Pułapki komunikacji elektronicznej

Jak pokazują ostatnie wydarzenia w Polsce, włamania na skrzynki poczty elektronicznej zdarzają się często i mogą dotyczyć każdego z nas.  Odpowiedzmy sobie szczerze na pytanie, czy na pewno bezpiecznie korzystamy ze środków komunikacji elektronicznej, jak poczta mailowa, komunikatory czy sms-y?

Przede wszystkim powinniśmy bezwarunkowo rozdzielić sprawy służbowe od prywatnych i nie korzystać z maila czy komunikatora prywatnego do omawiania spraw służbowych. Standardem w firmach powinien być zakaz takich praktyk, a powodów jest wiele: wybór zaufanego i bezpiecznego dostawcy, monitorowanie poziomu bezpieczeństwa, ochrona danych wrażliwych czy obowiązek włączenia dwuskładnikowego uwierzytelnienia przy logowaniu. 

Nie powinno się również wykonywać swoim prywatnym telefonem zdjęć służbowych dokumentów czy ekranu komputera. Firma traci wówczas kontrolę nad poufnością takiej informacji, a zdjęcie z danymi wrażliwymi ląduje najczęściej w prywatnej chmurze firm trzecich, o czym musimy pamiętać. 

Kolejną podstawową zasadą jest nieużywanie tego samego hasła do wielu serwisów. Hasło musi być unikatowe dla każdego z nich. Dlaczego? W przypadku przejęcia hasła ze słabo zabezpieczonego serwisu internetowego lub pozyskania go w wyniku phishingu, oszuści próbują logować się nim do innych serwisów, licząc na to, że korzystamy w nich z tego samego hasła. W ten sposób bardzo często dochodzi do przejęcia naszych kont pocztowych czy założonych w serwisach społecznościowych. Czy nasze hasło mogło zostać wykradzione, sprawdzimy np. w serwisie https://haveibeenpwned.com/. 

Niezmiernie ważną kwestią związaną z hasłem jest jego siła. Ujawniane co roku zestawienia najczęściej skompromitowanych haseł układają się w listę bardzo podobnych fraz typu “12345” czy “password”. Ludzie po prostu upraszczają sobie życie, definiując proste hasła, a tym samym czyniąc je również bardzo łatwymi do złamania. I pewnie wielu z nich ma świadomość ryzyka, jakie podejmuje. Nic nie stoi jednak na przeszkodzie, by je zminimalizować, ponieważ długie, złożone i unikatowe hasło możemy utworzyć przy pomocy menedżera haseł, który również je przechowa. Zalecamy stosowanie takiego rozwiązania, bo eliminuje większość problemów związanych z zapamiętywaniem i generowaniem odpowiednio silnych haseł. Stosując menedżera haseł, nie musimy ich wcale pamiętać - wyjątek stanowi jedynie to, które zabezpiecza bazę w samym menadżerze i które tym samym w szczególności powinno być silne i unikatowe. Nie rekomendujemy zapisywania haseł w przeglądarce internetowej.

Kolejna sprawa to próby phishingu, gdzie w wyniku przekierowania na fałszywą stronę sami podajemy oszustom nasze wrażliwe dane. Powtarzana od lat złota zasada brzmi - nie klikamy w podejrzane linki, sprawdzamy adres strony na której się znajdujemy, podchodzimy ostrożnie do niespodziewanych próśb, nie otwieramy podejrzanych załączników. 

Wspomniane już dwuskładnikowe uwierzytelnienie, obowiązkowe dla banków i instytucji płatniczych licencjonowanych przez KNF, powinno być przez nas włączone, jeżeli serwis daje taką możliwość. Jaką to przynosi korzyść? W dużym skrócie, jeżeli logowanie nastąpi z nowego, tj. dotąd nieznanego, lub nierozpoznanego przez serwis urządzenia lub przeglądarki, zostaniemy poproszeni o dodatkowe potwierdzenie, najczęściej dokonywane bezpośrednio w aplikacji na naszym telefonie komórkowym lub przez przepisanie kodu, np. przesłanego w wiadomości sms lub wygenerowanego przez odpowiedni program. Nawet jeśli oszuści przejmą nasze hasło, będą wówczas potrzebować jeszcze dodatkowego kodu, który będzie w naszym posiadaniu. Istnieją wyrafinowane techniki na przejęcie również i tego elementu poprzez manipulację i przekierowanie nas na fałszywą stronę, jednakże co do zasady dwuskładnikowe uwierzytelnienie znacząco obniża ryzyko przejęcia naszego konta. 

Pewnym zabezpieczeniem przed atakiem phishingowym jest posiadanie sprzętowego klucza U2F, który wyglądem przypomina pendrive. Oczywiście warunkiem jego użycia jest możliwość podpięcia klucza u konkretnego dostawcy. Niedogodnością jest to, że musimy go mieć przy sobie. 

Pamiętajmy, że dostęp do skrzynki pocztowej powinien być szczególnie chroniony. Włamanie do niej otwiera drzwi do przejęcia kont w innych serwisach, ponieważ większość z nich posiada funkcję “Zapomniałem hasła”, gdzie nowe hasło przychodzi właśnie na nasz adres e-mailowy. Po przejęciu skrzynki pocztowej oszust może więc zmienić hasła do wielu wrażliwych serwisów. Jeśli włączymy podwójne uwierzytelnienie, nie będzie to już takie proste. 

I na koniec - to, co zostaje umieszczone w Internecie, pozostaje już tam na zawsze. Pamiętajmy o tym, bo nigdy nie wiemy, kiedy i w jakich okolicznościach treść naszej korespondencji może zostać ujawniona. Polecam być dyplomatą w rozumieniu Churchilla: “dyplomata to człowiek, który dwukrotnie się zastanowi, zanim nic nie powie”.        

Dariusz Polaczyk, Risk and Security Manager Currency One, operatora serwisów Walutomat i InternetowyKantor.pl