Uwaga na świąteczne mejle!

Przestępcy wysyłają świąteczne mejle z załącznikiem!

Uruchomienie załącznika powoduje zarażenie komputera trojanem Emotet..
Na dodatek przestępcy przekonują nas żeby mejl przesłać dalej!
Więcej:
https://www.proofpoint.com/us/corporate-blog/post/emotet-wishes-you-merry-christmas-greta-thunberg
https://www.virustotal.com/gui/file/5298570e2e2b291db5b8b261e10496c284ae882cbeadce9514f09beb6bac5254/detection

PSD2! Czy będzie bezpieczniej?

Z dniem 14 września 2019 instytucje finansowe w tym banki zobowiązane były do wprowadzenia nowych europejskich regulacji tak zwanej PSD2. Mowa o dyrektywie 2015/2366. Chodzi o umożliwienie trzeciej stronie, czyli innym firmom pośredniczenia w rożnego rodzaju działaniach finansowych miedzy klientem a firmami finansowymi. Instytucje te zostały zobowiązane do wystawienia API czy interfejsu pozwalającego na inicjowaniu płatności lub przynajmniej uzyskiwaniu informacji o stanie rachunku klienta. Instytucje finansowe zostały też zobowiązane do wprowadzenia silnego uwierzytelnienia klienta po przeprowadzonej analizie. Co kryje się za tymi działaniami? W większości banków jest to wprowadzenie dodatkowego elementu uwierzytelniającego, czyli prośba o PIN czy kod przesłany z banku SMS-em na telefon klienta. Czy takie działania są wystarczające, aby poprawić nasze bezpieczeństwo? Niestety NIE! 

Skąd taki pesymizm i czym jest on podyktowany? Niestety same takie regulacje nie są wystarczające. Przykładem może być artykuł na Zaufanej Trzeciej Stronie https://zaufanatrzeciastrona.pl/post/jak-bankowi-zlodzieje-szybko-dostosowali-sie-do-zmian-w-logowaniu/ gdzie widać, że przestępcy już przygotowują się do nowych regulacji!

Czego tak naprawdę brakuje, aby bankowość była bezpieczna? Wiedzy po stronie klientów i niestety pracowników instytucji finansowych! Jeżeli będziemy wiedzieć jak działają przestępcy będziemy wiedzieć, co mamy a czego nie mamy robić! Tylko wiedza o tym, jakie techniki stosują przestępcy i zdrowy rozsadek nas klientów są w stanie zmienić ten stan rzeczy!

OSTRZEŻENIE !!!

Właśnie wszystkie ważne instytucje Prokuratura Krajowa, Komenda Główna Policji, Urząd Ochrony Konkurencji i Konsumentów, Europejskie Centrum Konsumenckie i Bankowe Centrum Cyberbezpieczeństwa ZBP wzięły się za ostrzeganie użytkowników bankowości przed fałszywymi stronami udającymi pośredników szybkich płatności. Ogłoszenie zostały opublikowane na ich stronach:

• https://pk.gov.pl/wp-content/uploads/2019/05/Komunikat-1.pdf
• http://www.policja.pl/pol/aktualnosci/173522,Uwaga-na-falszywe-strony-udajace-posrednikow-szybkich-platnosci.html
• https://www.uokik.gov.pl/aktualnosci.php?news_id=15488
• https://konsument.gov.pl/aktualnosci/uwaga-na-falszywe-strony-udajace-posrednikow-szybkich-platnosci/
• https://zbp.pl/wydarzenia/archiwum/wydarzenia/2019/maj/uwaga-na-falszywe-strony-udajace-posrednikow-szybkich-platnosci

Inicjatywa bardzo dobra i warta pochwały, ale:
- po pierwsze w opublikowanym dokumencie czytamy „Na atak narażeni są użytkownicy bankowości internetowej i mobilnej robiący zakupy przez internet.” 
Nie jest to prawdą, że ataki są ukierunkowane tylko na użytkowników robiących zakupy w internecie!. Jak się to ma do ataków związanych z Horoskopami artykuł firmy PREBYTES https://sirt.pl/twojhoroskop-com-to-kolejne-oszustwo/, opłatami związanymi z PIT-em, o których pisał money.pl https://www.money.pl/gospodarka/proba-wyludzenia-na-e-pit-do-ludzi-przychodza-smsy-od-oszustow-6376631125334145a.html czy usługami SMS Premium na stronie Niebezpiecznika https://niebezpiecznik.pl/post/uwaga-polscy-przestepcy-polaczyli-2-scamy-w-jeden/?more?
Rozumiem, że ujęcie całego tematu w krótkiej formie nie jest łatwe i może stać się mniej czytelne dla odbiorcy szczególnie niebędącego biegłym w tych tematach.

- po drugie warto przypomnieć, że pierwsze ataki tego typu miały miejsce już w 2016 roku i zaczęły się od ataków „na znajomego z FB” http://ebezpieczny.blogspot.com/2016/10/jak-rozmowa-ze-znajomym-skonczya-sie.html.

Przez te trzy lata metoda ataku została dopracowana prawie do perfekcji i objęła kolejnych pośredników oraz kolejne kanały inicjujące atak. Droga mailową lub SMS-owa możemy dostać informację w dowolnym temacie z linkiem kierującym na fałszywa stronę! 

SEMAFOR 2019

Zapraszam na konferencję SEMAFOR 2019!
Moją prezentacja odbędzie się pierwszego dnia konferencji.
Zapraszam 14 marca o godzinie 14:25 temat to:
                         "Nowe oblicze phishingu" 

Elementarz bezpieczeństwa - Po drugie bezpieczny telefon komórkowy

Obecnie telefon komórkowy nie jest już tym urządzaniem, które znamy z przed przeszło dwudziestu lat. Nie służy on już tylko do prowadzenia rozmów telefonicznych czy wysyłania SMS-ów ale ma własny system operacyjny z możliwością instalacji różnych aplikacji i dostępem do Internetu.  Mówimy tu o tak zwanym smartfonie  czyli połączeniu przenośnego telefonu z komputerem. A ja bym powiedział odwrotnie to zminiaturyzowany komputer z funkcja telefonu!

Co za tym idzie musimy zmienić swoje podeście do tego urządzania. To wszystko co robimy w kontekście bezpieczeństwa na komputerze  powinniśmy  zastosowań na naszym smart fonie. Na dodatek większość naszych komputerów  stoi w bezpiecznym miejscu (w naszym domu czy miejscu pracy) a telefon mamy cały czas przy sobie choć nie zawsze mamy go na oku! Należy też zwrócić uwagę co do danych na nim przechowywanych. Mamy tu wszystkie SMS-y czyli nasze rozmowy ze znajomymi, kontakty, zdjęcia a czasami nawet  pliki z hasłami! Do tego należy pamiętać że na urządzeniach mobilnych czyli nie tylko telefonach większość otwartych aplikacji nie zamykamy czy nie wymagają one ponownego zalogowania i znajomości haseł! Czy jesteś gotowy na to by ktoś widział twoje rozmowy na Facebooku?  

Hasło/PIN/symbole 

Zostawił byś  włączony bez nadzoru komputer dostępny dla obcych? Nie? To dlaczego robisz tak z telefonem?  Co do samych haseł pisałem o tym w pierwszej części „Elementarzu bezpieczeństwa – Po pierwsze hasło.” Telefon możesz zabezpieczyć za pomocą PIN-u, hasła czy symboli. Co do ostatniej możliwości  stosuj również symbole unikalne. I pamiętaj że to co robisz na dotykowym ekranie zostawia ślady po tłustych  palcach!

Program antywirusowy

Pamiętaj każde urządzenie powinno mieć zainstalowany program antywirusowy Jaki program antywirusowy jest najlepszy? Każdy, który działa i jest aktualizowany! Poszukaj w Internecie ;)

Aktualizacje – systemu i aplikacji

Każdy system i aplikacja wymaga aktualizacji. Wynika to z testów czy błędów, które twórcy lub testerzy wykryli.  Warto korzyłaś z automatyczne aktualizacji.

Uważaj jakie oprogramowanie instalujesz

Nie instaluj oprogramowania z nieznanych źródeł. Niestety w sklepie Play też może trafić się złośliwe oprogramowanie. Zanim podejmiesz decyzję o instalacji jakiegoś oprogramowania przeczytaj opinie na jego temat a w czasie instalacji czytaj na co mu pozwalasz!

Wi-Fi

Uważaj na publiczne sieci Wi-Fi

Wyłącz Wi-Fi, kiedy go nie używasz

Elementarz bezpieczeństwa - Po pierwsze hasło!

Podstawowym elementem bezpieczeństwa wielu usług związanych z Internetem takich jak poczta, fora czy bankowości internetowa ciągle jest jeszcze nazwa użytkownika i hasło! Mimo że od dłuższego czasu specjaliści bezpieczeństwa wskazuje, że hasła to najsłabsza forma zabezpieczania! Jak w takiej sytuacji tworzyć hasło i jakie stosować metody podwyższenia bezpieczeństwa?

Długość hasła

Długość hasła to jeden z ważniejszych elementów wpływających na bezpieczeństwo naszego hasła! Hasło w systemach nie jest przechowywane w postaci otwartego tekstu. Hasło najczęściej jest zapisywane w formie skrótu jednokierunkowego, czyli za pomocą odpowiedniego algorytmu hasło zamienia się w ciąg o tej samej długości niezależnie od długości hasła. Algorytm działa tylko w jedną stronę, czyli nie da się odczytać hasła mając skrót. Jedynym sposobem odgadnięci hasła, jeżeli posiadamy skrót jest generowanie skrótu dla różnych kombinacji znaków i porównywanie czy skrót jest taki sam. Dlatego im dłuższe hasło tym trudniej jest odgadnąć hasło.

Skomplikowanie

Skomplikowanie to drugi ważny element, który wpływa na utrudnienie w zgadywaniu hasła. Co z tego, że hasło ma 10 znaków, jeżeli jest to na przykład ciąg rosnący lub ten sam znak powtórzony 10 raz? Aby hasło było silne musi składać się z różnych znaków liter, cyfr czy znaków specjalnych najlepiej z nielogicznej kolejności. Czy ciąg 19081987 wydaje się bezpieczny? Tak, ale jeżeli jest to data urodzin osoby, która ma takie hasło to niekoniecznie! Dlatego w hasłach powinniśmy unikać dat nazw własnych szczególnie związanych z naszą rodziną, pracą czy zainteresowaniem. Najlepiej unikać słów, które mogą być w słowniku.

Unikalność 

Ważne żeby stosować różne haseł do różnych usług.  Może paś pytanie, ale poco? Poco komplikować sobie życie? To proste, jeżeli ktoś przejmie nasze hasło do poczty np. przez phishing, czyli podstawiając nam fałszywą stronę łudząco podobną do rzeczywistej to mając te same hasła w innych usługach naraźmy je wszystkie!

Sposób przechowywania

Trzymając się tych wszystkich zasad, o których przed chwila się dowiedziałeś, że hasła maja być długie, skomplikowane i różne do różnych usług rodzi się pytanie jak je zapamiętać? Na pewno unikajmy pisania ich na karteczkach przyklejonych na monitorach czy pod klawiaturą. Starajmy się nie trzymać ich w pliku w formie jawnego tekstu.  Tu z pomogą nam tak zwany menadżer haseł, który nie tylko przechowuje hasła w bezpieczny sposób, ale może sam je wygenerować w sposób losowy. Jest to np. KeePass czy LastPass.