Bezpieczeństwo technologii IT (część 3) – Jak chronić swoją pocztę elektroniczną i konta społecznościowe
Co ma wspólnego spokojny sen z technologią? Kolejna część porad dotyczących bezpieczeństwa IT. Tym razem o tym, jak chronić swoją pocztę elektroniczną oraz konta społecznościowe, które są bardzo często narażone na ataki cyberprzestępców.
W kolejnym numerze „FIRMERA” w dalszym ciągu zajmę się budzeniem świadomości przedsiębiorców dotyczącej zagrożeń płynących z wszechobecnej i niezbędnej w biznesie technologii IT. Omawiałem już czarne scenariusze utraty danych w firmie oraz istotę tworzenia kopii zapasowych danych. Teraz czas na sposoby obrony przez cyberatakami.
Poczta elektroniczna
Poprzednio pisałem na temat wirusów (szkodliwego oprogramowania), które możemy pobrać ze strony internetowej (na którą zostały one wgrane przez przestępców internetowych, najczęściej w automatyczny sposób), np. w wyniku luki spowodowanej brakiem aktualizacji oprogramowania strony lub poprzez przypadkowe kliknięcie reklamy zwiastującej „niewiarygodnie korzystną” okazję (podstępne przestępcze wezwanie do akcji). Katalog źródeł szkodliwego oprogramowania należy uzupełnić o kolejne, zdaniem wielu, najbardziej istotne – pocztę elektroniczną.
Na swoich szkoleniach uświadamiających (pracownikom, menedżerom firm, właścicielom) zagrożenia płynące z technologii często mówię:
„Nie każda wiadomość, która przychodzi na Twoją skrzynkę, jest do Ciebie”.
Absurd? Niekoniecznie.
Znaczna część korespondencji to po prostu śmieci, tzw. SPAM, który jest wysyłany przez automatyczne mechanizmy do dużej liczby odbiorców na raz. Nie jest to list kierowany świadomie do nas przez partnerów biznesowych, jesteśmy po prostu typowani na przypadkową ofiarę przestępców internetowych. Jeszcze niedawno SPAM przybierał formę niechcianych i wątpliwie korzystnych ofert handlowych rozsyłanych w milionach sztuk do przypadkowych odbiorców. Dość łatwo było zatem się przed nim bronić, po prostu kasując e-mail. Obecnie e-maile od przestępców internetowych wykorzystują chwyty socjotechniczne (wezwania do akcji), tak aby osoba, która przeczyta wiadomość, wykonała na swoim komputerze czynności zgodnie z ich wolą. Niemożliwe? A jednak, przy bardzo dużej liczbie wysyłanych wiadomości istnieje prawdopodobieństwo, że ktoś zareaguje (może to będzie ktoś z pracowników naszej firmy).
Jak działają cyberprzestępcy?
Przestępcy podszywają się w zasadzie pod wszystkich: firmy kurierskie, kancelarie prawne i windykacyjne, banki, dostawców energii, usług telekomunikacyjnych, pocztę… można tak wymieniać bardzo długo. Użytkownik poczty dostaje informację np. o wysokiej kwocie, jaką zalega, nieodebranej przesyłce, fakturze do zapłaty itp. Nie zastanawiając się nad tym, na ile ta wiadomość jest wiarygodna (często w trakcie załatwiania różnych spraw pod presją czasu), daje się wciągnąć w wykonywanie akcji wskazywanych w wiadomości: otwiera załącznik, klika w odnośnik do strony internetowej zawarty w e-mailu i… uruchamia szkodliwe oprogramowanie, które np. szyfruje dane na jego komputerze, a następnie przedstawia żądanie okupu.
Nie każdy wirus objawia się tak spektakularnie, ale działanie szkodliwego oprogramowania może doprowadzić do przejęcia kontroli nad naszym komputerem czy wycieku (skopiowania) danych na serwery przestępców internetowych. Dość ciekawe i bardzo niebezpieczne są dwa przypadki. Przestępcy podszywają się pod naszych kontrahentów, wysyłając tzw. faktury lub prośby o zmianę numeru konta, na które kierowane są zapłaty za faktury. Drugi wariant to podszycie się pod naczelne kierownictwo firmy (informacje można znaleźć bardzo łatwo w internecie: KRS, CEIDG czy portale społecznościowe, np. Linkedin.com) i przekazanie prośby o realizację przelewu pod wymyślonym pretekstem na wskazane przez przestępców konto. W obu przypadkach e-mail nie zawiera żadnego szkodliwego kodu, ani nie odsyła do jego pobrania… czyli przestępstwo jest prawie doskonałe.
Szczególnie ważnym momentem będzie zlecenie płatności, bo w większych firmach realizacja płatności po zleceniu następuje automatycznie (w setkach zleceń wykrycie patologii staje się niemożliwe). Dość niezawodnym sposobem uniknięcia podszycia się pod osoby decyzyjne w firmie (ciągle zbyt mało popularnym w Polsce) jest podpisywanie wiadomości elektronicznym certyfikatem ID (np. certum.pl – Certyfikaty ID). Pracownik, zanim wykona polecenie szefa, może sprawdzić e-mail, klikając w ikonę certyfikatu.
Podsumowując problemy związane z możliwością pobrania szkodliwych treści w e-mailach, zawsze należy szczególną uwagę zwrócić na załączniki. Coraz częściej e-mail jest jednak „czysty”, ale zawiera treści i linki odsyłające do miejsc w sieci, z których można pobrać szkodliwą zawartość.
Media społecznościowe
Social media to dla jednych źródło rozrywki, a dla przedsiębiorców coraz częściej wykorzystywany i doceniany kanał komunikacji z klientami, który może zostać wykorzystany również w celu dystrybucji szkodliwego oprogramowania. Niektórzy przedsiębiorcy starają się ograniczyć dostęp do tych serwisów (można to zrealizować przy pomocy oprogramowania wielu firm, np. btc.com.pl, axence.net). Ale co w sytuacji, kiedy nie chcemy realizować w praktyce takich ograniczeń lub pracownicy korzystają np. z Facebooka w celach zawodowych?
W tych przypadkach kolejny raz konieczne jest budzenie świadomości zagrożeń wynikających również ze specyficznych wezwań do akcji. Mechanizm jest podobny jak w przypadku wspomnianych w poprzedniej części stron www ze szkodliwym kodem. Jesteśmy zachęcani do kliknięcia w link, który odsyła z serwisu społecznościowego do strony ze szkodliwym oprogramowaniem.
Zachętą może być sensacyjna treść spreparowanego przez oszustów posta (zwykle jest ona tak niewiarygodna, że nie można się wręcz powstrzymać przed kliknięciem). Niebezpieczna wiadomość może być też przesłana komunikatorem wraz z linkiem do strony. Zdarzało się, że była to po prostu prośba o przelanie kwoty od naszych znajomych wtedy, kiedy ich konto w social media zostało przejęte. Profilaktycznie unikajmy klikania we wspomniane posty oraz informacje od znajomych typu: „przesyłam tylko Tobie moje prywatne zdjęcia”.
Nieocenionym katalogiem tego rodzaju oszustw jest blog i fanpage stop-oszustom.pl. Z tego źródła warto zaczerpnąć przykłady, które można przedstawiać pracownikom na profilaktycznych szkoleniach. Należy pamiętać również, że w przypadku zagrożeń płynących z social media zawsze są one kierowane do naszych znajomych, przez publikację bez naszej wiedzy posta lub wysłanie wiadomości przez komunikator.
Katalog zagrożeń oraz dobrych praktyk w zakresie bezpieczeństwa nie został wyczerpany, warto więc śledzić kolejne numery „FIRMERA”.
Zapraszamy do zapoznania się z poprzednimi artykułami dotyczącymi bezpieczeństwa technologii IT w małej firmie autorstwa Marcina Pieleszka:
- Bezpieczeństwo technologii IT w małej firmie (część 1) – Jak chronić firmowe dane
- Bezpieczeństwo technologii IT (część 2) – Jak tworzyć kopie zapasowe danych
- Bezpieczeństwo technologii IT (część 3) – Jak chronić swoją pocztę elektroniczną i konta społecznościowe
- Bezpieczeństwo technologii IT (część 4) – Jak chronić dane na komputerze i urządzeniach mobilnych
Bardzo ważne jest stosowanie protokołów odpowiedzialnych za szyfrowania danych podczas transmisji, takich jak zwłaszcza SSL. Nie bez znaczenia jest również system podwójnej autentykacji.