Dziś bohaterem Czwartku z Bezpieczeństwem będzie Rzecznik himself, że tak sobie ze staroangielska pozwolę, ale jakoś tak mi pasowało 🙂 Bohaterem pozytywnym – żeby nie było. Takim przykładem, że warto czytać o bezpieczeństwie.
Zaczęło się od maila. Jestem sobie w stanie wyobrazić licznych, którzy w coś takiego akurat klikną, bo atak faktycznie jest całkiem nieźle przygotowany:
Wszystko ładnie wystylizowane, żadnych błędów stylistycznych (no, może ten „Password” z wielkiej mógłby dać co ostrożniejszym do myślenia). Tym niemniej żadnego bełkotu, bez przesady z użyciem nazwy/marki, całkiem sensowna treść. No i ta zachęta, że wystarczy tylko kliknąć, by zachować stare hasło!
Nie klikajcie w takie linki!
Tzn. w sumie kliknąć w wielu przypadkach można, przynajmniej raz. To nie są ataki wstrzykujące malware tylko ukierunkowane na wykradnięcie loginu i hasła. Ja jednak na wszelki wypadek udawałem Wojtka na maszynie wirtualnej, bo kto wie, co wymyślili tym razem? A wymyślili całkiem ładny panelik, który bez problemu można byłoby wziąć za nasz, firmowy:
Żadnych niepotrzebnych informacji, tylko panel logowania. Gdyby Wojtek nigdy nie logował się do naszej poczty przez interfejs webowy mógłby się nawet dać oszukać. Ba, jestem w stanie poświęcić mały palec u prawej dłoni, że skuteczność takiego ataku w firmie mogłaby przekroczyć 10%. A to nie jest dobra informacja.
Co się stanie, gdy wpiszemy hasło?
Nie bój się Wojtek, nie znam Twojego hasła, a wpisałem takie, które na pewno Twoje nie jest 🙂 Mam przeczucie graniczące z pewnością, że po wpisaniu prawdziwego też zobaczylibyśmy powyższy komunikat, ale przestępcy mieliby już otwarte drzwi do naszej firmowej sieci.
Co robić?
Zawsze na końcu zadaję takie pytanie, bo chciałbym, by te moje wpisy były jak bajki Krasickiego – z morałem 🙂 Przede wszystkim nie klikać bez zastanowienia w podane linki. Szczególnie takie, które sugerują nam aktywności związane z kontem e-mailowym, czy w ogóle danymi wrażliwymi. Jeśli mamy wątpliwości, a mail udaje wysyłany przez nasze firmowe IT – najlepiej zadzwonić albo do działu IT albo do bezpieczeństwa. To ostatnie zrobił Wojtek, pisząc do mnie 🙂 I bardzo dobrze – bo po pierwsze wie, co w takich sytuacjach robić, po drugie zaś – ma mnie niejako pod ręką. Załóżcie po prostu, że loginy i hasła wpisujemy, gdy my tak chcemy, a nie wtedy, gdy ktoś nam to sugeruje. Nawet jeśli przesadzimy z ostrożnością – zawsze to lepsze, niż przesadzić w drugą stronę.
