Uwaga na publiczne porty USB – tam czekają hakerzy

Gdy jesteśmy na wakacjach, naszego telefonu używamy często. Jednocześnie rozładowujemy baterię, a przecież bez smartfona czujemy się jak bez ręki. Aby ją doładować korzystamy więc z portów USB, które pojawiły się w wielu miejscach publicznych. To wygodne, bo nie trzeba nosić ze sobą powerbanka, ale skrajnie niebezpieczne. Wystarczy bowiem 80 sekund takiego ładowania, a nasze dane z telefonu mogą trafić w ręce hakerów. To wszystko za sprawą juice jacking.

Tym terminem określa się zainfekowania gniazda USB specjalnym złośliwym programem. Kable, po podłączeniu do takiego portu są w stanie przesyłać nie tylko prąd, ale również i dane, w tym aplikacje i wirusy. Komunikacja działa w obydwie strony. Dane z naszego telefonu mogą trafić bezpośrednio do gniazda, po czym przejmują je hakerzy. Ale też nasze urządzenie może zostać zainfekowane. Wtedy nasz telefon będzie sam wysyłał dane do cyberprzestępców.

Publiczne ładowarki znowu interesują hakerów

Jak wskazuje U.S. Army Cyber Command (specjalna jednostka Armii Stanów Zjednoczonych zajmująca się cyberbezpieczeństwem), ten sposób hakerów wrócił do łask. Dużo wcześniej był on bardzo popularny wśród przestępców, jednak bardzo szybko z niego zrezygnowali, gdyż wymagał przenośnych nośników danych, z których ludzie zrezygnowali na rzecz chmury. W ostatnich latach pojawiła się zupełnie nowa możliwość. Mowa tutaj o publicznych portach USB, które dostępne są w miejscach takich jak lotniska, restauracje, pociągi i autobusy czy nawet ławki w parkach. Wszystko to, aby ułatwić ludziom używanie telefonów. W końcu właśnie dzięki temu będą mogli naładować baterię swojego smartfona i dalej z niego korzystać.

Nazwa tej metody wykradania danych pochodzi od amerykańskiego zwrotu, które tłumacząc dosłownie oznaczałoby wyciskanie soku. „Juice” ma jednak w tym przypadku zupełnie inne znaczenie, to potoczna nazwa prądu elektrycznego, który płynie z portu USB, przez kabel, aż do naszego telefonu. Przestępcy nie tyle wyciskają sok, ile wciskają tą drogą wirusy do naszego smartfona, albo próbują pozyskać od nas dane.

Gniazdka elektryczne są bezpieczne

Amerykańscy eksperci obliczyli na podstawie przeprowadzonych doświadczeń, że wystarczy zaledwie 80 sekund ładowania urządzenia, aby mogło ono zostać zainfekowane złośliwym oprogramowaniem. Dowództwo Cybernetyczne Armii USA zaleca w związku z tym, żeby jednak nosić ze sobą własny kabel USB oraz ładowarkę. W razie potrzeby naładowania baterii telefonu, możemy podłączyć całość do gniazdka elektrycznego, które służy wyłącznie do przesyłania prądu. Te zazwyczaj znajdują się zaraz obok portów USB. Wiadome jest, że nie wszystkie takie porty mogą być zainfekowane, ale warto zachować wzmożoną ostrożność.

Niektórzy amerykańscy specjaliści ds. bezpieczeństwa danych odrzucają juice jacking jako zagrożenie, ponieważ nie pojawiły się żadne znane im przypadki takiego nadużycia publicznych portów ładowania. Powołują się oni również na nowoczesne smartfony, które po podłączeniu kabla USB, informują właściciela o próbie przesłania danych.

– Warto zwrócić uwagę na fakt, że nie każdy posiada najnowocześniejsze urządzenie, które może mieć taką usługę. Niektóre z nowoczesnych smartfonów wymagają włączenia takiego rodzaju powiadomień w ustawieniach telefonu, gdzie nie każdy zagląda. Po drugi, kiedy działamy w pośpiechu, możemy kliknąć zgodę na transfer danych nie do końca świadomie. Dlatego znacznie lepiej zachować wzmożoną ostrożność. Wiele osób swoje urządzenia traktuje jako portfele. Podłączona karta płatnicza, login do aplikacji mObywatel czy też zachowane hasło do logowania się do Internetowego Konta Pacjenta. We wszystkich tych miejscach znajdują się nasze dane, w tym PESEL. Każdy smartfon zbiera również dane o lokalizacji czy również informacje zakupowe. Nasz numer telefonu i adres e-mail to również cenne dane dla cyberprzestępców, ponieważ w ten sposób mogą się z nami kontaktować i wysyłać maile czy SMS-y podszywając się pod firmę bądź instytucję – ostrzega Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

Jak bezpiecznie ładować telefon

Znając już samą definicję juice jackingu wiemy jak się przed nim chronić. Po prostu nie podłączać naszych urządzeń do portów USB w miejscach publicznych. Czasami jednak jest to jedyne wyjście, bo telefon jest potrzebny, a własnej ładowarki nie mamy. Przygotowaliśmy porady jak bezpiecznie ładować swój telefon na wakacjach.

1. W przypadku gdy musimy skorzystać z publicznego portu USB, powinniśmy używać własnego kabla USB. Najlepiej takiego, który nie pozwala na przesyłanie danych.
2. Po podłączeniu urządzenia, nie pozwalać na przesyłanie danych.
3. Gdy tylko jest to możliwe, użyć weryfikacji dwuetapowej oraz danych biometrycznych do logowania.
4. Zawsze aktualizować swoje oprogramowanie do najnowszej wersji.

Środki bezpieczeństwa trzeba stosować na całym świecie, nie tylko w naszym kraju. Dane osobowe nie muszą służyć bezpośrednio osobie, która je pozyskuje. To towar, który można sprzedać. Nasz PESEL, imię i nazwisko czy numer telefonu mogą zostać skradzione zagranicą i sprzedane polskim przestępcom, którzy użyją ich na przykład do wyłudzenia na nasze konto kredytu bądź pożyczki.

Nie tylko PESEL jest cenny, dane o lokalizacji też

W badaniu „Wiedza na temat bezpieczeństwa ochrony danych osobowych w Polsce”, które zostało zrealizowane przez serwis ChronPESEL.pl i Krajowy Rejestr Długów pod patronatem Urzędu Ochrony Danych Osobowych, aż 42 proc. ankietowanych wskazało phishing jako największe zagrożenie dla danych osobowych. Spytani o to, co wchodzi w skład danych osobowych, 21 proc wskazało dane o lokalizacji, a adres IP 23 proc.. Warto zwrócić uwagę, że są to ważne informacje, które są w stanie określić naszą lokalizację. Więc gdy dostaniemy telefon, w którym rzekomy rozmówca znanej nam instytucji powoła się na miejsce które znamy, uśpi naszą czujność.

– Gdy przestępcom uda się uzyskać nasz numer telefonu czy adres e-mail, są oni w połowie drogi do pozyskania innych danych. Wielu nie zdaje sobie sprawy ile informacji hakerzy mogą wyciągnąć z naszych informacji o lokalizacji, adresu IP czy tak zwanych plików cookies. Po włamaniu na nasze urządzenie, cyberprzestępcy będą mieli podane na tacy miejsca, w których często bywamy, nasze częste wyszukiwania i zainteresowania. Więc z łatwością mogą się podszyć pod dobrze znaną nam firmę lub instytucję i spróbować wyłudzić od nas dane takie jak numer PESEL. Jednocześnie usypiając naszą czujność powołując się na naszą lokalizację, płeć czy ostatnie zakupy. Czasami nawet choroby, gdy uda im się pozyskać dane z Internetowego Konta Pacjenta – tłumaczy Bartłomiej Drozd.