniej. Dzięki temu nie wyjdziecie z salonu ze stosem papierów, które zawsze się gdzieś zawieruszą. Teraz umowę od razu możemy  zapisać na naszym komputerze  i bez trudu odnaleźć ją gdy będzie nam potrzebna. Oczywiście zawsze możecie podpisać umowę na papierze w tradycyjny sposób lub też na tablecie, prosząc o wydruk kopi umowy dla siebie.

Przeczytaj wywiad Podpisu z tabletu nie przeniesiesz metodą „kopiuj-wklej” na naszym blogu

Będę jednak zachęcał do wyboru podpisu na tablecie, podobnie jak większość naszych klientów. W naszych salonach firmowych średnio 9 na 10 klientów wybiera i podpisuje umowy na tablecie.  Z możliwości tej skorzystało do tej pory ponad 760 tys. klientów, a dzięki ich decyzji udało się nam wspólnie zaoszczędzić blisko 4,5 mln kartek papieru. By je wyprodukować potrzebne byłoby 400 drzew, mniej więcej tyle ile można znaleźć na hektarze dorodnego starego lasu.

Umowy na tablecie są bezpiecznie

Rozwiązanie, które stosujemy jest całkowicie bezpieczne. Takiego podpisu nie można skopiować na inny dokument, a cały system jest bardzo dobrze zabezpieczony. Jeżeli chcecie wiedzieć więcej na ten temat zajrzyjcie do wywiadu: Umowa na ekranie tabletu.

Pierwsze testy umowy na tablecie (z podpisem biometrycznym) rozpoczęliśmy pod koniec  2017 przy współpracy z firmą Infinite. Można je stosować  przy zawieraniu umowy dla usług mobilnych i stacjonarnych np. światłowodu. Orange wdraża także inne rozwiązania, które pozwalają ograniczyć zużycie papieru, chociażby e-umowa, którą możecie podpisać na naszej stronie www.

Udostępnij: Umowy na tablecie podpiszesz już we wszystkich salonach Orange

Obsługa i Relacje z Klientami

Podpisu z tabletu nie przeniesiesz metodą „kopiuj-wklej” – wywiad

27 stycznia 2020

Podpisu z tabletu nie przeniesiesz metodą „kopiuj-wklej” – wywiad

Umowy na tablecie możecie już podpisać we wszystkich salonach Orange. O tym jak były wdrażane, czy są bezpieczne i dlaczego są tak ważne przeczytacie w wywiadzie z Olgą Złotnicką, Dyrektor Zarządzania Łańcuchem Dostaw w Orange Polska.

Piotrek Domański: Dlaczego Orange zdecydował się umożliwić podpisywanie umów na tabletach, czy dobre papierowe rozwiązania nie były wystarczające?

Olga Złotnicka: Choć przysłowie mówi że papier wszystko przyjmie, są sytuacje, w których dokument elektroniczny sprawdzi się znacznie lepiej. Elektroniczny obieg dokumentów jest szybszy i  pewniejszy niż ten papierowy. W salonie Orange nadal można podpisać umowę w tradycyjny sposób, nadal można także wyjść z niego z plikiem dokumentów. Zachęcamy jednak naszych klientów, by korzystali z elektronicznego podpisu. W naszych salonach robi to już 9 na 10 klientów, a łącznie z salonami agencyjnymi obsłużyliśmy w ten sposób już ponad 760 tys. osób.

Jakie są korzyści z takiego rozwiązania?

Dla klientów to przede wszystkim wygoda związana z tym, że dokumenty są od razu na ich skrzynkach mailowych, a nie w teczce, którą trzeba zabrać do domu. Skraca to także czas konieczny na „papierową robotę”, zarówno w trakcie obsługi klienta, jak i na zapleczu salonu. Pozostawia to więcej czasu na rozmowę z klientem. Z kolei dla Orange podpisy na tabletach oznaczają na przykład mniej pomyłek. Często, gdy ruch w salonie jest duży konsultant może zapomnieć o jednym z wielu podpisów. W przypadku umów na tablecie system po prostu mu o tym przypomni. To także oszczędności – dokumenty podpisane przez klientów należy zebrać, zapakować, przewieźć do archiwów, rozpakować, zeskanować. Gdy umowa zostaje podpisana na tablecie tych czynności nie trzeba wykonywać.

Ile czasu minęło od pierwszego pomysłu do dzisiaj, gdy podpisać umowy można już we wszystkich salonach z logo Orange?

Pomysł narodził się w czerwcu 2017, a pod  koniec tego samego roku uruchomiliśmy pierwsze pilotażowe wdrożenie w dwóch salonach – w Miasteczku Orange oraz przy ul. Okrzei w Warszawie. Teraz  jest już ono dostępne w około 700 salonach z logo Orange. Kilka dni temu uruchomiliśmy ostatni – w Sadyba Best Mall w Warszawie.

Czemu między pierwszymi testami, a ostatnim wdrożeniem minęły blisko 2 lata?

Czas ten był niezbędny by przełożyć procesy, które wcześniej wymagały papieru na ich cyfrowe odpowiedniki. Jednocześnie dążyliśmy do zautomatyzowania i zoptymalizowania tego co było możliwe. Podpis na tablecie w salonie to dla nas sam początek. Kolejne kroki odbywają się z pomocą RPA, czyli Robotic Process Automation. Drugim ważnym powodem było zastosowanie najwyższych standardów bezpieczeństwa w całym procesie. Dokumenty naszych klientów muszą być bezpieczne.

Czym jest owe RPA?

To rozwiązania, wykorzystujące boty, które uzupełniają pracę człowieka, samodzielnie wykonując proste, niewymagające czynności. Nie wykazują się innowacyjnością, czy przebłyskiem geniuszu, za to są bardzo dokładne i nie popełniają błędów. Dzięki temu ludzie mogą zająć się pracą  bardziej kreatywną.

Czy to rozwiązanie jest bezpieczne? Przecież skopiowanie takiego podpisu z dokumentu nie jest chyba specjalnie trudne?

To bezpieczne rozwiązanie, na inne byśmy się nie zdecydowali. Skopiowanie tego podpisu metodą „kopiuj-wklej” nie zadziała.

Czy Orange wdraża inne podobne rozwiązania?

Tak, możemy podpisać e-umowę przez naszą stronę internetową. Kurier nie musi dostarczyć wersji papierowej.  To zupełnie nowe rozwiązanie, bardzo bezpieczne i cieszące się sporym zainteresowanie. Co ciekawe z takiej e-umowy można skorzystać także dzwoniąc do nas lub gdy my dzwonimy do klienta. Lubimy wyznaczać nowe trendy i kierunki na rynku.

Czy rynek, nie tylko telekomunikacja będzie szedł  w tą stronę, czy są jakieś ograniczenia, które powodują, że jeszcze przez wiele lat nie zobaczymy nic podobnego w innych miejscach?

Liczby mówią same za siebie. 9 na 10 klientów, którzy podpisujących umowy w salonie robi to na tablecie. Od wdrożenia e-umowy w Orange  skorzystało z niej ponad 70% klientów zamawiających usługi telefonicznie lub przez naszą stronę www.  Odsetek ten cały czas wzrasta. Sądzę, że kolejne sektory i branże także będą chciały iść w tą stronę.  Zapraszam do korzystania z naszych doświadczeń.

Udostępnij: Podpisu z tabletu nie przeniesiesz metodą „kopiuj-wklej” – wywiad

Bezpieczeństwo

Gdzie zgubiłeś swój e-mail?

23 stycznia 2020

Gdzie zgubiłeś swój e-mail?

„Skąd u przestępców wziął się mój adres e-mail? Wysłali do mnie phishing, adres na pewno wyciekł z Orange!”. Przesadzałbym, twierdząc, że tego typu wiadomości trafiają do CERT Orange Polska regularnie, ale – cóż – nie są rzadkie. A ponieważ w edukacji o cyberzagrożeniach nie ma rzeczy niepotrzebnych (inaczej kampanie phishingowe nie kończyłyby infekcjami, czego dowodzą choćby statystyki CyberTarczy) są pewne o rzeczy, o których warto pisać regularnie, nawet jeśli mamy wrażenie, że przecież wszyscy o tym wiedzą.

Ty zgubisz e-mail, roboty znajdą

Nie ma prywatności – jest tylko świadome udostępnianie informacji o sobie. Tę mantrę ery internetu powtarzam podczas każdej wygłaszanej przeze mnie prezentacji. Problem w tym, że do większości z nas ta świadomość doszła niedawno, korzystają z internetu od jego początku, bądź – o tempora o mores – nie mogą przeżyć bez udostępniania informacji o sobie (to ostatnie to temat na inny materiał i raczej nie u nas, ale np. u Psycholog Pisze). Niezależnie od podejścia – w każdym z przypadków zostawiamy po sobie, przy mniejszej lub większej świadomości, ślady.

Zastanawiacie się, skąd u przestępców biorą się adresy e-mail, na które wysyłają phishing? Odpowiem pytaniem na pytanie – w ilu miejscach zostawiliście swój adres e-mail? Na ilu forach zakładaliście konta, gdzie i komu w sieci podawaliście, jak się z Wami skontaktować? Po internecie nieprzerwanie krążą crawlery, automaty przeszukujące ogólnodostępne miejsca właśnie pod kątem takich informacji. Pod zebraną bazę czasami podstawiają znane hasła i próbują ich na wykradzionych bazach lub popularnych serwisach. A innym razem, wraz z innymi nieszczęśnikami, wyślą takiej ofierze właśnie phishingowy mail, licząc, że sama się „podłoży”.

Ile o Tobie w sieci?

Co zrobić? Warto zacząć od sprawdzenia naszego adresu na stronie Have I Been Pwned. Jeśli tam się nie znajdziecie – możecie bić sobie brawo (albo po prostu mieliście szczęście). Śladów warto też poszukać wpisując nasze imię i nazwisko, czy też właśnie maila, w wyszukiwarce. Swoją drogą można znaleźć całkiem fajne informacje, ja np. dowiedziałem się, że moje imię i nazwisko noszą też piłkarz nożny i całkiem niezły skoczek w dal 🙂

A co robić jeśli „stało się” i pora powiedzieć „mądry internauta po szkodzie”? Jeśli HIPB pokazało, że wyciekły jakieś hasła – natychmiast je zmienić. W ogóle, zamiast zapamiętywać hasła, najlepiej zainstalować menedżer haseł i wtedy musimy pamiętać tylko jedno, bardzo silne. Ja prywatnie używam LastPass, a w Orange Polska zalecany jest KeePass. Różnica jest istotna, bowiem pierwszy funkcjonuje w chmurze i można otworzyć go na dowolnym urządzeniu, wyposażonym w przeglądarkę internetową (idealny dla mnie), drugi zaś działa offline, jest więc idealny do zapamiętywania np. haseł do korporacyjnych aplikacji.

Magiczne 2FA

Ktoś z Was korzysta już z 2FA? 2FA (2 Factor Authentication), czyli uwierzytelnianie dwuskładnikowe, to coś, co też od lat promuję nie tylko na blogu i zgodnie z opisaną na początku zasadą wspomnę kolejny raz. 2FA to dodatkowy element do logowania, wpisywany po tym, gdy zatwierdzimy hasło. Jeszcze niedawno często był to kod przesyłany SMSem (jak np. przy potwierdzaniu przelewów w bankach). Od jakiegoś czasu jednak firmy porzucają ten kanał, skłaniając się ku dedykowanym aplikacjom. Wystarczy znaleźć odpowiednią opcję w ustawieniach strony (listę serwisów, wspierających 2FA znajdziecie tutaj, są tu wszystkie, z których korzystam). Nigdy nie zdarzyło mi się, by którykolwiek z „moich” serwisów poinformował mnie o nieautoryzowanym logowaniu, ale dla samej świadomości miny złodzieja, któremu uśmiech na ustach zgaśnie, gdy zobaczy „podaj kod z aplikacji Google Authenticator” warto 🙂

No i nie zapomnijcie o jednej, „dość” ważnej kwestii. Jeśli korzystacie Facebooka, Google’a, czy innych internetowych usług sieciowych gigantów, oni i tak już wszystko o Was wiedzą. Tyle dobrego, że dla nich jesteście jednym z miliardów anonimowych internautów i zależy im tylko na tym, by podać Wam jak najbardziej dopasowaną reklamę. A przynajmniej ja zamierzam w to wierzyć.

PS: No i czytajcie dokładnie każdego dziwnego, nieoczekiwanego, niestandardowego maila. Odrobina uwagi + nieklikanie w nieznane linki i załączniki znacząco zmniejszą ryzyko udanego ataku na Was.

Udostępnij: Gdzie zgubiłeś swój e-mail?

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej