Udostępnianie danych w internecie jest zjawiskiem nagminnym. Są jednak takie dane, którymi nie powinniśmy się chętnie dzielić. Wymagają one szczególnej dbałości z naszej strony, albowiem mają kluczowe znaczenie dla bezpieczeństwa naszych finansów.

Które dane są poufne z punktu widzenia klienta bankowości internetowej?

Użytkownicy bankowości internetowej powinni zwracać szczególną uwagę na bezpieczeństwo takich danych lub rzeczy jak:

• login,
• hasło,
• numer telefonu,
• karty z kodami jednorazowymi,
• telefon,
• token,
• imię i nazwisko,
• dane z dowodu osobistego / paszportu,
• adres zamieszkania i zameldowania,
• historia operacji.

Jeśli przestępca wejdzie w posiadanie części z powyższych danych, istnieje poważne ryzyko, że uda mu się uzyskać dostęp do konta. Znając historię operacji oraz dane osobowe, mógłby spróbować zadzwonić na infolinię i za pomocą socjotechniki oszukać pracownika obsługi, że jest prawowitym właścicielem (zna bardzo wiele szczegółów).

tadamichi / Shutterstock

Sposoby pozyskiwania poufnych danych przez cyberprzestępców w social mediach

Cyberprzestępcy korzystają z wielu opcji pozyskania poufnych danych. Jedną z najpopularniejszych form jest tzw. phishing, czyli wysyłanie wiadomości łudząco podobnych do prawdziwych, w których przestępca zazwyczaj prosi o zalogowanie się na stronie (która nie jest stroną banku), przeczytanie załącznika (który zawiera złośliwe oprogramowanie) czy też przesłanie w odpowiedzi swoich danych osobowych lub danych logowania do systemu.

Phishing ten, choć najczęściej odbywa się poprzez e-mail, jest spotykany również na portalach społecznościowych. Udostępnienie informacji o „szokującym wydarzeniu” przez znajomego ma zachęcić innych użytkowników do kliknięcia w link. Pod takim linkiem zazwyczaj kryje się aplikacja, która przejmuje kontrolę nad kontem na Facebooku i rozsyła wiadomości dalej – być może w zmienionej formie, gdzie to już nie „szokujące wydarzenie”, a link do wirusa. Przestępcy tworzą również sztuczne strony fanowskie, które mają na celu zebrać jak najwięcej „polubień”. W ten sposób przestępca jest w stanie wytworzyć bardzo szybko bazę imion i nazwisk, które potem sprzeda bądź wykorzysta.

Istnieją również fałszywe aplikacje, które pobrane na telefon bardzo często są w stanie uzyskać dane użytkownika. W przypadku telefonów z systemem Android każda nowa aplikacja ma listę uprawnień dostępu, o które prosi. Aby skorzystać z aplikacji, musimy się na nie zgodzić – złośliwy program w ten sposób może uzyskać dostęp nie tylko do naszych danych, ale również do danych naszych znajomych, których mamy w książce adresowej.

Jednym z ostatnich przypadków przedstawiających możliwość takiego ataku była aplikacja, która nie wymagała żadnych uprawnień, a pomimo to była w stanie uzyskać dostęp do telefonu poprzez zastosowanie wyszukiwania głosowego Google. Aplikacja odgrywała nagrany głos, np. w środku nocy i w ten sposób była w stanie wysłać SMS na numery o podwyższonej opłacie (Premium Rate). Dlatego też jedną z głównych zasad bezpieczeństwa jest niepobieranie podejrzanych aplikacji.

W jaki sposób ułatwiam pozyskanie poufnych danych w social mediach?

Jedną z głównych zasad bezpiecznego przetwarzania danych jest ich niepodawanie. Należy zadać sobie pytanie, czy rzeczywiście jest konieczne, aby dana strona znała mój dokładny adres zamieszkania. Ponadto niemal wszystkie serwisy społecznościowe oferują szczegółowe opcje prywatności. Należy je przejrzeć i ustawić widoczność własnych danych dla osób postronnych w odpowiadający nam sposób, najlepiej restrykcyjny. Konta zazwyczaj można ustawić jako niewyszukiwalne dla osób spoza kręgu znajomych. Dzięki temu ograniczy się naszą widoczność dla nieznajomych do minimum.

Ponadto w wielu serwisach społecznościowych widać brak rozwagi w tym, jakie dane upubliczniamy – bardzo często się zdarza, że w celu „pochwalenia się” ludzie dodają zdjęcia własnych kart kredytowych (nierzadko z numerem CVV) czy też zdjęcia prawa jazdy, dowodów osobistych i innych ważnych dokumentów. Cennym podejściem jest traktowanie wszystkich danych, które umieszczamy w internecie, jako publicznych i ogólnie dostępnych.

Po czym mogę poznać, że moje poufne dane wyciekły?

Można dosyć łatwo sprawdzić, czy i ewentualnie skąd wyciekły dane. Zazwyczaj wystarczy zerknąć do folderu spam w skrzynce mailowej. Nagłe zwiększenie ilości spamu, jaki dostajemy, może oznaczać wyciek naszych danych. Podczas ostrożnego czytania tych maili, będzie nas interesować głównie pole „do” i „DW”. Spamerzy nie zawsze ukrywają listy dystrybucyjne i czasem możemy się domyśleć po adresach innych odbiorców, skąd wyciekły dane (np. jeśli znajdą się wśród nich znajomi z odwiedzanego przez nas forum).

Bardzo dobrym sposobem na identyfikowanie źródeł wycieków jest stosowanie unikatowych adresów e-mail dla każdego serwisu. Aby to osiągnąć, nie trzeba zakładać dziesiątek różnych kont na różnych stronach - Gmail dla przykładu oferuje tzw. aliasy. Poczta Google ignoruje kropki w adresie oraz znaki występujące po znaku „plus” – w ten sposób adresy: imienazwisko@gmail.com, imie.nazwisko@gmail.com, imie.nazwisko+serwisABC@gmail.com i tym podobne są dostarczane do jednej skrzynki. Dopisując więc jakiś ciąg znaków po plusie, korzystamy z tzw. aliasu i adres e-mail jest przez to unikatowy. Oczywiście spamer mógłby usunąć alias i w ten sposób wyciągnąć właściwy adres, jednak bardzo często tak się nie dzieje.

Niektóre firmy zajmujące się bezpieczeństwem oferują (często bezpłatną) możliwość sprawdzenia, czy nasze dane znajdują się w ujawnionych bazach danych. Zazwyczaj jednak to firma posiada tę bazę danych i korzystając z takiej usługi, należy pamiętać, żeby ufać firmie, która taką opcję oferuje. Warto również zaznaczyć, że nielegalne jest pobieranie takiej bazy danych w celu „sprawdzenia samemu”.

Co zrobić, kiedy moje poufne dane wyciekły?

W przypadku wycieku poufnych danych należy możliwie dobrze je zabezpieczyć – w zależności od tego, jakie dane wyciekły, istnieją różne sposoby zabezpieczenia się przed ewentualnymi następstwami wycieku. Jeśli wyciekły numery kart płatniczych, powinno się je zastrzec. W przypadku loginów i haseł/skrótów haseł, należy zmienić hasło wszędzie tam, gdzie je stosowaliśmy. W przypadku danych osobowych niestety niewiele możemy zrobić – nie zmienimy tak łatwo adresu czy nazwiska.

Jak się zabezpieczyć przed wyciekiem danych z profili w social mediach

• Unikaj podawania danych osobowych w internecie, rób to jedynie wtedy, kiedy to koniecznie i kiedy masz wysoki poziom zaufania do danej strony.
• Dostając link w wiadomości od znajomego, upewnij się, że to rzeczywiście on Ci ją przysłał. Podejrzenia powinny być większe, jeśli dostajesz te same wiadomości od różnych znajomych, być może padli ofiarą tego samego ataku.
• Uważaj na wszelkie linki, w które klikasz – jeśli strona prosi Cię o wpisanie „losowych znaków” zaraz po wejściu, niemal na pewno jest to strona wyłudzająca dane.
• Używaj dodatków blokujących skrypty na stronach – dla przykładu NoScript uniemożliwi stronie wykonywanie aktywnej zawartości, dopóki jej na to specjalnie nie zezwolisz.
• Korzystaj jedynie z aktualnego oprogramowania – bardzo wiele luk zabezpieczeń jest z dnia na dzień łatanych.

Zachowanie pełnej kontroli nad własnymi danymi w internecie jest praktycznie niemożliwe. Wszystko, co kiedykolwiek umieściliśmy w sieci, tam pozostanie i prędzej czy później ktoś niepowołany prawdopodobnie się z tymi danymi zetknie. Stosując się do powyższych porad, można jednak zminimalizować ryzyko utraty tożsamości, a przynajmniej bardzo taką kradzież utrudnić.

Czytaj także: Na topie jest wszystko, co się klika