Wraz z rozwojem mediów społecznościowych jesteś coraz bardziej narażony na ataki hakerskie. Kiedy cieszysz się z popularności, nowych kontaktów, czy zdobytych klientów, cyberprzestępcy rozpracowują kolejne możliwości pozyskiwania naszych danych.
Co to jest cyberbezpieczeństwo?
Z definicji oznacza w skrócie bezpieczeństwo technologii informatycznych polegające na odporności systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.
Dla lepszego zrozumienia cyberbezpieczeństwa warto nawiązać do terminu cyberprzestrzeni (ang. cyberspace), który zgodnie z przyjętą na gruncie ustaw o stanach nadzwyczajnych definicją, rozumiany jest jako przestrzeń przetwarzania i wymiany informacji tworzoną przez systemy teleinformatyczne, określone w art. 3 pkt 3 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne wraz z powiązaniami pomiędzy nimi oraz relacjami z użytkownikami (Ustawa z 17.2.2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2021 r. poz. 2070).
Według Decyzja Komisji (UE, Euratom) 2017/46 z dnia 10 stycznia 2017 r. w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej, systemy teleinformatyczne to systemy umożliwiające przetwarzanie danych w formie elektronicznej a także wszystko to, co usprawnia ich działanie. Mam tu na myśli przeszkolonych pracowników, infrastrukturę sieciową, organizację i zasoby informatyczne.
Ustawa o krajowym systemie bezpieczeństwa.
Ustawa o krajowym systemie bezpieczeństwa mówi, że cyberbezpieczeństwo to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.
Jak widać zakres pojęciowy cyberbezpieczeństwa obejmuje więc zagadnienia związane z bezpieczeństwem cyberprzestrzeni, czyli zachodzących na jej obszarze procesów przetwarzania informacji i interakcji w sieciach teleinformatycznych.
Organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu ściśle określa Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20180001560/T/D20181560L.pdf).
Wstępem do działań każdego przedsiębiorstwa i jego pracowników z zakresu cyberbezpieczeństwa jest Ustawa o RODO o ochronie danych.
Rodzaje ataków hakerskich – phishing.
Nie będę zajmować się szczegółowo w tym artykule takimi cyberatakami, jak złośliwe oprogramowania, konie trojańskie, boty, DDoS (Distributed Denial of Service) który polega na atakowaniu ofiary z wielu komputerów jednocześnie, bo ochrona danych serwisów społecznościowych w tym zakresie należy do ich autorów. Choć jak widać na przykładzie Facebooka, z którego już kilkukrotnie wyciekły dane osobowe, ochrona social mediów pozostawia wiele do życzenia.
Phishing to nic innego jak wyłudzanie danych celem przeprowadzenia ataków hakerskich. Dzięki temu, że jesteś aktywny w social mediach, ktoś może się za Ciebie podszywać i brać np. kredyty w bankach lub dokonywać przestępstw.
W mediach społecznościowych odnosi się on do ataku przeprowadzanego za pośrednictwem platform takich jak Instagram, LinkedIn, Facebook czy Twitter. Celem takiego działania jest nie tylko kradzież Twoich danych osobowych, ale też jest przejęcie kontroli nad Twoim kontem w mediach społecznościowych.
Cyberataki w social mediach.
Tu atak polega na tym, że haker tworzy fałszywą stronę logowania do Instagrama. Aby cię oszukać, te wygląda ona, jak prawdziwa witryna. Gdy podasz identyfikator użytkownika Instagrama i hasło do takiej strony, osoba atakująca przechwytuje Twoje dane uwierzytelniające. Zwykle przekierujesz się na prawdziwą stronę logowania na Instagramie w celu uwierzytelnienia. Będziesz miał wrażenie, że jest to bezpieczne. Jednak szkoda została już wyrządzona. Jeśli użyjesz tych samych danych uwierzytelniających, aby zalogować się do innych serwisów społecznościowych lub, co gorsza, swojego konta bankowego, atakujący również będzie miał dostęp do tych kont. Posiadając taki dostęp do konta na Instagramie haker może Cię szpiegować. Może on również podawać się za legalnego użytkownika i żądać danych osobowych od znajomych i obserwatorów. Oczywiście haker ukrywa wszelkie ślady, usuwając fałszywe wiadomości. W kolejnym kroku przejmie on także całkowicie Twoje konto zmieniając preferencje logowania i hasło.
Cyberatak w tym przypadku polega na tym, że hakerzy wpierw uzyskają dane do logowania dzięki wiadomościom wysyłanym na mail podszywającym sie pod ten serwis społecznościowy. Potem włamują się na Twoje konto LinkedIn. Podszywają się pod Ciebie i wysyłają wiadomości phishingowe do Twoich kontaktów w celu zbierania danych osobowych.
Haker może również wysyłać wiadomości e-mail, które wydają się pochodzić bezpośrednio z LinkedIn. Nie wiem, czy wiesz, że jest to możliwe dzięki temu, iż oficjalna witryna LinkedIn zawiera kilka legalnych domen e-mail, w tym linkedin@e.linkedin.com i linkedin@el.linkedin.com.
Inne topowe media społecznościowe a cyberataki.
Typowy cyberatak phishingowy na Facebooku zostanie Ci dostarczony za pośrednictwem wiadomości lub łącza. Będzie w niej prośba o podanie lub potwierdzenie danych osobowych. Dostarczone za pośrednictwem publikacji na Facebooku lub za pośrednictwem platformy Facebook Messenger. Często trudno jest oddzielić wiarygodną wiadomość potencjalnego znajomego od próby wyłudzenia informacji.
Dane zebrane podczas próby phishingu na Facebooku zapewniają atakującym wiedzę, jaką potrzebują, aby uzyskać dostęp do Twojego konta na Facebooku. Możesz otrzymać wiadomość informującą, że wystąpił problem z Twoim kontem na Facebooku i że musisz się zalogować, aby go rozwiązać.
Wiadomości te mają wygodny link, który prowadzi do witryny podobnej do Facebooka. Będziesz poproszony o zalogowanie się. Dzięki czemu haker może zebrać twoje dane uwierzytelniające. Zwróć szczególną uwagę na adres URL. Musisz być pewny, że logujesz się na stronę www.facebook.com. Wszystko inne może być fałszywe.
- Twiiter
Tu ataki phishingowe mogą prowadzić do innych powiązanych ataków m.in. „płatności za obserwujących”. Chodzi tu o to, że otrzymujesz wiadomości od hakerów, którzy twierdzą, iż zapewnią Ci określoną liczbę „obserwatorów”. W zamian oczekują niską cenę kilku złotych. Podanie danych osobowych i numeru karty kredytowej otwiera im drzwi do wypłaty środków z Twojego konta. Mogą także zalogować się na nie oraz kontynuować oszustwa na Twojej liście obserwujących.
Twitter dał jasno do zrozumienia, że wysyła e-maile tylko do użytkowników z dwóch domen: @twitter.com lub @e.twitter.com.
W jaki sposób skutecznie bronić się przed atakami tego rodzaju?
Żeby zadbać o ochronę danych i uniknąć wymienionych wcześniej zagrożeń warto zachować, jak na drodze zasadę ograniczonego zaufania i zwracać szczególną uwagę na:
- stronę główną i domenę danego medium społecznościowego,
- osobę, która się z nami kontaktuje (często zakładane są fikcyjne konta, ostatnio plaga również zalewa LinkedIn) – warto zwrócić uwagę na wspólnych znajomych, zdjęcie profilowe, dane w profilu. Wraz z rozwojem mediów społecznościowych jesteśmy coraz bardziej narażeni na ataki hakerskie. Kiedy my cieszymy się z popularności, nowych kontaktów, czy zdobytych klientów, cyberprzestępcy rozpracowują kolejne możliwości pozyskiwania naszych danych. Więcej o działaniach w social mediach znajdziesz tutaj: https://www.youtube.com/watch?v=B445dB3H5ak&t=834s
- sprawdzaj linki w wiadomościach prywatnych i nie klikaj, jeżeli wydają Ci się podejrzane,
- z rozwagą podawaj dane kart bankowych,
- sprawdzaj strony logowania do kont,
- publikacje i reklamy, nim zostawisz dane sprawdzaj, czy są z zaufanych kont.
Świat cyfrowy to nieograniczone możliwości działań dla cyberprzestępców. Moim zdaniem temat cyberbezpieczeństwa powinien być nieodłącznym elementem uświadamiania pracowników Twojej firmy, przy budowaniu Employee Advocacy. W tym przypadku narażone są nie tylko Twoi pracownicy, ale również cała Twoja organizacja. Uważam tak ponieważ wiele działań firm w social mediach to również płatne kampanie, pod które podpina się karty firmowe.
Jeżeli chcesz przeanalizować swoją sytuację, to zapraszam do kontaktu.
Marta Olesiak
0 komentarzy