Cyberbezpieczeństwo

Każdego dnia korzystamy z Internetu, płacimy wykorzystując bankowość elektroniczną, robimy e-zakupy, a nawet załatwiamy sprawy w e-urzędzie. Internet daje nam ogromne możliwości, znacznie ułatwia życie, ale niesie ze sobą również wiele zagrożeń. Każdy z nas może znaleźć się na celowniku cyberprzestępców.

Poznaj zasady bezpieczeństwa w sieci. Dowiedz się, jakimi metodami mogą posłużyć się cyberprzestępcy, by zdobyć dostęp do Twoich danych i pieniędzy i nie daj się oszukać! Sprawdź, co zrobić, jeśli podejrzewasz, że ktoś niepowołany zdobył Twoje dane!

Chroń swoje dane
Nigdy nie udostępniaj w sieci swoich danych wrażliwych takich jak PESEL, numer dowodu, numer paszportu czy numer karty płatniczej.
Aktualizuj oprogramowanie
Starsze wersje programów komputerowych mogą mieć luki wykorzystywane przez przestępców. Pamiętaj, by oprogramowanie i jego aktualizacje instalować tylko ze sprawdzonych i zaufanych źródeł.
Zadbaj o dobry program antywirusowy
Korzystaj z programu antywirusowego i dbaj, aby był zawsze aktualny.
Dodaj siły hasłom
Nigdy nie ustawiaj prostych, łatwych do odgadnięcia haseł. Pamiętaj o tym, żeby nie stosować tego samego hasła do różnych systemów. I przede wszystkim: nie udostępniaj nikomu swoich haseł.
Loguj się bezpiecznie
Korzystaj z wieloetapowej weryfikacji logowania do serwisów, z których korzystasz. Wykorzystaj do tego np. z dodatkowe uwierzytelnianie z użyciem telefonu (sms).
Nie znasz - nie klikaj
Nigdy nie klikaj w linki ani nie otwieraj załączników do wiadomości otrzymanych z nieznanego źródła.
Nie ufaj nieznanym sieciom
Jeżeli nie jest to koniecznie, nie wykorzystuj niezaufanych publicznych sieci do przeprowadzania transakcji w bankowości elektronicznej.
Korzystaj z szyfrowanych sieci
Jeżeli musisz korzystać z publicznych sieci, to rozważ skorzystanie z VPN’a, a przynajmniej sprawdź, czy połączenie jest szyfrowane.
Zabezpiecz urządzenia mobilne
Zabezpiecz dostęp do urządzenia mobilnego najlepiej jak to jest możliwe np. przez odcisk palca, tak abyś tylko Ty miał do niego dostęp.
Stosuj zasadę ograniczonego zaufania
Ogranicz swoje zaufanie do rozmówców w sieci - ktoś mógł przejąć kontrolę nad kontem rozmówcy i w ten sposób próbować wyłudzić Twoje dane.

Zapoznaj się się z prawdziwymi historiami, które przydarzyły się naszym klientom.

Zmartwiona młoda kobieta siedzi przed otwartym laptopem

E-mail z banku?

Czy na pewno wysłał go mój bank?

Kobieta rozmawia przez telefon

Dzwoni bank?

Na co zwrócić uwagę podczas rozmowy?

Zmartwiony młody mężczyzna patrzy na telefon komórkowy

SMS od kuriera?

Co zrobić, gdy dostałem smsa od firmy kurierskiej z prośbą o dopłatę?

Kobieta siedzi przy stole nad fakturami, z kalkulatorem i otwartym laptopem

Faktura z innym numerem konta?

Co zrobić, gdy dostanę fakturę z nowym lub innym niż zwykle numerem rachunku bankowego?

Młoda kobieta siedzi przy stole i czyta wiadomości sms na smartfonie

Prośba od znajomego o przelew?

Co zrobić, gdy znajomy prosi o pilny przelew?  

Zatroskany mężczyzna siedzi przed otwartym laptopem

Ktoś przejął Twoje konto e-mailowe?

Co zrobić w tej sytuacji?

Kobieta siedzi nad dokumentami

Zaszyfrowane pliki?

Co zrobić, gdy ktoś zaszyfrował moje pliki?

Mężczyzna wypłaca gotówkę z bankomatu

Wypłata z bankomatu?

Na co zwrócić uwagę wypłacając pieniądze?

1. Jak bezpiecznie korzystać z Internetu?
Aby bezpiecznie korzystać z Internetu przestrzegaj kilku zasad:

  • zadbaj, aby na komputerze zainstalowany był aktualny program antywirusowy,
  • aktualizuj systematycznie oprogramowanie takie jak: system operacyjny, przeglądarka internetowa, pakiet Office, Acrobat Reader, itp. Na telefonie regularnie aktualizuj aplikacje,
  • nie otwieraj załączników i linków w wiadomościach e-mail od kogoś, kogo nie znasz, albo z wiadomości, których się nie spodziewasz. Złamanie tej zasady to najprostsza droga do zainfekowania twojego komputera. Dotyczy to także portali społecznościowych. Uważaj, w jakie linki klikasz, nawet te przesłane przez dobrego znajomego. Ktoś mógł przejąć jego konto i rozesłać złośliwe linki i wirusy,
  • na telefonie nie instaluj aplikacji na czyjąś prośbę, nie instaluj też aplikacji z nieoficjalnych sklepów (innych niż Google Play czy App Store),
  • jeśli używasz telefonu i komputera do ważnych celów, takich jak bankowanie czy dostęp do ważnych informacji, nie dziel z dzieckiem tego urządzenia. Dziecko może jeszcze nie znać wszystkich zasad bezpieczeństwa,
  • staraj się nie używać publicznych sieci WiFi. W takich sieciach jest duże ryzyko przechwycenia wrażliwych danych czy twoich haseł. Jeśli musisz korzystać z takich sieci, rozważ wykorzystanie rozwiązania VPN,
  • używaj silnych haseł i jeśli jest taka możliwość - stosuj dwuskładnikowe uwierzytelnianie np. hasło + SMS, hasło + token. Pamiętaj też, aby nie używać jednego hasła do kilku kont.

2. Jak stworzyć bezpieczne hasło?
Jest kilka zasad, o których należy pamiętać przy tworzeniu bezpiecznego hasła. Najważniejsze z nich to:

  • hasło powinno być unikalne, jedyne w swoim rodzaju, niepowtarzalne,  
  • hasło nie powinno być łatwe do odgadnięcia przez osoby postronne, czyli nie powinno zawierać imienia, nazwiska, daty urodzenia itp.,
  • do budowy hasła nie należy wykorzystywać sekwencji kolejnych liter, liczb lub innych znaków, np: abcd, 1234, QWERTY,
  • hasło nie powinno składać się również z jednego słowa w dowolnym języku, pisanego normalnie lub wspak, takie hasła są łatwe do odgadnięcia,
  • nie korzystaj z opcji zapamiętywania haseł w przeglądarce,
  • nie używaj prostych, łatwych „słownikowych” wyrażeń, np. mojehaslo,
  • bezpieczne hasło powinno się składać z co najmniej 8 znaków, ale im więcej tym lepiej. Zalecamy hasła o długości 12-14 znaków,
  • hasło powinno być złożone, czyli zawierać zarówno małe jak i wielkie litery, a także cyfry i znaki specjalne,
  • do stworzenia bezpiecznego hasła możesz wykorzystać wyrażenie, frazę którą łatwo zapamiętasz np. cytat lub powiedzenie zapisując je w nieco zmienionej formie, np. „Bez pracy nie ma kołaczy” – zapisane jako: Bezpr@cyniem@koł@czy. W ten sposób możesz stworzyć bardzo silne hasło, którego przestępcy nie będą w stanie złamać,
  • rekomendujemy wykorzystanie managera haseł, który poza tym że umożliwi ich przechowywanie, zwykle posiada również funkcję generatora odpowiednio złożonych haseł.

3. Jak bezpiecznie wysłać plik?
Aby wysłać w bezpieczny sposób plik np. z danymi osobowymi najlepiej zaszyfruj go. Skorzystaj ze specjalnego oprogramowania do szyfrowania np. PGP, lub oprogramowania do kompresji plików np. 7zip lub WinRAR, które mają opcję nadania hasła do archiwum. Do wysłania tak przygotowanego pliku użyj poczty elektronicznej, a jeśli plik jest zbyt duży - portalu do wymiany plików np. WeTransfer. Dobrym pomysłem może być też skorzystanie z chmury np. Google Drive, OneDrive lub Dropbox. Pamiętaj: hasło do pliku zawsze wysyłaj odbiorcy innym kanałem niż przekazany był plik, np. SMS-em.

4. Co powinienem zrobić, gdy mam wątpliwość, że otrzymany e-mail/telefon jest prawdziwy?
W przypadku otrzymania podejrzanego telefonu:

  • poproś o dane osoby (imię i nazwisko), która do Ciebie dzwoni,
  • rozłącz się i zadzwoń do instytucji na ogólnodostępną infolinię z pytaniem, czy faktycznie połączenie było realizowane na zlecenie danej instytucji. Zapytaj też, czy osoba o podanym imieniu i nazwisku jest pracownikiem tej instytucji.

W przypadku otrzymania podejrzanego e-maila:

  • zanim klikniesz w link lub otworzysz załącznik, sprawdź kto jest nadawcą wiadomości i jaka jest jej treść,
  • zwróć uwagę na adres nadawcy. Najczęściej fałszywe e-maile wysyłane są z adresów, które nie mają nic wspólnego z instytucją, pod którą podszywają się przestępcy,
  • zwróć uwagę na treść wiadomości. W fałszywych wiadomościach często można zauważyć błędy ortograficzne czy nieprawidłową składnię,
  • w przypadku podejrzanych wiadomości nie otwieraj załączników i linków,
  • podejrzaną wiadomość wyślij do CERT, korzystając z formularza na stronie zgłoś incydent,
  • zgłoś otrzymanie podejrzanej wiadomości do instytucji, pod którą podszyli się przestępcy.

5. Jak rozpoznać socjotechnikę, którą posługują się cyberprzestępcy, by namówić nas do działania? 
Socjotechnika to inaczej umiejętność manipulacji, która użyta w złej wierze może być skutecznym narzędziem w rękach przestępców. Większość ataków cyberprzestępców wykorzystuje socjotechnikę (np. presję czasu, podszywanie się pod osobę decyzyjną) i bazuje na ludzkich odruchach i zachowaniach. Dzięki wykorzystaniu socjotechniki przestępcy przełamują bariery i zabezpieczenia. Jak poznać, że rozmówca stosuje socjotechnikę?

Cyberprzestępca, który stosuje socjotechnikę:

  • odmówi podania zwrotnego numeru kontaktowego, bo nie zawsze będzie przygotowany na podanie bezpiecznego dla niego kontaktu,
  • zaproponuje nietypową okazję – taką, która w realnym świecie się nie zdarza,
  • będzie przekonywał, że posiada władzę, np. podszyje się pod kogoś ważnego próbując Cię zastraszyć i zagrozi konsekwencjami,
  • podkreśli ważność i pilność sprawy, by wymóc na Tobie pochopne i nieprzemyślane przekazanie informacji, natychmiastowe podjęcie decyzji lub działanie,
  • gdy zaczniesz zadawać dociekliwe pytania zacznie okazywać niechęć i będzie udzielał zdawkowych odpowiedzi, ponieważ wie, że w trakcie merytorycznej rozmowy ławo się zdemaskuje,
  • będzie próbował powoływać się na wiele nazwisk, by „trafić” w osobę, którą skojarzysz. Zbuduje w ten sposób zaufanie, bo to nazwisko stanie się „wytrychem” do uzyskania od Ciebie wrażliwych informacji,
  • pochlebstwami, komplementami i pozorowaną próbą pomocy będzie starał się uśpić Twoją czujność,
  • wzbudzeniem ciekawości spróbuje nakłonić do nierozsądnych zachowań.

Jak nie dać się złapać na socjotechnikę? Przede wszystkim bądź asertywny. Weryfikuj otrzymywane informacje, oddzwaniaj, nie wpadaj w panikę, nie działaj pochopnie, staraj się w spokoju ocenić sytuację. Nie ujawniaj wrażliwych informacji i nie wykonuj bezrefleksyjnie poleceń kogoś, kogo tożsamości w danej sytuacji nie jesteś w stanie zweryfikować.
Jeżeli jednak dasz się zmanipulować, to po wykryciu takiej sytuacji reaguj adekwatnie do zaistniałych zagrożeń i krytyczności ujawnionych informacji/danych. Jeżeli będzie to zasadne, zgłoś to do swoich przełożonych, organów ścigania, poinformuj swój bank.

6. Jak zabezpieczyć się przed utratą danych?
Większość z nas przechowuje na dysku komputera, laptopa lub w pamięci smartfona cenne dane: dokumenty, notatki czy rodzinne zdjęcia. Zapominamy, że najczęstszymi powodami utraty danych są awarie nośników oraz błąd człowieka.
Żeby zminimalizować ryzyko utraty danych, rób regularnie ich kopię zapasową na zewnętrznym nośniku danych lub w chmurze, które podłączane są do urządzenia tylko na czas wykonywania kopii. Wiele urządzeń i aplikacji pozwala dziś na automatyczne tworzenie takich kopii zapasowych.
Szkodliwe oprogramowanie również może łatwo wymazać lub uszkodzić ważne dla Ciebie pliki. Dobrą praktyką, która ogranicza to ryzyko, jest stosowanie oprogramowania antywirusowego.

7. Jak chronić dane wrażliwe?
Najpierw wyjaśnijmy, czym są dane wrażliwe. To rodzaj danych osobowych, które podlegają szczególnej ochronie, ponieważ dotyczą sfery prywatnej. Danych wrażliwych, z wyjątkiem danych biometrycznych, nie używa się do identyfikacji (w Internecie, banku, czy innej instytucji). Do danych wrażliwych zaliczamy:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne,
  • przekonania światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne,
  • dane biometryczne,
  • zdrowie,
  • seksualność i orientacja seksualna.

Jednak pod pojęciem danych wrażliwych często kryją się również dane i informacje, których ujawnienie może pozwolić na kradzież tożsamości lub pozbawienie kogoś jego prywatności.
Jako osoba fizyczna decydujesz o tym, kto i w jakich warunkach przetwarza Twoje dane wrażliwe. Firmy mają oczywiście obowiązek dbać o to, by takie informacje były odpowiednio zabezpieczone przed nieuprawnionym dostępem. Każda usługa, do której potrzebne są dane, wymaga zgody na przetwarzanie. Zauważysz to wchodząc na stronę sklepów internetowych czy korzystając z mediów społecznościowych.

Jak najlepiej chronić dane wrażliwe?

  • przekazując komuś swoje dane, zwróć uwagę czy są one faktycznie tej osobie/instytucji niezbędne,
  • nie wysyłaj danych drogą elektroniczną bez ich wcześniejszego zabezpieczenia, szyfruj każdy dokument jak najmocniejszym hasłem,
  • nie przetrzymuj w sieci skanów dokumentów, zdjęć czy umów,
  • nie zapamiętuj swoich danych na nieznanych czy publicznych urządzeniach,
  • zawsze weryfikuj materiały, które udostępniasz publicznie np. w sieciach społecznościowych,
  • staraj się nie korzystać z publicznych, ogólnodostępnych punktów dostępowych do Internetu,
  • nigdy, nikomu nie udostępniaj swoich loginów i haseł,
  • zawsze stosuj zasadę ograniczonego zaufania,
  • nie prowadź poufnych rozmów w miejscach publicznych,
  • zawsze usuwaj dane z dysków i urządzeń, z których już nie korzystasz, stare urządzenie, które zostanie sprzedane lub trafi na śmietnik, może stać się cennym łupem dla cyberprzestępców,
  • regularnie zmieniaj hasła do komputera, e-maila czy systemów bankowych,
  • jeżeli jest taka możliwość, korzystaj z dwuetapowego procesu uwierzytelniania,
  • zwróć uwagę na e-maile wysyłane przez instytucje, np. banki czy firmy kurierskie, oszuści często podszywają się pod firmy lub instytucje finansowe, dlatego trzeba upewnić się, że mail faktycznie pochodzi od konkretnego adresata,
  • korzystaj z aktualnego oprogramowania antywirusowego,
  • bądź ostrożny w czasie pobierania plików, instalowania gier czy aplikacji, ponieważ razem z pobieranymi plikami, na urządzeniu może zostać zainstalowany wirus. Po ściągnięciu pliku, warto go przeskanować programem antywirusowym,
  • zwracaj uwagę, czy na stronach z funkcją logowania wykorzystywany jest protokół szyfrowania SSL, bezpieczna strona zaczyna się od „https” i ma wyświetlony znak kłódki,
  • staraj się edukować dzieci na temat obowiązku ochrony danych osobowych. Najmłodsi nie zawsze są świadomi grożącego niebezpieczeństwa, dlatego oszuści często wykorzystują ich łatwowierność.

8. Jak bezpiecznie korzystać z bankowości elektronicznej?
W związku z coraz częstszymi próbami wyłudzenia przez cyberprzestępców danych do bankowości elektronicznej należy zachować szczególną ostrożność podczas korzystania z internetowych usług banku. Przestępcy, aby uzyskać dostęp do konta ofiary, najczęściej korzystają z ataków phishingowych, socjotechniki lub złośliwego oprogramowania. Aby skutecznie zabezpieczyć się przed tymi zagrożeniami:

  • sprawdź, czy strona do logowania posiada prawidłowy adres. Właściwy adres bankowości powinieneś otrzymać od swojego banku. Zawsze wpisuj go w całości w pasku adresu przeglądarki. Adres w wynikach wyszukiwarki internetowej może być zmanipulowany,
  • zwróć uwagę na wygląd strony banku. Jeśli wygląda inaczej niż zwykle, upewnij się że jesteś pod właściwym adresem,
  • zweryfikuj, czy połączenie jest szyfrowane (ikona kłódki przy adresie strony),
  • nie korzystaj z kafejek internetowych oraz urządzeń należących do innych osób,
  • podczas korzystania z bankowości elektronicznej nie używaj nieznanych sieci,
  • nigdy nie używaj linków otrzymanych mailem lub SMS-em do logowania się do bankowości elektronicznej,
  • nie zapomnij wylogować się z systemu bankowości po zakończonej pracy,
  • na urządzeniu, z którego korzystasz nie uruchamiaj niezaufanego oprogramowania oraz dbaj o aktualizację zainstalowanego na nim systemu i oprogramowania.

9. Jak zweryfikować, czy sklep internetowy jest prawdziwy?
Fałszywe sklepy oferują najczęściej markowe produkty w bardzo okazyjnych cenach. Jeżeli oferta jest zbyt dobra, aby była prawdziwa - powinno wzbudzić to Twoją podejrzliwość.
Zanim złożysz zamówienie zweryfikuj, czy sklep internetowy nie jest próbą oszustwa:

  • zweryfikuj dane firmy, korzystając z ogólnodostępnych informacji (adres siedziby firmy, REGON, KRS itp.),
  • zapoznaj się z regulaminem zamieszczonym na stronie sklepu,
  • sprawdź opinie o sklepie w Internecie. Zwróć uwagę na historię wpisów. Fałszywe sklepy internetowe mają krótką żywotność,
  • zadzwoń pod numer podany na stronie sklepu,
  • jeżeli masz wątpliwości, wybierz metodę płatności „płatne przy odbiorze”. Fałszywe sklepy internetowe najczęściej wykluczają tę formę płatności,
  • zweryfikuj od jak dawna sklep funkcjonuje, np. sprawdzając kiedy zarejestrowana była domena, pod którą się znajduje. Im młodszy sklep, tym większe ryzyko oszustwa.

Co zrobić jeżeli zrobiłeś zakupy w fałszywym sklepie internetowym?

  • jeżeli dokonałeś płatności korzystając z jakiegokolwiek linka na stronie fałszywego sklepu lub przesłanego przez ten sklep, natychmiast powiadom bank oraz zmień hasło do konta bankowości elektronicznej,
  • zgłoś sprawę na policję,
  • jeżeli zapłaciłeś kartą kredytową możesz zgłosić reklamację do swojego banku.

Zgłoś fałszywy sklep do CERT, korzystając z formularza na stronie zgłoś incydent

10. Jak sprawdzić certyfikat SSL?
Jeszcze kilka lat temu panowało przeświadczenie, że odwiedzając strony opatrzone w pasku adresu przeglądarki symbolem kłódki nawiązujesz bezpieczne połączenie. Dziś kłódeczka oznacza zwykle tylko tyle, że połączenie z serwerem jest szyfrowane i nie gwarantuje to, że dana strona jest własnością firmy, z którą chcesz się połączyć.

Ważne więc, by zweryfikować, czy dana strona internetowa udostępniana jest faktycznie przez firmę do której chcieliśmy trafić. Warto wiedzieć, że oszuści bez problemu mogą zarejestrować domeny zawierające drobną różnicę w literkach oraz mogą wygenerować dla takiej strony certyfikat  (np. bezpiecznastroma.pl to zupełnie co innego niż bezpiecznastrona.pl).

To, czy certyfikat odwiedzanej witryny jest ważny, weryfikują przeglądarki, które wyświetlają ostrzeżenie jeśli certyfikat nie spełnia kryteriów bezpieczeństwa (np. gdy wygasł, albo nie jest możliwa jego weryfikacja). Jeśli przeglądarka sygnalizuje jakiekolwiek kłopoty z certyfikatem witryny, rekomendowany jest kontakt z właścicielem witryny w celu weryfikacji połączenia.

Można także samodzielnie zweryfikować certyfikat SSL. Zwykle wystarczy kliknąć na symbol kłódki. Jeśli wystawca certyfikatu dokonał rozszerzonej weryfikacji (EV) tożsamości właściciela domeny (właściciele dbają o to dla szczególnie istotnych systemów) przeglądarka wyświetli informację dla jakiej firmy taka weryfikacja była realizowana.
https://bgk24.pl/hades/do/Login, Bezpieczeństwo połączenia z „bgk24.pl”, połączenie z tą witryną jest zabezpieczone. Certyfikat wystawiony dla: Bank Gospodarstwa Krajowego, Warszawa, mazowieckie, PL, Zweryfikowana przez: Unizeto Technologies S.S., więcej informacji…

Klikając w oknie certyfikatu możemy podejrzeć jego szczegóły, a wśród nich najważniejsze:

  • data ważności – co często dla fałszywych stron oznacza kilka dni wstecz,
  • alternatywne nazwy podmiotu - dla jakich adresów certyfikat został wystawiony.

Nazwa wystawcy - zaufany podmiot który wystawił certyfikat i poświadcza jego ważność.
bgk24.pl Certum Extended Validation CA SHA2, Nazwa podmiotu, Państwo założenia PL, 00-955, Aleje Jerozolimskie 7, Rodzaj firmy Government Entity, Numer seryjny 000017319, Państwo PL, Województwo mazowieckie, Region Warszawa, Jednostka organizacyjna Bankowość internetowa, Organizacja Bank Gospodarstwa Krajowego, Nazwa pospolita bgk24.pl, Nazwa wystawcy, Państwo PL, Organizacja Unizeto Technologies S.A., Jednostka organizacyjna Certum Certification Authority, Nazwa pospolita Certum Extended Validation CA SHA2, Ważność Nieważny przed Sat, 29 May 2021 00:00:00 GMT, Nieważny po Sun, 29 May 2022 00:00:00 GMT

 

 

Cyberatak

To każdy atak wymierzony w systemy informatyczne, sieci komputerowe, infrastrukturę lub nasze osobiste urządzenia komputerowe. Cyberprzestępca próbuje uzyskać dostęp do danych, funkcji lub innych zastrzeżonych obszarów systemu bez upoważnienia, potencjalnie ze złymi zamiarami. W wyniku cyberataku możliwa jest np. kradzież, zmiana lub zniszczenie określonego celu (np. danych).

Kradzież tożsamości

To celowe używanie danych osobowych innej osoby, adresu zameldowania, numeru PESEL, najczęściej w celu osiągnięcia korzyści majątkowej. Kradzież tożsamości zwana jest także fałszerstwem tożsamości lub defraudacją tożsamości, gdyż chodzi o podszywanie się pod czyjeś dane, a nie "usunięcie" danych ofiary.

Haker

To osoba o dużych umiejętnościach informatycznych (lub elektronicznych), która identyfikuje się ze społecznością hakerską. Hakerzy mają bardzo dobrą orientację w Internecie, znają wiele języków programowania i systemy operacyjne. Swoją wiedzę wykorzystują np. by włamać się do systemów komputerowych.

Złośliwe oprogramowanie

To programy komputerowe, które działają na szkodę systemu, w którym zostały zainstalowane lub na szkodę użytkownika tego systemu.

Doxing (doxxing)

To czynność polegająca na publicznym ujawnianiu prywatnych danych osoby lub organizacji, zwykle za pośrednictwem Internetu.

Malware

To oprogramowanie, które zostało przeznaczone do złych celów i działa wbrew oczekiwaniom użytkownika. To określenie nie obejmuje aplikacji, które mogą wyrządzić niezamierzoną szkodę z powodu jakiejś niedoskonałości.

Spam

To niechciane lub niepotrzebne wiadomości elektroniczne. Istotą spamu jest rozsyłanie dużej ilości informacji o jednakowej treści do nieznanych sobie osób. Nie ma znaczenia, jaka jest treść tych wiadomości. Aby określić wiadomość mianem spamu, musi ona spełnić trzy warunki jednocześnie: treść wiadomości jest niezależna od tożsamości odbiorcy, odbiorca nie wyraził wcześniej zgody na otrzymanie tej wiadomości, treść wiadomości daje podstawę do przypuszczeń, iż nadawca wskutek jej wysłania może odnieść zyski nieproporcjonalne w stosunku do korzyści odbiorcy.

Ciasteczka

To mały fragment tekstu, który serwis internetowy wysyła do przeglądarki i który przeglądarka wysyła z powrotem przy następnych wejściach na witrynę. Ciasteczka używane są głównie do utrzymywania sesji np. poprzez wygenerowanie i odesłanie tymczasowego identyfikatora po logowaniu. Mogą być jednak wykorzystywane szerzej, poprzez zapamiętanie dowolnych danych, które można zakodować jako ciąg znaków. Dzięki temu użytkownik nie musi wpisywać tych samych informacji za każdym razem, gdy powróci na daną stronę lub przejdzie z jednej strony na inną.

Weryfikacja dwuskładnikowa

To dodatkowe zabezpieczenie konta użytkownika przed nieautoryzowanym przejęciem nad nim kontroli. Nazywana jest także weryfikacją dwuetapową. Tego typu weryfikacja jest ostatnio bardzo popularna w aplikacjach bankowych i kontach poczty elektronicznej. Pierwszym etapem weryfikacji jest podanie przy logowaniu adresu e-mail lub loginu i hasła. W drugim etapie użytkownik najczęściej musi podać specjalny kod, który otrzymuje poprzez np. sms, e-mail lub generuje go w specjalnej aplikacji.

CERT

To zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet. CERT Polska działa od 1996 roku, a od roku 1997 jest członkiem FIRST (Forum of Incidents Response and Security Teams). Współpracuje z podobnymi zespołami na świecie. Lokalne zespoły reagowania na zdarzenia bezpieczeństwa często funkcjonują również w poszczególnych instytucjach lub sektorach gospodarki.

Firewall

To jeden ze sposobów zabezpieczania sieci i systemów przed intruzami. Może to być sprzęt komputerowy ze specjalnym oprogramowaniem lub samo oprogramowanie blokujące niepowołany dostęp sieciowy do komputera, na którego straży stoi. Do jego podstawowych zadań należy filtrowanie połączeń wchodzących i wychodzących oraz blokowanie dostępu dla połączeń uznanych za niebezpieczne.

Certyfikat SSL

Służy do szyfrowania danych przesyłanych między serwerem a komputerem użytkownika. Może to być serwer www, pocztowy, FTP lub inny. Certyfikat SSL zainstalowany na serwerze umożliwia jego uwierzytelnienie (ustalenie autentyczności) oraz nawiązanie bezpiecznego połączenia.

Vishing

To rodzaj phishingu. Przestępcy kontaktują się z ofiarą telefonicznie. Podobnie jak w przypadku phishingu, celem tego ataku jest pozyskanie danych, które oszust będzie mógł wykorzystać do popełnienia przestępstwa np. podając się za pracownika banku najpierw wzbudza zaufanie rozmówcy, następnie prosi go o dane autoryzacyjne do bankowości elektronicznej. Często robi to pod pretekstem zatrzymania zablokowanego przelewu, który rzekomo został przed chwilą zlecony z konta rozmówcy.

Pharming

To metoda oszustwa, która wykorzystuje wcześniej zainstalowane na sprzęcie komputerowym ofiary złośliwe oprogramowanie (malware), mające za zadanie przekierować ofiarę na fałszywą stronę banku, szybkich płatności internetowych, czy chociażby skrzynki pocztowej. Uwierzytelniając się na podstawionej stronie udostępniamy przestępcy nasze dane autoryzacyjne. Złośliwe oprogramowanie może trafić na nasz komputer poprzez instalowanie niezweryfikowanego oprogramowania, aplikacji czy poprzez otworzenie załącznika wiadomości e-mail pochodzącej z nieznanego źródła.

Skimming

To metoda oszustwa polegająca na skopiowaniu paska magnetycznego naszej karty płatniczej. Oszust umieszcza specjalne urządzenie skanujące w miejscu czytnika kart w bankomacie oraz kamerkę skierowaną na klawiaturę. Dane karty zostają skopiowane, a numer PIN zarejestrowany. Ten rodzaj oszustwa wykorzystywany jest przez złodziei również w niektórych placówkach handlowych, gdzie oszust może wejść w chwilowe posiadanie naszej karty. Z tego powodu ważne jest, aby nie udostępniać kart płatniczych nikomu, a tym bardziej nie spuszczać ich z zasięgu naszego wzroku podczas zakupów.

Phishing

To metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję aby wyłudzić poufne informacje (np. dane logowania, dane karty kredytowej), zainfekować komputer szkodliwym oprogramowaniem czy też nakłonić ofiarę do określonych działań. Phishing nie wymaga zaawansowanej wiedzy technicznej ani szukania luk w zabezpieczeniach. Bazuje na najsłabszym ogniwie ochrony sieci komputerowej, czyli błędach użytkownika. Przykładem tego typu ataku jest wiadomość e-mail z zawartym w niej linkiem, przekierowującym odbiorcę na fałszywą stronę banku. Strona zazwyczaj jest wierną kopią autentycznej strony, na której użytkownik proszony jest o zalogowanie się do bankowości elektronicznej. W ten sposób oszuści pozyskują dane autoryzacyjne do naszego konta. Ostatnio coraz częściej do tego typu ataków wykorzystywane są media społecznościowe oraz komunikatory.

Atak socjotechniczny

To manipulacja w celu oszukania odbiorcy. Przestępcy stosują socjotechnikę w kontaktach z potencjalną ofiarą za pośrednictwem poczty elektronicznej, telefonu, mediów społecznościowych, komunikatorów internetowych jak również wiadomości SMS. Przykładem tego typu ataku mogą być oszustwa „na BLIKa” lub „na wnuczka”, „Super Okazje” w przypadku zakupów internetowych oraz oferty inwestycji, które mają przynieść bardzo wysoką stopę zwrotu. Popularnym sposobem na wyłudzenie pieniędzy są także oszustwa na portalach zakupowych. W tym przypadku przestępca proponuje towar w okazyjnej cenie, zaznaczając, że kontakt z nim możliwy jest jedynie przez SMS lub komunikator. Tą drogą wysyła link do fałszywej strony szybkich płatności, a nieświadoma zagrożenia ofiara, pod presją czasu loguje się na podstawionej stronie bankowości elektronicznej, umożliwiając tym samym dostęp przestępcom do swojego konta.    

Ransomware

To oprogramowanie, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt danych (często poprzez techniki szyfrujące), a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego. Programy ransomware należą do tzw. złośliwego oprogramowania (malware).
Najprostsze programy typu ransomware zakładają jedynie na system blokadę, stosunkowo łatwą do zlikwidowania dla doświadczonych użytkowników komputera. Bardziej zaawansowane programy używają techniki zwanej kryptowirusowym wymuszeniem: szyfrują pliki ofiary, uniemożliwiając tym samym ich normalny odczyt i żądają okupu w zamian za odszyfrowanie danych. Przywrócenie danych bez posiadania klucza deszyfrującego jest praktycznie niemożliwe.
Obecnie ataki ransomeware połączone są z wcześniejszym skopiowaniem danych przez atakujących. To umożliwia im zażądania okupu pod groźbą upublicznienia poufnych danych.

Duplikat karty SIM

Oszuści, którzy zdobyli dane ofiary, takie jak pesel czy numer dowodu osobistego są w stanie wyrobić duplikat karty SIM jej telefonu. Kiedy dysponują już działającym duplikatem karty, mogą dokonywać autoryzacji w systemach wykorzystujących przejęty numer telefonu np. potwierdzać operacje na rachunku bankowym. 

Warto wiedzieć!

  • Jeżeli padłeś ofiarą cyberataku lub zauważyłeś w sieci coś niepokojącego – zgłoś to za pośrednictwem strony CERT.
  • Jeśli utraciłeś dowód osobisty, kartę płatniczą, prawo jazdy, paszport – zgłoś to jak najszybciej w systemie „Dokumenty Zastrzeżone” pod numerem telefonu: (+48) 828 828 828 lub za pośrednictwem strony System zastrzegania kart. W systemie „Dokumenty zastrzeżone” uczestniczą wszystkie polskie banki oraz inne firmy i instytucje, które weryfikują tożsamość klientów.