Zamiast tradycyjnej kradzieży portfela z torebki czy włamania do domu przestępcy coraz częściej włamują się na nasze konto internetowe.
Chcemy nadal tworzyć dla Ciebie wartościowe treści
i docierać z Dobrą Nowiną do wszystkich zakątków internetu.
Twoje wsparcie jest dla nas bardzo ważne.
RAZEM na pewno DAMY RADĘ!
Nic dziwnego. W kieszeni nosimy zazwyczaj garść drobnych, w domu posiadamy telewizor, laptop, biżuterię i… niewiele więcej. Laptop czy telewizor używany i bez gwarancji na aukcji internetowej jest wart kilkaset złotych. Z biżuterią bez certyfikatu i sprzedawaną przez internet jest podobnie. Przestępca nie dość, że włamując się do domu ryzykuje schwytanie, to jeszcze na koniec uzyskuje z tego niewielkie pieniądze.
Internet – raj dla przestępców
Natomiast jak wyglądają kradzieże przez internet z perspektywy przestępcy? Po pierwsze, nie ryzykuje on łatwego schwytania (technologia Tor czy choćby VPN mocno utrudniają wykrycie sprawcy ataku).
Po drugie, nie musi włóczyć się po nocach i drzeć portek na spiczastych parkanach. Nie musi też ćwiczyć biegu przez płotki na wypadek, gdyby podczas zwiadu nie zauważył owczarka niemieckiego pilnującego posesji. Zamiast tego może pić drinki z palemką, siedzieć na plaży w egzotycznym kraju, który nie podpisał porozumienia o ekstradycji, atakując w tym czasie niczego nie spodziewających się mieszkańców np. Stalowej Woli.
Po trzecie, zamiast martwić się „jak upłynnić towar”, po prostu wymienia pieniądze na kryptowaluty, a dalej trop się urywa. No i najważniejsze: stawką nie są drobniaki w kieszeni czy kilkaset złotych za używany telewizor, ale oszczędności naszego życia… a nawet więcej. W końcu przez internet można również zaciągnąć kredyt. Podsumowując, kradzieże przez internet to prawdziwy raj dla przestępców.
Co zatem sprawia, że choć wszyscy mówią o kradzieżach z konta (i faktycznie takie się zdarzają), to płatności internetowe istnieją i mają się dobrze.
Czytaj także:
Czy to prawda, że korzystanie z telefonów komórkowych szkodzi zdrowiu?
Jakie sztuczki wykorzystują hakerzy?
Czy to nasze komputery są takie bezpieczne, że hakerom nie udaje się na nie włamać?
Nie. Spokojnie można założyć, że jeżeli przestępcom zależy na tym, aby obrabować nas z pieniędzy, to znajdą sposób, by dostać się na nasz komputer. Laptop czy to z iOs-em czy z Windowsem nie stanowi dla profesjonalisty żadnej przeszkody. Typowym atakiem jest np. podstawienie strony identycznej do strony banku, ale z jedną literą innego alfabetu np.: „ķ” zamiast „k” w nazwie. Nie jest możliwe, by w praktyce odróżnić „mbanķ.pl” od „mbank.pl”. Wchodzimy na stronę, podajemy nasze dane dostępowe i już przestępca może nimi swobodnie operować.
Inna metoda, równie prosta, to kradzież naszych danych dostępowych z tzw. ciasteczek. Kolejna to podstawienie strony z poprawną nazwą, ale fałszywym certyfikatem. Przeglądarka co prawda ostrzeże nas, że strona jest podejrzana, ale w codziennym zabieganiu możemy tego nie zauważyć. Jeszcze kolejną metodą jest wygenerowanie grafiki, która wygląda tak, jak otwarta przeglądarka strony banku, itd. Technik są tysiące. To temat na pełnowartościową dysertację doktorską.
Co chroni nasze pieniądze?
W wielkim skrócie: uwierzytelnianie dwuskładnikowe.
Co jednak kryje się pod tym skomplikowanym pojęciem? Sposoby uwierzytelniania dzielimy na: „coś wiem” (np. hasło), „coś mam” (np. komórkę), „coś potrafię” (np. przeczytać captchę) i „kimś jestem” (dane biometryczne). Dwuskładnikowe uwierzytelnianie oznacza, że korzystamy z różnych metod zabezpieczania.
Przykładowo: posiadanie dziesięciu haseł nie zwiększa naszego bezpieczeństwa, bo skoro haker potrafi wykraść nam jedno hasło, to prawdopodobnie potrafi wykraść i dziesięć. Jeżeli w ramach bezpieczeństwa sejfu oprócz kluczyka będziemy wymagać jeszcze tokena, to nie zwiększymy poziomu bezpieczeństwa. Bo jeżeli złodziej wykradnie kluczyk, to prawdopodobnie wykradnie i token. Jak więc dwuskładnikowe uwierzytelnianie (które jest wymagane przez każdy bank) działa zazwyczaj w praktyce?
Podajemy do konta login i hasło („coś wiem”), ale przed wykonaniem jakiegokolwiek przelewu dostaję jeszcze SMS na wskazany wcześniej numer telefonu. Muszę zatem mieć telefon, czyli uwierzytelnienie z kategorii „coś mam”.
Często spotykam się z opinią, że logowanie się z laptopa jest bezpieczniejsze niż z komórki. W końcu, jeżeli realizuję przelew przy pomocy smartfona, to nie mam dwóch urządzeń (laptop i komórka), a jedno. Jednak to komórka posiada dwuskładnikowe uwierzytelnienie.
Po pierwsze, muszę posiadać komórkę (podczas instalowania aplikacji mobilnej banku sprawdzane jest, czy jestem prawdziwym właścicielem konta). Po drugie, muszę znać PIN. Sama kradzież komórki nie umożliwia przelewu (potrzeba znać PIN), samo podpatrzenie PIN-u nic nie da (trzeba mieć aplikację zarejestrowaną na dany numer komórki). Przy okazji warto nadmienić, że kod wysyłany na aplikacje jest dużo bezpieczniejszy niż SMS, ale to temat na zupełnie inny artykuł.
Czytaj także:
Telefon, który może zabić. Wstrząsająca kampania, która nie pozostawi Cię obojętnym
Każde zabezpieczenie da się obejść
Klasyczny atak wygląda następująco. Przestępca zgłasza się do operatora sieci komórkowej z prośbą o wydanie numeru karty SIM, bo stary został zgubiony. Jako numer, który rzekomo zgubił, podaje numer telefonu ofiary. Operator naiwnie wydaje duplikat karty sim (naszą prawdziwą jednocześnie blokując), a my zanim się zorientujemy, dajemy przestępcy kilka godzin, aby zarejestrował aplikację, otrzymał SMS-a i wyprowadził pieniądze.
Oczywiście winny jest operator, który zbyt łatwo wydaje duplikaty kart SIM. Jednocześnie nie znam przypadku, by sąd obarczył operatora telefonii winą za kradzież pieniędzy i nakazał mu rekompensatę dla ofiary. Lepiej więc tego scenariusza nie testować.
Inny sposób na atak to wysłanie nam SMS-a z linkiem do pobrania aplikacji. Jeżeli damy się nabrać i zainstalujemy na komórce wskazaną aplikację, to daliśmy atakującemu pełną kontrolę nad naszym smartfonem. W efekcie albo straciliśmy wszystkie pieniądze (jeżeli to był haker), albo jesteśmy skutecznie podsłuchiwani (jeżeli atak wykonywały służby). Opcjonalnie możemy być podsłuchiwani, a ostatecznie okradzeni, jeżeli padliśmy ofiarą służb kraju, który nie boi się negatywnej opinii na arenie międzynarodowej.
Dodatkowo warto zaznaczyć, że znane są przypadki ataków (np. rozprzestrzenienie profesjonalnej platformy podsłuchowej Pegasus), gdzie wystarczyło kliknąć w link (bez instalacji) albo wejść na zwykłą stronę (exploit pliku video), a w przypadku starszych komórek po prostu otrzymać wiadomość.
Jak chronić pieniądze i prywatność?
Co zatem robić, aby skutecznie ochronić swoje pieniądze i prywatność? Można wydać setki złotych na oprogramowanie chroniące naszą komórkę. Niestety, nie zabezpieczy ono ani przed atakiem typu „duplikat karty SIM”, ani przed profesjonalnym atakiem hakerskim. Alternatywą jest wrócić do świata w pełni papierowego, zablokować w banku wszystkie transakcje zdalne i fatygować się każdorazowo na pocztę, by wykonać pojedynczy przelew. Można jednak znaleźć relatywnie tani i skuteczny kompromis… i to w zaledwie 3 krokach:
- Kupujemy na minimalny abonament drugi numer telefonu (koszt około 10 zł miesięcznie).
- Wsadzamy kartę SIM do innej komórki. Od tej pory ta komórka będzie „bezpieczna”, a stara będzie komórką „podstawową”.
- Na komórce „bezpiecznej” instalujemy tylko i wyłącznie kluczowe aplikacje (bankową i komunikator). Dodatkowo:
- Nie korzystamy na niej z internetu na stronach innych niż bank!
- Nie klikamy w linki!
- Nie podajemy znajomym numeru, by wysyłali nam SMS-y!
- Nie ujawniamy publicznie tego numeru telefonu!
O tym numerze wiemy tylko my, bank i grupa znajomych, z którymi chcesz rozmawiać prywatnie poprzez specjalne aplikacje takie jak np.: Singal, Telegram lub WhatsApp. Dzięki temu, nawet jeżeli nasza komórka nie jest najnowszym iPhonem i ma kilka podatności, to przestępcy nie uda się do niej dostać. Dokładnie tak samo jak Aztecy, którzy będąc podatni na choroby występujące w Europie, mimo wszystko przez tysiące lat cieszyli się dobrym zdrowiem.
„Bezpieczna komórka” chroni nasze pieniądze i prywatność na 3 warstwach:
- Przestępca w ogóle musi wiedzieć, że konto banku nie jest połączone z naszą „podstawową” komórką.
- Nawet jeżeli haker domyśli się, że mamy dwie komórki, to wciąż nie wie, jaki jest numer komórki „bezpiecznej”.
- Nawet jeżeli wie, jaki to numer, to trudno mu zainfekować naszą komórkę, bo przecież nie klikniemy w podstawiony przez niego link, nie wejdziemy na stronę i nie zainstalujemy złośliwej aplikacji. Dodatkowo każde działanie związane z tym numerem błyskawicznie zapala nam czerwoną lampkę ostrzegawczą.
Zdecydowana większość przestępców działa na zasadzie drapieżników szukających łatwego łupu. Gdy zobaczą problemy, odejdą w poszukiwaniu łatwej ofiary, czyli takiej, która np. pochwaliła się swoim prywatnym numerem telefonu na portalu społecznościowym. Chociaż internet to niebezpieczne miejsce, a świat zmienia się błyskawicznie, to przy relatywnie niewielkich kosztach i bez zbędnych utrudnień można zapewnić sobie wysoki poziom bezpieczeństwa.
Czytaj także:
Bezradni i nieszczęśliwi. Niepokojące wyniki badań nad generacją „i”