CyberAkademia BGK

1. Jak bezpiecznie korzystać z Internetu?
Aby bezpiecznie korzystać z Internetu przestrzegaj kilku zasad:

• zadbaj, aby na komputerze zainstalowany był aktualny program antywirusowy,
• aktualizuj systematycznie oprogramowanie takie jak: system operacyjny, przeglądarka internetowa, pakiet Office, Acrobat Reader, itp. Na telefonie regularnie aktualizuj aplikacje,
• nie otwieraj załączników i linków w wiadomościach e-mail od kogoś, kogo nie znasz, albo z wiadomości, których się nie spodziewasz. Złamanie tej zasady to najprostsza droga do zainfekowania twojego komputera. Dotyczy to także portali społecznościowych. Uważaj, w jakie linki klikasz, nawet te przesłane przez dobrego znajomego. Ktoś mógł przejąć jego konto i rozesłać złośliwe linki i wirusy,
• na telefonie nie instaluj aplikacji na czyjąś prośbę, nie instaluj też aplikacji z nieoficjalnych sklepów (innych niż Google Play czy App Store),
• jeśli używasz telefonu i komputera do ważnych celów, takich jak bankowanie czy dostęp do ważnych informacji, nie dziel z dzieckiem tego urządzenia. Dziecko może jeszcze nie znać wszystkich zasad bezpieczeństwa,
• staraj się nie używać publicznych sieci WiFi. W takich sieciach jest duże ryzyko przechwycenia wrażliwych danych czy twoich haseł. Jeśli musisz korzystać z takich sieci, rozważ wykorzystanie rozwiązania VPN,
• używaj silnych haseł i jeśli jest taka możliwość - stosuj dwuskładnikowe uwierzytelnianie np. hasło + SMS, hasło + token. Pamiętaj też, aby nie używać jednego hasła do kilku kont.

2. Jak stworzyć bezpieczne hasło?
Jest kilka zasad, o których należy pamiętać przy tworzeniu bezpiecznego hasła. Najważniejsze z nich to:

• hasło powinno być unikalne, jedyne w swoim rodzaju, niepowtarzalne,  
• hasło nie powinno być łatwe do odgadnięcia przez osoby postronne, czyli nie powinno zawierać imienia, nazwiska, daty urodzenia itp.,
• do budowy hasła nie należy wykorzystywać sekwencji kolejnych liter, liczb lub innych znaków, np: abcd, 1234, QWERTY,
• hasło nie powinno składać się również z jednego słowa w dowolnym języku, pisanego normalnie lub wspak, takie hasła są łatwe do odgadnięcia,
• nie korzystaj z opcji zapamiętywania haseł w przeglądarce,
• nie używaj prostych, łatwych „słownikowych” wyrażeń, np. mojehaslo,
• bezpieczne hasło powinno się składać z co najmniej 12 znaków, ale im więcej tym lepiej. Zalecamy hasła o długości 12-16 znaków,
• hasło powinno być złożone, czyli zawierać zarówno małe jak i wielkie litery, a także cyfry i znaki specjalne,
• do stworzenia bezpiecznego hasła możesz wykorzystać wyrażenie, frazę którą łatwo zapamiętasz np. cytat lub powiedzenie zapisując je w nieco zmienionej formie, np. „Bez pracy nie ma kołaczy” – zapisane jako: Bezpr@cyniem@koł@czy. W ten sposób możesz stworzyć bardzo silne hasło, którego przestępcy nie będą w stanie złamać,
• rekomendujemy wykorzystanie managera haseł, który poza tym że umożliwi ich przechowywanie, zwykle posiada również funkcję generatora odpowiednio złożonych haseł.

3. Jak bezpiecznie wysłać plik?
Aby wysłać w bezpieczny sposób plik np. z danymi osobowymi najlepiej zaszyfruj go. Skorzystaj ze specjalnego oprogramowania do szyfrowania np. PGP, lub oprogramowania do kompresji plików np. 7zip lub WinRAR, które mają opcję nadania hasła do archiwum. Do wysłania tak przygotowanego pliku użyj poczty elektronicznej, a jeśli plik jest zbyt duży - portalu do wymiany plików. Dobrym pomysłem może być też skorzystanie z chmury. Pamiętaj: hasło do pliku zawsze wysyłaj odbiorcy innym kanałem niż przekazany był plik, np. SMS-em.

4. Co powinienem zrobić, gdy mam wątpliwość, że otrzymany e-mail/telefon jest prawdziwy?
W przypadku otrzymania podejrzanego telefonu:

• poproś o dane osoby (imię i nazwisko), która do Ciebie dzwoni,
• rozłącz się i zadzwoń do instytucji na ogólnodostępną infolinię z pytaniem, czy faktycznie połączenie było realizowane na zlecenie danej instytucji. Zapytaj też, czy osoba o podanym imieniu i nazwisku jest pracownikiem tej instytucji.

W przypadku otrzymania podejrzanego e-maila:

• zanim klikniesz w link lub otworzysz załącznik, sprawdź kto jest nadawcą wiadomości i jaka jest jej treść,
• zwróć uwagę na adres nadawcy. Najczęściej fałszywe e-maile wysyłane są z adresów, które nie mają nic wspólnego z instytucją, pod którą podszywają się przestępcy,
• zwróć uwagę na treść wiadomości. W fałszywych wiadomościach często można zauważyć błędy ortograficzne czy nieprawidłową składnię,
• w przypadku podejrzanych wiadomości nie otwieraj załączników i linków,
• podejrzaną wiadomość wyślij do CERT, korzystając z formularza na stronie zgłoś incydent,
• zgłoś otrzymanie podejrzanej wiadomości do instytucji, pod którą podszyli się przestępcy.

5. Jak rozpoznać socjotechnikę, którą posługują się cyberprzestępcy, by namówić nas do działania? 
Socjotechnika to inaczej umiejętność manipulacji, która użyta w złej wierze może być skutecznym narzędziem w rękach przestępców. Większość ataków cyberprzestępców wykorzystuje socjotechnikę (np. presję czasu, podszywanie się pod osobę decyzyjną) i bazuje na ludzkich odruchach i zachowaniach. Dzięki wykorzystaniu socjotechniki przestępcy przełamują bariery i zabezpieczenia. Jak poznać, że rozmówca stosuje socjotechnikę?

Cyberprzestępca, który stosuje socjotechnikę:

• odmówi podania zwrotnego numeru kontaktowego, bo nie zawsze będzie przygotowany na podanie bezpiecznego dla niego kontaktu,
• zaproponuje nietypową okazję – taką, która w realnym świecie się nie zdarza,
• będzie przekonywał, że posiada władzę, np. podszyje się pod kogoś ważnego próbując Cię zastraszyć i zagrozi konsekwencjami,
• podkreśli ważność i pilność sprawy, by wymóc na Tobie pochopne i nieprzemyślane przekazanie informacji, natychmiastowe podjęcie decyzji lub działanie,
• gdy zaczniesz zadawać dociekliwe pytania zacznie okazywać niechęć i będzie udzielał zdawkowych odpowiedzi, ponieważ wie, że w trakcie merytorycznej rozmowy ławo się zdemaskuje,
• będzie próbował powoływać się na wiele nazwisk, by „trafić” w osobę, którą skojarzysz. Zbuduje w ten sposób zaufanie, bo to nazwisko stanie się „wytrychem” do uzyskania od Ciebie wrażliwych informacji,
• pochlebstwami, komplementami i pozorowaną próbą pomocy będzie starał się uśpić Twoją czujność,
• wzbudzeniem ciekawości spróbuje nakłonić do nierozsądnych zachowań.

Jak nie dać się złapać na socjotechnikę? Przede wszystkim bądź asertywny. Weryfikuj otrzymywane informacje, oddzwaniaj, nie wpadaj w panikę, nie działaj pochopnie, staraj się w spokoju ocenić sytuację. Nie ujawniaj wrażliwych informacji i nie wykonuj bezrefleksyjnie poleceń kogoś, kogo tożsamości w danej sytuacji nie jesteś w stanie zweryfikować.
Jeżeli jednak dasz się zmanipulować, to po wykryciu takiej sytuacji reaguj adekwatnie do zaistniałych zagrożeń i krytyczności ujawnionych informacji/danych. Jeżeli będzie to zasadne, zgłoś to do swoich przełożonych, organów ścigania, poinformuj swój bank.

6. Jak zabezpieczyć się przed utratą danych?
Większość z nas przechowuje na dysku komputera, laptopa lub w pamięci smartfona cenne dane: dokumenty, notatki czy rodzinne zdjęcia. Zapominamy, że najczęstszymi powodami utraty danych są awarie nośników oraz błąd człowieka.
Żeby zminimalizować ryzyko utraty danych, rób regularnie ich kopię zapasową na zewnętrznym nośniku danych lub w chmurze, które podłączane są do urządzenia tylko na czas wykonywania kopii. Wiele urządzeń i aplikacji pozwala dziś na automatyczne tworzenie takich kopii zapasowych.
Szkodliwe oprogramowanie również może łatwo wymazać lub uszkodzić ważne dla Ciebie pliki. Dobrą praktyką, która ogranicza to ryzyko, jest stosowanie oprogramowania antywirusowego.

7. Jak chronić dane wrażliwe?
Najpierw wyjaśnijmy, czym są dane wrażliwe. To rodzaj danych osobowych, które podlegają szczególnej ochronie, ponieważ dotyczą sfery prywatnej. Danych wrażliwych, z wyjątkiem danych biometrycznych, nie używa się do identyfikacji (w Internecie, banku, czy innej instytucji). Do danych wrażliwych zaliczamy:

• pochodzenie rasowe lub etniczne,
• poglądy polityczne,
• przekonania religijne,
• przekonania światopoglądowe,
• przynależność do związków zawodowych,
• dane genetyczne,
• dane biometryczne,
• zdrowie,
• seksualność i orientacja seksualna.

Jednak pod pojęciem danych wrażliwych często kryją się również dane i informacje, których ujawnienie może pozwolić na kradzież tożsamości lub pozbawienie kogoś jego prywatności.
Jako osoba fizyczna decydujesz o tym, kto i w jakich warunkach przetwarza Twoje dane wrażliwe. Firmy mają oczywiście obowiązek dbać o to, by takie informacje były odpowiednio zabezpieczone przed nieuprawnionym dostępem. Każda usługa, do której potrzebne są dane, wymaga zgody na przetwarzanie. Zauważysz to wchodząc na stronę sklepów internetowych czy korzystając z mediów społecznościowych.

Jak najlepiej chronić dane wrażliwe?

• przekazując komuś swoje dane, zwróć uwagę czy są one faktycznie tej osobie/instytucji niezbędne,
• nie wysyłaj danych drogą elektroniczną bez ich wcześniejszego zabezpieczenia, szyfruj każdy dokument jak najmocniejszym hasłem,
• nie przetrzymuj w sieci skanów dokumentów, zdjęć czy umów,
• nie zapamiętuj swoich danych na nieznanych czy publicznych urządzeniach,
• zawsze weryfikuj materiały, które udostępniasz publicznie np. w sieciach społecznościowych,
• staraj się nie korzystać z publicznych, ogólnodostępnych punktów dostępowych do Internetu,
• nigdy, nikomu nie udostępniaj swoich loginów i haseł,
• zawsze stosuj zasadę ograniczonego zaufania,
• nie prowadź poufnych rozmów w miejscach publicznych,
• zawsze usuwaj dane z dysków i urządzeń, z których już nie korzystasz, stare urządzenie, które zostanie sprzedane lub trafi na śmietnik, może stać się cennym łupem dla cyberprzestępców,
• regularnie zmieniaj hasła do komputera, e-maila czy systemów bankowych,
• jeżeli jest taka możliwość, korzystaj z dwuetapowego procesu uwierzytelniania,
• zwróć uwagę na e-maile wysyłane przez instytucje, np. banki czy firmy kurierskie, oszuści często podszywają się pod firmy lub instytucje finansowe, dlatego trzeba upewnić się, że mail faktycznie pochodzi od konkretnego adresata,
• korzystaj z aktualnego oprogramowania antywirusowego,
• bądź ostrożny w czasie pobierania plików, instalowania gier czy aplikacji, ponieważ razem z pobieranymi plikami, na urządzeniu może zostać zainstalowany wirus. Po ściągnięciu pliku, warto go przeskanować programem antywirusowym,
• zwracaj uwagę, czy na stronach z funkcją logowania wykorzystywany jest protokół szyfrowania SSL, bezpieczna strona zaczyna się od „https” i ma wyświetlony znak kłódki,
• staraj się edukować dzieci na temat obowiązku ochrony danych osobowych. Najmłodsi nie zawsze są świadomi grożącego niebezpieczeństwa, dlatego oszuści często wykorzystują ich łatwowierność.

8. Jak bezpiecznie korzystać z bankowości elektronicznej?
W związku z coraz częstszymi próbami wyłudzenia przez cyberprzestępców danych do bankowości elektronicznej należy zachować szczególną ostrożność podczas korzystania z internetowych usług banku. Przestępcy, aby uzyskać dostęp do konta ofiary, najczęściej korzystają z ataków phishingowych, socjotechniki lub złośliwego oprogramowania. Aby skutecznie zabezpieczyć się przed tymi zagrożeniami:

• sprawdź, czy strona do logowania posiada prawidłowy adres. Właściwy adres bankowości powinieneś otrzymać od swojego banku. Zawsze wpisuj go w całości w pasku adresu przeglądarki. Adres w wynikach wyszukiwarki internetowej może być zmanipulowany,
• zwróć uwagę na wygląd strony banku. Jeśli wygląda inaczej niż zwykle, upewnij się że jesteś pod właściwym adresem,
• zweryfikuj, czy połączenie jest szyfrowane (ikona kłódki przy adresie strony),
• nie korzystaj z kafejek internetowych oraz urządzeń należących do innych osób,
• podczas korzystania z bankowości elektronicznej nie używaj nieznanych sieci,
• nigdy nie używaj linków otrzymanych mailem lub SMS-em do logowania się do bankowości elektronicznej,
• nie zapomnij wylogować się z systemu bankowości po zakończonej pracy,
• na urządzeniu, z którego korzystasz nie uruchamiaj niezaufanego oprogramowania oraz dbaj o aktualizację zainstalowanego na nim systemu i oprogramowania.

9. Jak zweryfikować, czy sklep internetowy jest prawdziwy?
Fałszywe sklepy oferują najczęściej markowe produkty w bardzo okazyjnych cenach. Jeżeli oferta jest zbyt dobra, aby była prawdziwa - powinno wzbudzić to Twoją podejrzliwość.
Zanim złożysz zamówienie zweryfikuj, czy sklep internetowy nie jest próbą oszustwa:

• zweryfikuj dane firmy, korzystając z ogólnodostępnych informacji (adres siedziby firmy, REGON, KRS itp.),
• zapoznaj się z regulaminem zamieszczonym na stronie sklepu,
• sprawdź opinie o sklepie w Internecie. Zwróć uwagę na historię wpisów. Fałszywe sklepy internetowe mają krótką żywotność,
• zadzwoń pod numer podany na stronie sklepu,
• jeżeli masz wątpliwości, wybierz metodę płatności „płatne przy odbiorze”. Fałszywe sklepy internetowe najczęściej wykluczają tę formę płatności,
• zweryfikuj od jak dawna sklep funkcjonuje, np. sprawdzając kiedy zarejestrowana była domena, pod którą się znajduje. Im młodszy sklep, tym większe ryzyko oszustwa.

Co zrobić jeżeli zrobiłeś zakupy w fałszywym sklepie internetowym?

• jeżeli dokonałeś płatności korzystając z jakiegokolwiek linka na stronie fałszywego sklepu lub przesłanego przez ten sklep, natychmiast powiadom bank oraz zmień hasło do konta bankowości elektronicznej,
• zgłoś sprawę na policję,
• jeżeli zapłaciłeś kartą kredytową możesz zgłosić reklamację do swojego banku.

Zgłoś fałszywy sklep do CERT, korzystając z formularza na stronie zgłoś incydent. 

10. Jak sprawdzić certyfikat SSL?
Jeszcze kilka lat temu panowało przeświadczenie, że odwiedzając strony opatrzone w pasku adresu przeglądarki symbolem kłódki nawiązujesz bezpieczne połączenie. Dziś kłódeczka oznacza zwykle tylko tyle, że połączenie z serwerem jest szyfrowane i nie gwarantuje to, że dana strona jest własnością firmy, z którą chcesz się połączyć.

Ważne więc, by zweryfikować, czy dana strona internetowa udostępniana jest faktycznie przez firmę do której chcieliśmy trafić. Warto wiedzieć, że oszuści bez problemu mogą zarejestrować domeny zawierające drobną różnicę w literkach oraz mogą wygenerować dla takiej strony certyfikat  (np. bezpiecznastroma.pl to zupełnie co innego niż bezpiecznastrona.pl).

To, czy certyfikat odwiedzanej witryny jest ważny, weryfikują przeglądarki, które wyświetlają ostrzeżenie jeśli certyfikat nie spełnia kryteriów bezpieczeństwa (np. gdy wygasł, albo nie jest możliwa jego weryfikacja). Jeśli przeglądarka sygnalizuje jakiekolwiek kłopoty z certyfikatem witryny, rekomendowany jest kontakt z właścicielem witryny w celu weryfikacji połączenia.

Można także samodzielnie zweryfikować certyfikat SSL. Zwykle wystarczy kliknąć na symbol kłódki. Jeśli wystawca certyfikatu dokonał rozszerzonej weryfikacji (EV) tożsamości właściciela domeny (właściciele dbają o to dla szczególnie istotnych systemów) przeglądarka wyświetli informację dla jakiej firmy taka weryfikacja była realizowana.

Klikając w oknie certyfikatu możemy podejrzeć jego szczegóły, a wśród nich najważniejsze:

• data ważności – co często dla fałszywych stron oznacza kilka dni wstecz,
• alternatywne nazwy podmiotu - dla jakich adresów certyfikat został wystawiony.

Nazwa wystawcy - zaufany podmiot który wystawił certyfikat i poświadcza jego ważność.