Sami zaprosiliśmy złodzieja do domu – ekspert komentuje wielki wyciek haseł
Choć przyjęło się mówienie o tym incydencie jak o wycieku haseł, to pojawienie się listy danych logowania kilka dni temu było w rzeczywistości wynikiem kradzieży. Problem w tym, że sami zaprosiliśmy do siebie złodzieja.
To nic dziwnego, że temat wielkiego wycieku haseł, który przypuszczalnie dotknął co najmniej kilkadziesiąt tysięcy Polek i Polaków, nadal jest żywy. W wyniku tego incydentu do sieci trafiła ogromna liczba loginów i haseł – między innymi do Facebooka, poczty elektronicznej i sklepów internetowych. Według Filipa Brzóski z Capgemini Polska, za winnych tego zdarzenia należałoby uznać… nas samych.
Kto ponosi winę za wielki wyciek haseł Polaków?
Tylko nie należy tego źle rozumieć. Nazywanie ofiary incydentu winnym może wszak budzić kontrowersje. Filip Brzóska wskazuje jednak na fakt, że w tym przypadku niejako sami się prosiliśmy:
Określenie „wyciek danych” nie jest trafnym opisem sytuacji, która wydarzyła się w ostatnich dniach. Owszem, dane logowania zostały ujawnione w sieci, jednak nie w wyniku niedopilnowania ich przez firmy, a w efekcie działania wirusa typu stealer. Tego rodzaju wirusy zapisują dane z naszych komputerów, a ten który teraz ujawniono specjalizował się w wykradaniu konkretnie loginów i haseł.
Aby taki wirus zaczął działać na danym komputerze muszą wydarzyć się dwie rzeczy: użytkownik pobiera go nieumyślnie z internetu i jednocześnie nie korzysta z żadnego z programu antywirusowego. Firmy, które wymieniane są w mediach nie ponoszą odpowiedzialności za ujawnienie danych. W tym przypadku nieostrożność wystąpiła po stronie użytkowników.
Wszyscy specjaliści z zakresu cyberbezpieczeństwa są świadomi tego, że najsłabszym ogniwem zawsze pozostanie człowiek. Wiedzą to również cyberprzestępcy, których działania często bazują na manipulacji, zastraszaniu, a nawet szantażu. Użytkownicy niejednokrotnie wyciągają wnioski dopiero wtedy, kiedy już popełnią bolesny w skutkach błąd.
Krótko mówiąc: nie jesteśmy winni, że złodziej okradł nasz dom. Jeśli jednak nie zamknęliśmy drzwi, to w pewnym sensie jesteśmy współodpowiedzialni za swoje nieszczęście.
I tutaj warto zacytować innego eksperta, Pawła Jurka z DAGMA Bezpieczeństwo IT. Podpowiedział on, co każdy z nas może zrobić, aby nie paść ofiarą podobnego incydentu w przyszłości i jak skutecznie zabezpieczyć się przed działaniami cyberprzestępców.
Polak mądry po szkodzie. Przed szkodą też może być
Pierwsza z czterech jego rad polega na stosowaniu unikalnych i skomplikowanych haseł. Ekspert radzi, aby natychmiast przestać używać tego samego hasła w różnych serwisach i zmienić je na indywidualne. Wiedząc, że zapamiętanie wielu różnych haseł może być trudne, Paweł Jurek proponuje skorzystanie z menedżera haseł, który może przechowywać setki danych logowania, wymagając od użytkownika tylko jednego hasła głównego.
Kolejną radą eksperta jest korzystanie z uwierzytelniania dwuskładnikowego (poprzez wpisanie jednorazowego kodu z SMS-a lub aplikacji po wprowadzeniu hasła) oraz z czytników linii papilarnych, które są coraz częściej obecne w naszych telefonach i laptopach. Jurek podpowiada również, aby szyfrować powierzchnię dysku komputera i nie pozwalać osobom postronnym na dostęp do naszego urządzenia.
Podsumowując:
- Stosuj unikalne i skomplikowane hasła
- Korzystaj z menedżera haseł
- Włącz uwierzytelnianie dwuskładnikowe
- Postaw na dodatkowe zabezpieczenia
Ze względu na sposób działania stealera należy też (a właściwie: przede wszystkim) pamiętać o aktualnym oprogramowaniu antywirusowym. Zawsze też warto się dwa razy zastanowić, zanim pobierze się cokolwiek z internetu.
Źródło: Capgemini Polska, DAGMA
Komentarze
9Najlepszym zabezpieczeniem przeciw stealerom jest wciaz 2FA (uwierzytelnianie dwuskladnikowe) a z aplikacji Microsoft Authenticator. Oczywiscie 2FA jest upierdliwe, nie wszystko da sie zebrac pod jedna aplikacje. Bank bedzie uzywal SMSy lub wlasna apke, Steam kody na email, Google uzywal mechanizmu blokady ekranu w Androidzie, itp. Ale kluczowe uslugi po prostu pozabezpieczac trzeba. W niektorych przypadkach odzyskanie kont to droga przez meke.
Aha - i zamykanie nieuzywanych uslug. Mi przejeli porzucone konto Skype. Microsoft mial chyba jakis blad do ktorego sie nie przyznali, bo przejecia byly masowe. Bardzo irytujacy proces zeby to odkrecic i konto zamknac. Proces wymaga podania osob z ktorymi sie ostatnio kontaktowalo (na koncie uzywanym ostatnio 5 lat temu) i ostatnich transakcji doladowujacych (wlamywacze oplacili jakis abonament kradziona karta, dostalem tylko info na maila ale nie znalem szczegolow). Dopiero pol godziny wiszenia na infolini z supportem rozwiazalo sprawe i konto ubili.
Takze:
* Tam gdzie tylko mozecie wlaczajcie uwierzytelnianie dwuskladnikowe. Szczegolnie jezeli konto przedstawia jakas wartosc (np. Steam).
* Przypomnijcie sobie wszystkie porzucone uslugi i pozamykajcie w nich konta, zeby nie zostaly wykorzystane do fraudow / spamu.
Nawiasem mowiac fajni ci eksperci z capgemini: pierwsi do jechania po userach i broniacy swoich partnerow biznesowych bez cienia zenady.
Jak widać ta opcja powinna być całkowicie wywalona z przeglądarki.