Poradnik IT Security

Zostałem poproszony o listę podstawowych zasad bezpieczeństwa. Częstujcie się (można udostępniać i kopiować). A do tych "bardziej" użytkowników internetu - macie podpowiedź co zmienić/dopisać/poprawić? Mówcie od razu (np w formie komentarza pod tym moim postem)!

Uwaga na początek: Warto zapamiętać link fb.com/hacked - przyda się jeśli Wasze lub Waszych znajomych konto zostanie "zhakowane" lub przejęte. Warto także zapoznać się z tym poradnikiem dot. prywatności w sieci - wykracza to jednak poza zakres dokumentu który właśnie czytasz

Jeśli dostanieie kiedyś podejrzany link lub znajdziecie stronę podszywającą się pod inną markę/firmę, zgłoście ją od razu na https://incydent.cert.pl - tematem zajmą się wtedy specjaliści 🙂 Analogicznie podejrzane SMSy można przekazywać na numer 8080 (lub 799440084 - oba należą do CERT).

1. Nie klikajmy w pierwszy lepszy link w internecie, w tym w poczcie mailowej czy na Facebooku. W przypadku maila z instytucji typu bank/facebook/google nie klikajmy linka (którego nie powinno i tak tam być - ceniące się firmy nie załączają linków w wiadomościach e-mail) tylko zalogujmy się bezpośrednio do konta. Upewnijmy się, że znamy nadawcę i że nadawca faktycznie chciał nam ten link wysłać - nawet jeśli jest to Twoja ukochana ciocia Gienia (vide https://fb.com/burtek/posts/10222143159953291, https://fb.com/burtek/posts/10224593954101613). Linki w postaci skróconej (bit.ly itp) tym bardziej powinny wzbudzić naszą ostrożność, gdyż nie wiadomo z góry dokąd prowadzą. Te same zasady dotyczą załączników w poczcie mailowej.

2. Warto się zastanowić czy oczekiwaliśmy danej wiadomości. Email od firmy kurierskiej otrzymany w momencie, gdy nie czekamy na żadną paczkę powinien być dla nas podejrzany. E-maile z łamaną polszczyzną także są bardzo podejrzane. Weryfikujmy nadawcę, poprawność gramatyczną czy interpunkcyjną (vide Anatomy of Scam Emails - How To Recognise A Phishing Scam Message). Swoją wiedzę można sprawdzić (i poprawić) biorąc udział w QUIZIE od Google: Phishing Quiz: Jigsaw

3. BARDZO podejrzane są formy kontaktu (mail, telefon) wzywające do podjęcia działań NATYCHMIAST, na przykład:

   • promocja kończąca się za 5 min
   • administrator zamknie konto jak się za godzinę nie zalogujesz (vide Phishing na użytkowników Gadu Gadu)
   • SMS "dopłać złotówkę żeby paczka doszła" (vide Uwaga na SMS-y proszące o dopłatę 1 PLN, post CERT Polska na Facebooku), "zapłać 3 złote bo odłączymy prąd" (vide Masowe odłączenia prądu w Polsce. A, nie czekaj -- to SMSowe oszustwo), "zablokujemy Twoje konto jak nie zapłacisz złotówki" (vide Uwaga na SMS-y o blokadzie konta Allegro), itd. itp.

4. Sprawdzajmy na jakiej stronie (co jest w pasku adresu) podajemy dane logowania - coś co wygląda na Facebooka/Gmaila/Pocztę Interia/Stronę banku/itd niekoniecznie musi nią być. Jeśli mamy wątpliwości - nie podawajmy żadnych danych. Zwracajmy uwagę na literówki (microsoft vs. rnicrosoft - M vs RN) i adresy udające prawdziwe, np. citibank.pl.logowanie.net zamiast citibank.pl. Warto stosować menadżer haseł, który rozpozna czy adres się na 100% zgadza.

5. Gdy dostaniemy wiadomość z prośbą o przelew/kod Blik/itd - zweryfikujmy ją za pomocą INNEGO środka komunikacji. Dobry pomysłem jest weryfikacja telefoniczna - jeszcze lepszym połączenie wideo przez Slacka/Hangouts/Zoom/Teams/co tam innego macie pod ręką.

6. NIKT nie ma prawa nas pytać o kod PIN czy hasło do telefonu / poczty e-mail / facebooka / banku / karty płatniczej / itp. Każda z tych instytucji ma swoje metody weryfikacji użytkownika, nie wymagające tych danych.

7. Warto wstrzymać się z podawaniem danych logowania podczas korzystania z publicznych hotspotów - nigdy nie mamy pewności czy hotspot jest "legitny" czy podstawiony i czy ktoś np. nie przejmuje lub nie podsłuchuje ruchu sieciowego - szczególnie w niezabezpieczonej sieci.

8. Zakupy online - bardzo niskie ceny powinny wzbudzać naszą ostrożność. Warto przeanalizować stronę pod kątem danych kontaktowych/adresowych (powinny być podane i mieć sens na Google Maps), daty założenia strony (podając adres strony, np. morele.net, w usłudze WHOIS można sprawdzić pole Creation Date), sprawdzić, czy sklep ma regulamin i politykę prywatności (i czy mają sens - czasem jest to zwykłe Lorem Ipsum), ceny dostawy, dostępne sposoby płatności (płatność jedynie kartą kredytową to wielki znak ostrzegawczy). Warto też pamiętać, że podczas płatności kartą przez internet, w przypadku oszustwa, można zastosować procedurę chargeback w celu odzyskania środków. Procedura ta nie jest dostępna w przypadku innych płatności, w tym Blika.

9. Przy zakupach na Allegro Lokalnie i OLX (i w podobnych im serwisach) częstym sposobem oszustwa jest podsyłanie (zarówno przez kupujących jak i sprzedających) fałszywych linków do płatności - dla własnego bezpieczeństwa paczki zamawiajcie/wysyłajcie paczki za pobraniem. Nigdy nie wierzcie linkom do płatności (lub z potwierdzeniem płatności) wysłanym przez kupującego/sprzedającego. (vide przykłady: sprzedawcy-oszusta 1, sprzedawcy-oszusta 2, fałszywy link do płatności na allegro, oszusta-kupującego (link do odbioru pieniędzy - wyłudzenie danych karty), drugi taki sam przykład, fałszywe potwierdzeniem płatności - można przykłady podawać w nieskończoność).

Żeby uchronić się przed włamaniem na konto warto pamiętać o podstawowych zasadach dotyczących haseł:

1. Każda strona MUSI mieć inne hasło. Kropka. Wyciek haseł z jednego miejsca nie spowoduje Wam wtedy problemów z innymi kontami (vide https://zaufanatrzeciastrona.pl/post/jak-ktos-ukradl-radkowi-2000-pln-z-konta-ikea-family/).

2. Hasło jest tym trudniejsze do złamania im więcej ma znaków. Stosujmy wielkie i małe litery, cyfry, a jeśli się da - także znaki specjalne (podkreślenia, wykrzykniki, kropki...). Im więcej znaków tym lepiej, najlepiej bez pełnych wyrazów prosto ze słownika. LubieZimeWMaju2020 jest ciężej złamać niż password12345, ale nadal jest proste do złamania metodą słownikową. Już nawet losowa zmiana dużych i małych liter poprawi w tym momencie siłę hasła (np. luBieziMewmaJu2020). Najlepiej jednak nie konstruować takich haseł samodzielnie, a generować losowe, 16-20-znakowe hasła i zapisywać je w menadżerze haseł (por. pkt 4).

3. Nie zapisujmy haseł w notatniku, na karteczce pod monitorem i tym podobnych miejscach

4. Jeśli ciężko nam zapamiętać bardziej złożone hasło, dobrym pomysłem może być użycie menadżera haseł - np. darmowe w podstawowej funkcjonalności LastPass, Bitwarden i Proton Pass (mają synchronizację między przeglądarkami i smartfonem) czy KeePass/KeePassXC (ciut bardziej zaawansowany program, wymagający konfiguracji), który bezpiecznie przechowa nasze hasła i przypomni je, gdy będziemy potrzebowali się zalogować. Menadżer haseł ma też tę zaletę, że nie uzupełni hasła na witrynie z łatwą do przegapienia "literówką" w adresie (np. danych z microsoft.com nie uzupełni na rnicrosoft.com - małe M przypomina wyglądem małe RN). Dobry materiał traktujący o tym jak zacząć przygodę z KeePassem znajdziecie tutaj.

5. Dużo ważniejszych stron (Facebook, Google, Dropbox, Microsoft, Instagram, Slack, Twitch, WordPress, LastPass, strony banków itd) pozwala na włączenie dwuskładnikowego uwierzytelnienia (2FA/MFA). Dzięki temu oprócz hasła do logowania się potrzebny jest np. kod z aplikacji lub SMSa albo potwierdzenie logowania w aplikacji mobilnej. Nawet jeśli ktoś odgadnie/ukradnie nasze hasło, bez tego dodatkowego składnika nie zaloguje się do naszego konta. Do kodów jednorazowych TOTP ja ze swojej strony polecam aplikację Aegis na Androida. Można też użyć Authy, LastPass Authenticator, Google Authenticator, Microsoft Authenticator itp - część z nich umożliwia synchronizację między urządzeniami. I dla jasności: o ten kod także NIKT nie ma prawa nas poprosić.

6. Inną formą 2FA/MFA jest użycie tokenów sprzętowych (np. klucza Yubico). Nie dość, że jest to jeszcze bardziej bezpieczne rozwiązanie od takiej aplikacji z punktu wyżej, to jeszcze ma tę samą zaletę co menadżery haseł - nie pozwoli się zalogować na fałszywej stronie tylko udającej prawdziwą. Nie jest to rozwiązanie wspierane przez wszystkie strony i zdecydowanie nie jest tanie. Niemniej zachęcam do rozważenia tej opcji.

I na koniec: pamiętaj, że osoba po drugiej stronie nie musi być tym, za kogo się podaje. Jest takie stwierdzenie pochodzące już z 1786 roku: każdy łańcuch zabezpieczeń jest tak mocny, jak mocne jest jego najsłabsze ogniwo. Nie bądźmy najsłabszym ogniwem w zabezpieczaniu samych siebie 🙂

Jeśli dostaniecie kiedyś podejrzany link lub znajdziecie stronę podszywającą się pod inną markę/firmę, zgłoście ją od razu na https://incydent.cert.pl - tematem zajmą się wtedy specjaliści 🙂 Analogicznie podejrzane SMSy z linkami można przekazywać na numer 8080 (lub 799440084 - oba należą do CERT).