technology podcast

Jak chronić swoje dane? Zagrożenia w cyberprzestrzeni

W dzisiejszym cyfrowym świecie ochrona danych osobowych jest ważniejsza niż kiedykolwiek wcześniej. Cyberzagrożenia, takie jak spoofing i spear-phishing, stają się coraz bardziej powszechne, a ataki wymierzone są nie tylko w organizacje, ale także osoby fizyczne. W niniejszym artykule, z pomocą eksperta do spraw technologii, zagłębiamy się w koncepcję inżynierii społecznej, zwracamy uwagę na ryzyko związane z korzystaniem z publicznych sieci Wi-Fi i oferujemy praktyczne wskazówki dotyczące ochrony danych. Zapoznaj się z niezbędnymi strategiami, jak zapewnić bezpieczeństwo swoim cyfrowym danym.
Rozwój nowych technologii, z których większość działa już przy użyciu sztucznej inteligencji, jest zjawiskiem niewątpliwie korzystnym. Nowoczesne narzędzia pomagają nam zarówno w pracy, jak i w zwykłych czynnościach. Rozwiązania technologiczne, wykorzystywane nie tylko przez zespoły marketingowe czy inżynieryjne do analizy danych i dopracowywania kodu, ale także przez właścicieli domów do sterowania oświetleniem czy wyboru filmu na wieczór, są już nieodzowną częścią codziennego życia. Niedbalstwem byłoby jednak stwierdzenie, że ewolucja technologiczna nie niesie ze sobą zagrożeń. Jak każdy postęp, tak i ten jest już powszechnie wykorzystywany przez przestępców chcących wyłudzić nasze poufne dane. Cyberataki, obejmujące złośliwe oprogramowania i phishing, a w jego ramach także spoofing, mogą być wymierzone w osoby fizyczne, firmy, a nawet rządy. Jak więc możemy chronić się przed takimi atakami?

W ostatnich latach ataki phishingowe stały się jeszcze bardziej zaawansowane, wykorzystując najnowsze technologie w celu nakłonienia osób lub organizacji do ujawnienia poufnych informacji. Wśród często stosowanych przez cyberprzestępców technik można wymienić spoofing i spear-phishing. Spoofing może być przeprowadzony za pomocą różnych środków, np. wiadomości email, stron internetowych, a nawet rozmów telefonicznych. Email spoofing polega na tworzeniu i wysyłaniu przez hakerów wiadomości, które wydają się pochodzić z wiarygodnych źródeł, a phone spoofing opiera się na fałszowaniu informacji przekazywanych do ekranu z identyfikatorem dzwoniącego. Oszuści sprawiają wrażenie, że połączenie pochodzi ze znanego, dodanego do książki telefonicznej numeru, takiego jak numer banku lub nawet członka rodziny. Taki rodzaj ataku jest nazywany również atakiem man-in-the‑middle (pl. „człowiek pośrodku”), ponieważ ktoś, kto chce wyłudzić dane, znajduje się między użytkownikiem a systemem. Modyfikowanie komunikacji pomiędzy dwiema osobami i kontrolowanie ich wiadomości, aby ofiary ataku myślały, że rozmawiają bezpośrednio ze sobą, to tylko jedna z możliwych technik. Taktyka ta jest wykorzystywana do zdobycia zaufania ofiary i skłonienia jej do podjęcia działań, które mogą zagrozić jej danym osobowym i bezpieczeństwu finansowemu.  
Spear-phishing oznacza wybieranie jako cel konkretnych osób, wykorzystując ich dane osobowe do tworzenia przekonujących wiadomości. Ponadto atakujący stosują taktyki inżynierii społecznej za pośrednictwem mediów społecznościowych, nakłaniając użytkowników do kliknięcia w złośliwe linki lub pobrania złośliwych załączników. Rozwój sztucznej inteligencji i uczenia maszynowego jeszcze bardziej zaostrzył ten problem poprzez umożliwienie tworzenia wysoce spersonalizowanych kampanii phishingowych, które są trudne do odróżnienia od prawdziwych wiadomości. Sztuczna inteligencja może analizować ogromne ilości danych, aby zidentyfikować potencjalne cele i dostosować wiadomości w taki sposób, aby zwiększyć prawdopodobieństwo powodzenia ataku. W rezultacie osoby indywidualne, a także organizacje, muszą zachować czujność, stosować solidne środki bezpieczeństwa i edukować się w zakresie najnowszych taktyk phishingowych, by skutecznie chronić swoje dane.  
Jak zadbać o bezpieczeństwo naszych danych opowiada Bartosz Czerwiński, gość podcastu Smart City Navigators. Były CTO w Naviparking i współzałożyciel Shaped Thoughts tłumaczy, co kryje się za zwrotem „inżynieria społeczna”, co możemy zrobić, by zwiększyć swoje bezpieczeństwo w sieci oraz co powinni zrobić przedsiębiorcy, by zadbać o bezpieczeństwo firmy.

🖋️ Czym jest inżynieria społeczna?

Inżynieria społeczna to szeroki termin dotyczący wykorzystywania metod psychologicznych do przekonywania ludzi, aby wykonali określone czynności. Chodzi o oszukiwanie. Jest to zestaw metod i technik stosowanych w celu nakłonienia ludzi do zrobienia tego, czego od nich oczekujemy. (...) Chodzi o rozmowę z kimś, wysłanie wiadomości lub zrobienie czegoś, co faktycznie poprowadzi ofiarę w kierunku pożądanej czynności, którą sprawca chce, aby wykonała, by mógł osiągnąć swój cel – wyjaśnia Bartosz Czerwiński.

Ekspert zauważa, że sama koncepcja nie jest wcale nowością. Kevin Mitnick stosował techniki inżynierii społecznej na przełomie lat 80. i 90. do przeprowadzania cyberataków. Udało mu się pozyskać zabezpieczone informacje i hasła, które następnie wykorzystał, aby otrzymać dostęp do systemów. Osiągał on swoje cele nie poprzez hakowanie samych systemów, ale właśnie ludzi.

Dziś jest to ten sam mechanizm, a nie jest on jeszcze nawet w pełni cyfrowy. Sam w tym roku wielokrotnie miałem do czynienia z sytuacją, w której odebrałem telefon od kogoś, kto przedstawił się jako pracownik banku, w którym rzeczywiście mam konto, co sprawiło, że na pozór wszystko brzmiało dość bezpiecznie – przyznaje Czerwiński. – Ta osoba chciała przekazać mi wiadomość, a ponieważ wiadomość była poufna, co również sugerowało, że informacja ta jest ważna, chciała zadać mi kilka pytań weryfikacyjnych (...). Można w ten sposób łatwo wpaść w pułapkę. (...) Odpowiadasz na kilka pytań, a następnie w ciągu kilku następnych dni otrzymujesz powiadomienie z prawdziwego banku, że otrzymali twój wniosek o pożyczkę – zauważa.  
Sprawcy mogą również zbierać informacje bezpośrednio z naszych mediów społecznościowych. W dzisiejszych czasach publikujemy w przestrzeni internetu zdjęcia z rodzinnych wakacji czy też urocze ujęcia naszych pupili, nieświadomie dostarczając w ten sposób algorytmom bardzo wrażliwe dane. Współzałożyciel Shaped Thoughts udowadnia, że osobom trzecim nie jest trudno zidentyfikować, kim jesteśmy lub znaleźć informacje o tym, gdzie mieszkamy lub co lubimy:

Wiele platform posiada mechanizm odzyskiwania haseł, dzięki czemu w przypadku utraty dostępu użytkownik może zresetować hasło, odpowiadając na pytanie zabezpieczające. Wiele z tych pytań, proponowanych domyślnie, dotyczy prostych rzeczy, tak jak: „Jak ma na imię twoje zwierzę?” lub „Jakiego koloru jest twój samochód?”. Są one proste, ponieważ odpowiedź musi być łatwa do zapamiętania. A potem każdy może bez problemu znaleźć odpowiedź na to pytanie w sieci, w naszych mediach społecznościowych, i użyć jej, aby uzyskać dostęp do naszego konta – dowodzi Bartosz Czerwiński.

🪪 Jak chronić dane?

Bez względu na to, czy jesteś osobą, która po prostu chce korzystać z najnowszych narzędzi technologicznych, czy firmą, która tworzy świetne oprogramowanie, musisz być świadomy bezpieczeństwa jako tematu, obszaru, który wymaga świadomości i inwestycji.

Bartosz Czerwiński, co-founder at Shaped Thoughts
Pojawiające się wciąż nowe formy cyberataków sprawiają, że internautom coraz trudniej jest się przed nimi ustrzec. Bartosz Czerwiński zdradza najważniejsze sposoby na zwiększenie bezpieczeństwa naszych danych:

➡️ Korzystaj z uwierzytelniania wieloskładnikowego.  Jest to rozwiązanie, które nie w każdym systemie zostało już zaimplementowane, jednak przypuszczam, że w ciągu najbliższych kilku lat stanie się standardem, ponieważ samo hasło i nazwa użytkownika nie są wystarczające. W przypadku uwierzytelniania wieloskładnikowego, kiedy na przykład uzyskujesz dostęp do swojego konta z nowego urządzenia, system wykrywa je i chce, abyś podał drugi czynnik, którym może być jednorazowe hasło lub jakiś kod zabezpieczający.  
➡️ Nie ufaj swojemu urządzeniu.  Pierwszą rzeczą, o której należy pamiętać, jest to, że nigdy nie powinniśmy ufać swojemu urządzeniu. Zasadniczo wszystko może się zdarzyć, nawet jeśli jesteśmy wyjątkowo dobrze zabezpieczeni i świadomi tego, czego nie klikać, jakich załączników nie otwierać i jakich wiadomości nie czytać. Może jednak zdarzyć się, że damy swoje urządzenie komukolwiek, znajomemu lub dziecku, i powiemy: „Masz, właśnie ściągnąłem nową grę, możesz w nią pograć”. A potem w tej grze pojawia się reklama, którą ta osoba klika, a ona kieruje ją na złośliwą stronę internetową, która pobiera szkodliwe oprogramowanie i po wszystkim.  
➡️ Zachowaj czujność. Jeśli otrzymasz wiadomość o paczce, której oczekujesz, i zobaczysz, że proszą cię o zrobienie czegokolwiek w związku z tą paczką, możesz łatwo wpaść w pułapkę. Trzeba być ostrożnym i uważnie czytać. Najczęściej, ponieważ mieszkamy w Polsce, firmy, z których usług możemy skorzystać, aby zamówić paczkę, będą komunikować się z nami w języku polskim. Jeśli istnieje grupa hakerów spoza Polski, najprawdopodobniej nie znają oni języka polskiego i wyślą wiadomość przetłumaczoną na język polski za pomocą Tłumacza Google lub innej usługi, a to tłumaczenie nie będzie dobre. Trzeba więc zwracać uwagę na te małe znaki sygnalizujące, że coś jest nie tak.  
➡️ Korzystaj z oprogramowania antywirusowego. Dobrze jest mieć coś zainstalowanego na swoim urządzeniu, nawet na telefonie komórkowym. Upewnienie się, że jest coś, co faktycznie wyczekuje działań, które mogą zaszkodzić tobie lub twojemu urządzeniu, jest bardzo dobrą praktyką. Ostatecznie to oprogramowanie zostało przecież zaprojektowane w celu ochrony użytkownika.
Aby zmaksymalizować bezpieczeństwo korzystania z danego urządzenia, możesz podjąć jeszcze inne proste działania¹.

➡️ Aktualizuj swój system operacyjny i przeglądarkę internetową. Celem cyberprzestępców jest znalezienie luk w zabezpieczeniach oprogramowania, zanim firmy zdążą je usunąć. Regularne aktualizowanie oprogramowania chroni przed naruszeniami danych.  
➡️ Utwórz kopię zapasową. Cyberataki mogą spowodować zaszyfrowanie lub usunięcie danych. Posiadanie kopii zapasowej zapewnia możliwość przywrócenia danych. Dla przedsiębiorstw kopie zapasowe danych są także niezbędne do utrzymania ciągłości biznesowej w trakcie i po ataku, co minimalizuje przestoje i pomaga w szybkim wznowieniu normalnej działalności.

💻 Korzystanie z publicznych sieci

Większość z nas łączy się z internetem w miejscach publicznych – w McDonald's, w centrum handlowym lub w pociągu. Jak niebezpieczne jest korzystanie z hotspotów?   Wszystko, co jest publiczne, jest z definicji niebezpieczne, zwłaszcza gdy korzystamy z niezabezpieczonej sieci, ponieważ wiele z nich nie używa nawet szyfrowania. Kiedy łączysz się z hotspotem, widzisz na swoim komputerze, czy jest to sieć zabezpieczona, czy niezabezpieczona, co oznacza, czy transmisja między twoim urządzeniem a hotspotem jest szyfrowana. Jeśli nie jest szyfrowana, ryzyko bycia zhakowanym jest jeszcze wyższe – tłumaczy Bartosz Czerwiński. 

Czy zatem korzystanie z niezabezpieczonej sieci oznacza, że nie jesteśmy w ogóle chronieni?   Oczywiście mamy dodatkową warstwę zabezpieczeń, możemy mówić o szyfrowaniu danych przesyłanych między przeglądarką a serwerem. Na przykład, gdy łączymy się z dostawcą poczty email lub usługą transakcji online z banku, firmy te oferują zabezpieczenia typu TLS lub SSL, które zapewniają szyfrowanie transmisji pomiędzy serwerem a użytkownikiem końcowym. Jeśli więc łączymy się z publicznym hotspotem bez szyfrowania, dzięki szyfrowaniu gwarantowanemu przez naszego dostawcę będziemy znacznie bezpieczniejsi. Jednakże, chociaż nikt nie może łatwo odczytać naszych danych, może i tak zauważyć odbywającą się transmisję – podkreśla ekspert.  
Jeśli, korzystając z publicznej sieci, chcesz przeglądać strony internetowe, poczytać wiadomości, to wszystko jest w porządku. Ale nie należy wykonywać żadnych czynności, które obejmują poufne dane. Na przykład, jeśli chcesz dokonać przelewu pieniędzy, jest to dość niebezpieczne. To nawet nie musi być haker, który spróbuje połączyć się z twoim urządzeniem i ukraść dane, ale może to być osoba stojąca za tobą i patrząca na twoją klawiaturę – zaznacza Bartosz Czerwiński.

🔏 Ochrona danych w przedsiębiorstwach

Najsłabszym ogniwem systemu bezpieczeństwa jest człowiek – mówi były CTO w Naviparking. – Jedną z rzeczy, która może wydawać się dość oczywista, jest uświadomienie użytkownikom i pracownikom firmy procedur bezpieczeństwa, wdrożonych mechanizmów, potencjalnych zagrożeń i zagrożeń, które faktycznie występują. To uświadamianie, które obejmuje również szkolenie personelu, na przykład szkolenie inżynierów, jak pisać kod, aby był bezpieczny, jest czymś, co powinno być obecne zasadniczo w każdej firmie – tłumaczy.

Zatrudnianie profesjonalistów, którzy mogą przeprowadzać audyty bezpieczeństwa, sprawdzać infrastrukturę, sprawdzać aplikacje i produkty, które są tworzone, jest równie ważne – dodaje ekspert. – Nawet jeśli masz super wykwalifikowanych programistów, rzadko są oni wykwalifikowani w zakresie bezpieczeństwa. Jest to branża, która wymaga wiele nauki, wiele wysiłku, aby zrozumieć, jak od samych podstaw działają systemy. Trudność polega również na tym, że każdego dnia pojawia się wiele nowych zagrożeń i trzeba być na bieżąco. Możesz zatrudnić inżyniera ds. bezpieczeństwa lub dyrektora ds. bezpieczeństwa, który upewni się, że firma przestrzega pewnych zasad i standardów, i który upewni się, że wykonywane są okresowe skany bezpieczeństwa. Jest to ciągły, wielowymiarowy proces.   Oprócz potrzeby ciągłego monitorowania bezpieczeństwa sieci, danych i oprogramowania, badacze² wymieniają również konieczność rozsądnego przyznawania uprawnień administratora i dostępu do plików w oparciu o rzeczywiste potrzeby pracowników.

Ochrona danych cyfrowych wymaga wieloaspektowego podejścia. Zachowując czujność wobec prób phishingu, rozumiejąc taktykę inżynierii społecznej i wdrażając środki bezpieczeństwa, możemy znacznie zmniejszyć ryzyko kradzieży danych. Zawsze należy zachować ostrożność podczas korzystania z publicznych hotspotów, ponieważ często są one niezabezpieczone i mogą narazić nasze zasoby na ataki. W przypadku firm kluczowe znaczenie ma ustanowienie kompleksowej strategii ochrony danych, przeprowadzanie regularnych audytów bezpieczeństwa i edukowanie pracowników w zakresie najlepszych praktyk. Podejmując te proaktywne kroki, zarówno osoby fizyczne, jak i organizacje mogą skuteczniej chronić swoje poufne dane w wirtualnym świecie.

Jeśli chcesz dowiedzieć się więcej, posłuchaj rozmowy z Bartoszem Czerwińskim w naszym podcaście Smart City Navigators (wywiad dostępny w języku angielskim):

A jeśli wolisz, możesz również posłuchać odcinka w Spotify.
Posłuchaj podcastu w Spotify
¹ Protect Your Personal Information and Data. (2021). Federal Trade Commission Consumer Advice. https://consumer.ftc.gov/articles/protect-your-personal-information-and-data#network
² Porter, A. (2022). What Is File Security? 5 Best Practices. BigID. https://bigid.com/blog/what-is-file‑security/
inżynieria społeczna, spoofing, spear-phishing, ochrona danych
Joanna Nowak
Junior Content Writer
Junior Content Writer

Zobacz więcej podobnych postów

01––03
technology

W jaki sposób firmy B2B mogą przygotować się na kryzys gospodarczy z wykorzystaniem nowoczesnej technologii?

Gdy krajobraz gospodarczy staje w obliczu bezprecedensowych wyzwań, firmy B2B muszą wykorzystać nowoczesną technologię, aby mogły skutecznie prosperować. Dostosowanie się do zmieniających się warunków gospodarczych wymaga połączenia zwinności, innowacyjności i strategicznego myślenia. Niezależnie od tego, czy chodzi o przygotowanie się na nadejście kryzysu, czy też radzenie sobie z jego skutkami, jeśli chodzi o innowacje, na scenę wkracza nowoczesna technologia. Odkryj z nami praktyczne ścieżki rozwoju firm B2B w czasach kryzysu, w których analityka, optymalizacja i praca zdalna odgrywają kluczową rolę.
Czytaj dalej
technology podcast

Sztuczna inteligencja – jak wykorzystać jej potencjał?

W czasach, gdy sztuczna inteligencja (AI) błyskawicznie zmienia nasz świat, zrozumienie jej potencjału i praktycznych zastosowań jest ważniejsze niż kiedykolwiek. Zarówno poprzez zaawansowane algorytmy, jak i codzienne narzędzia sztuczna inteligencja staje się nieodzowną częścią naszej rzeczywistości. Niniejszy artykuł omawia ewolucję sztucznej inteligencji, przedstawia narzędzia, które zwiększają naszą produktywność, a także zawiera wnikliwy wywiad z ekspertem w branży mediów i technologii na temat tego, jak skutecznie wykorzystać możliwości Chatu GPT. Odkryj dzięki nam jak wydobyć pełen potencjał sztucznej inteligencji i odnaleźć się w przyszłości, którą oferuje.
Czytaj dalej
digitization

Czym jest Internet of Things i w jaki sposób wkracza w codzienne życie firm B2B i osób indywidualnych?

Termin Internet Rzeczy odnosi się do sieci urządzeń fizycznych wyposażonych w czujniki, oprogramowanie i funkcje łączności sieciowej. Urządzenia te zbierają i udostępniają dane, wypełniając lukę między światem cyfrowym i fizycznym. Począwszy od inteligentnych urządzeń domowych po aplikacje na dużą skalę, takie jak monitorowanie katastrof, IoT stał się integralną częścią naszego społeczeństwa. W tym artykule przedstawiamy sposoby, w jakie IoT wpływa na firmy B2B i ich klientów, zwiększając innowacyjność i wydajność.
Czytaj dalej
Wyświetl wszystkie posty