Od końca maja opisujemy w "Wyborczej", jak bronić się przed atakami cyberprzestępców. A te stają się coraz bardziej wyrafinowane wraz z rozwojem nowych technologii - mediów społecznościowych, płatności mobilnych, kryptowalut czy tzw. internetu rzeczy. Podczas dyżuru w naszej redakcji ekspert Orange został zasypany pytaniami naszych czytelników. W czwartek 13 czerwca Robert Grabowski, szef zespołu CERT Orange Polska, mailowo i telefonicznie radził, jak zadbać o swoją prywatność i bezpieczeństwo w sieci.

Pierwsze pytanie dotyczyło tego, "jakie zachowania w sieci są ryzykowne i mogą doprowadzić do zainstalowania złośliwego oprogramowania na smartfonie". - Generalnie wszystkie dane, jakie trzymamy w telefonie, postrzegałbym jako narażone na wyciek. Jak się przed tym chronić? Przede wszystkim odradzam instalowania aplikacji spoza oficjalnych sklepów, takich jak Google Store czy App Store - mówił Grabowski.

Jednak nawet w oficjalnym sklepie może trafić się potencjalnie szkodliwa aplikacja. - Nie należy instalować aplikacji nisko ocenianych i takich, które nie są nam potrzebne. Warto też zwrócić uwagę na to, jakich uprawnień żąda dana aplikacja - pytanie o nadanie uprawnień pojawia się przed każdą instalacją. Jeśli np. latarka wymaga od nas dostępu do zdjęć albo lokalizacji, to może nie warto jej używać - mówił ekspert. 

Złośliwe oprogramowanie może być rozpowszechniane również w załącznikach do maila albo linków rozsyłanych przez SMS-y. Przed otwarciem takiej wiadomości warto dwa razy się zastanowić, czy na pewno znamy nadawcę i czy treść nie wzbudza naszych podejrzeń.

Czy płatności telefonem są bezpieczne?

Kolejna czytelniczka, pani Martyna, pytała o zabezpieczenia smartfona. "Czy płatności telefonem są bezpieczne? Czy powinniśmy zabezpieczyć telefon w jakiś dodatkowy sposób poza tym, którego wymaga aplikacja mobilna banku, np. za pomocą hasła czy odcisku palca?" - pisała w mailu.

- Ogólnie jest to mechanizm bezpieczny - odpowiadał ekspert Orange. - Na pewno lepiej wykonywać płatności, zatwierdzając je cechą biometryczną, niż wpisywać loginy i hasła na stronach, które nie zawsze są zaufane. Warto hołdować "zasadzie ograniczonego zaufania". Jeśli wykorzystujemy swój telefon do płatności, to nie wykorzystujemy go do innych rzeczy, np. do gier czy korzystania z aplikacji - ocenił Grabowski.

Robert Grabowski, szef zespołu CERT Orange PolskaRobert Grabowski, szef zespołu CERT Orange Polska Orange

Pani Paulina pytała, jak często zmieniać hasła - raz w roku czy może częściej. Nie była również pewna, czy używanie haseł rekomendowanych do witryn np. przez system iOS autorstwa Apple to dobre rozwiązanie. - Odpowiedź na ostatnie pytanie jest krótka: Tak. Hasła rekomendowane przez generatory przeglądarek internetowych czy system IOS są dobre i bezpieczne. Natomiast z drugiej strony są też bardzo trudne do zapamiętania, o ile nie chcemy ich zapisywać - mówił.

Podstawą jest też używanie różnych haseł do różnych witryn. Dobrze jest zmieniać hasło częściej niż raz w roku, chociaż ostatnio Microsoft zaleciła robić to rzadziej. Powód? Częste zmiany sprawiają, że zapominamy haseł i wymyślamy hasła prostsze, czyli łatwiejsze do złamania. - Ale można tworzyć bardzo dobre hasła, które nie są trudne do zapamiętania: zamiast prostego "Robert2019!" np. "RobertLubiJablka2019!". To pierwsze maszyna rozpracuje bardzo szybko, natomiast to drugie jest już bardzo trudne - mówił Grabowski. I ostrzegał: jeśli mamy podejrzenia, że nasze hasło wyciekło, można je zweryfikować poprzez serwis https://cert.orange.pl/haveibeenpwned i jeśli tak, trzeba je jak najszybciej zmienić.

Czy Facebook i Google nas podsłuchują? Nie, ale...

Pani Monika pytała, czy to prawda, że takie aplikacje jak FB Messenger czy Gmail mogą nas podsłuchiwać. "Jak się przed tym zabezpieczyć?" - pytała. A może to "miejska legenda"? 

- Sformułowanie "podsłuchiwanie" kojarzy się z włączeniem mikrofonu i podsłuchem audio, tego te serwisy nie robią - odpowiedział ekspert. - Natomiast trzeba zdawać sobie sprawę z tego, że korzystając z jakiejkolwiek usługi nasze dane trafiają na serwery tej firmy, są przetwarzane, ktoś ma do nich dostęp, więc - intencjonalnie lub nie - mogą stamtąd wyciec. Jednocześnie giganci technologiczni tacy jak Facebook czy Google często za naszą zgodą kolekcjonują o nas informacje, np. co jemy, gdzie i z kim jesteśmy, co lubimy itp. 

- Jeśli chcemy zapewnić sobie poufność, należy szyfrować wiadomości, korzystając np. z aplikacji typu PGP do szyfrowania maili bądź Signal do szyfrowania SMS-ów. Polega to na tym, że wiadomość jest szyfrowana przy nadawaniu i przechodzi zaszyfrowana przez cały łańcuch transmisyjny. Odszyfrować ją może ją tylko odbiorca. To jedyny znany mi sposób, który gwarantuje, że nikt nie przeczyta naszych wiadomości - dodaje Robert Grabowski.

Jak bronić się przed phishingiem?

Podczas dyżuru padło również pytanie o to, jak rozpoznać i bronić się przed phishingiem - a więc oszustwem polegającym np. na tworzeniu przez przestępców fałszywych stron internetowych, podszywających się np. pod oryginalną witrynę banku w celu wyłudzenia dostępu do naszego konta. W wyniku takiego ataku ofiara może utracić oszczędności życia, prywatność (np. gdy przestępca włamie się do naszej skrzynki e-mail) lub kluczowe informacje na temat firmy, w której pracuje.

- Trzeba uważać przy przeprowadzaniu wszelkich operacji, które wiążą się z logowaniem czy podawaniem naszych danych - szczególnie, że phishing często bazuje na schematach psychologicznych, które mają skłonić nas do szybkiej reakcji: "Dopłać, bo zablokujemy twoje konto" itp. Trzeba bardzo dokładnie sprawdzać adresy stron, na których jesteśmy. Czy w ich adresach nie ma żadnych literówek, błędów, czy nie wzbudzają naszych podejrzeń. Pamiętajmy, że strony te są tworzone tak, by były łudząco podobne do oryginału - mówił szef CERT Orange.

Orange Polska poprzez swoją usługę CyberTarcza zabezpiecza swoich klientów przed zagrożeniami, zidentyfikowanymi przez ekspertów CERT Orange Polska. - Nawet jeśli będziemy kierować nasze kroki na stronę założoną przez oszustów, którzy próbują wykraść nasze dane, jesteśmy chronieni. Wyświetli nam się komunikat, że na stronie znajdują się niebezpieczne elementy, a sama strona w ogóle nam się nie otworzy - podkreślił ekspert.