Utrzymująca się pandemia nakłada na nas wiele ograniczeń i znacząco zmienia formę pracy wielu z nas, ale niestety nie ogranicza działań hakerów. Cyberprzestępcy nie cofną się przed niczym, aby osiągnąć cele i odnajdują się w tak niecodziennych sytuacjach, jak zagrożenie związane z koronawirusem (COVID-19).

Pandemia budzi obecnie wiele emocji. Hakerzy usprawniają stare i sprawdzone schematy, wykorzystując w nich wątek koronawirusa. Przyjrzymy się im w tym artykule oraz  aspektom związanym z bezpieczeństwem pracy zdalnej.

Cyberprzestępcy, w czasie ataków socjotechnicznych starają się wzbudzić w nas emocje (np. strach). Dobrym tego przykładem są wysyłane masowo wiadomości phishingowe, których celem jest przekonanie ofiary, że hakerzy przejęli kontrolę nad jej urządzeniem. Internetowi oszuści uwiarygadniają to poprzez np. podanie adresu nadawcy jako naszego adresu e-mail (wygląda to na pierwszy rzut oka jakbyśmy sami napisali do siebie), albo umieszczając w treści wiadomości nasze hasło lub inne dane, które wyciekły do Internetu z różnych serwisów. Dla nieświadomej ofiary będzie to wystarczającym dowodem potwierdzającym słowa przestępców. Po pozornym udowodnieniu swoich dokonań przechodzą do sedna: żądają okupu w zamian za nieujawnienie kompromitujących materiałów, które znaleźli na naszym sprzęcie lub wykonali z jego użyciem. Jeżeli nie zdamy sobie na czas sprawy z tego, że jest to oszustwo i pozwolimy na to aby strach kierował naszymi poczynaniami, to ulegniemy tym żądaniom. Zapłacimy okup pomimo tego, że nikt nigdy nie przejął kontroli nad naszym urządzeniem.

Poniżej przyjrzymy się kilku z nich:

Szokujące nagrania i informacje – „Zobacz drastyczne nagranie ukazujące prawdziwe oblicze COVID-19”, „Porwanie dziecka w środku dnia – czy poznajesz sprawcę?”, „Koniec 500+? Obejrzyj kontrowersyjną wypowiedź ministra” – powyższe przykłady to tylko kilka nagłówków, które pojawiają się obecnie w sieci. Celem jest przykucie naszej uwagi i zachęcenie do kliknięcia w video lub rozwinięcia treści całego artykułu. Powyższe fake newsy są zazwyczaj propagowane albo poprzez przejęte konta społecznościowe ofiar (nieświadomie udostępniają one takie wiadomości innym), albo poprzez wykupienie sponsorowanych postów reklamowych np. w social mediach i wyszukiwarkach. Takie przypadki kończą się zazwyczaj wyłudzeniem danych uwierzytelniających do serwisów społecznościowych (np. zaloguj się do Facebooka aby potwierdzić swój wiek) lub zapisaniem się na płatne subskrypcje premium SMS (np. nasze serwery są przeciążone, odblokuj zawartość płacąc jednorazowo SMSem). Przejęte konto w portalach społecznościowych może zostać użyte do przeprowadzania oszustw „na Blika”, do dalszego propagowania fake newsów lub udostępniania linków da stron zawierających złośliwe oprogramowanie.

Problemy z przesyłką – „Twoja paczka musi przejść dodatkową dezynfekcję z powodu koronawirusa”, „W wybranym paczkomacie nie ma już miejsca”, „Twoja paczka waży więcej niż deklarował sprzedawca” – SMSy o podobnej treści otrzymujemy coraz częściej. Internetowi przestępcy wysyłają je masowo, gdyż wiedzą, że w obecnej sytuacji, robimy więcej zakupów online. Zwiększa to prawdopodobieństwo, że takie smsy dotrą do nieświadomych zagrożenia osób, które właśnie oczekują na zamówioną przez Internet przesyłkę. Linki w takich wiadomościach prowadzą do kontrolowanych przez cyberprzestępców kopii portali pośredników płatności (np. DotPay, PayU, itp.), za pośrednictwem, których mamy dopłacić drobną kwotę do rzekomo zamówionej przesyłki. Podanie danych uwierzytelniających do banku lub danych karty płatniczej i potwierdzenie tej akcji otrzymanym kodem SMS kończy się w tym przypadku utratą wszystkich zgromadzonych środków z konta.

Podrobione eUsługi – elektroniczne składanie zeznań podatkowych, opłacanie rachunków, załatwianie spraw urzędowych to dla wielu konieczność w obecnej sytuacji. Przestępcy doskonale o tym wiedzą i tworzą liczne fałszywe kopie oficjalnych stron, chcąc wyłudzić dane do logowania do Profilu Zaufanego lub banku. Skutków powodzenia takich działań nietrudno się domyślić.

Jak nie dać się oszukać?

Przede wszystkim nie działajmy impulsywnie. Jeżeli widzimy niezwykle szokujący nagłówek na tablicy znajomego w popularnym serwisie społecznościowym, nie klikajmy w niego bezrefleksyjnie. Sprawdźmy czy podobne rewelacje nie pojawiły się na oficjalnych stronach, będących agregatorami wiadomości. Sceptycznie podchodźmy do weryfikacji wieku przy pomocy mediów społecznościowych na nieznanych nam wcześniej stronach. Zwracajmy uwagę na to czy dany szokujący post lub krzykliwy wynik w wyszukiwarce nie jest sponsorowany lub nie jest reklamą – pamiętajmy, że reklamę może kupić każdy, nawet złodziej.

Unikajmy odruchowego klikania w linki przesłane w mailach i SMSach – w razie wątpliwości skontaktujmy się np. z firmą kurierską w celu potwierdzenia informacji. Najlepiej wówczas skorzystać z formularza kontaktowego lub numeru telefonu na oficjalnej stronie internetowej firmy. Pamiętajmy, że ani zielona kłódka przy adresie, ani podobna wizualnie strona, nie gwarantują jej autentyczności. Sprawdźmy czy adres strony faktycznie się zgadza i nie zawiera np. literówek lub znaków specjalnych. Ponadto dokładnie czytajmy treść otrzymanych z banku wiadomości SMS. Pierwsza płatność na podrobionych stronach jest rzeczywiście na niską kwotę, jednak jest również jednocześnie zdefiniowaniem tzw. odbiorcy zaufanego, który niebawem bez konieczności dodatkowej autoryzacji, może wyprowadzić wszystkie środki z naszego konta.

Jak bezpiecznie pracować zdalnie?

Wielu z nas pracuje obecnie zdalnie. Praca poza biurem może wiązać się z większym ryzykiem ujawnienia informacji służbowej czy zniszczeniem udostępnionego sprzętu. Aby zminimalizować ryzyko wystąpienia takich sytuacji zachęcamy do przestrzegania kilku podstawowych zasad:

Ostrożnie korzystajmy ze sprzętu służbowego

  • Pamiętajmy o tym, aby podczas przewożenia służbowego telefonu lub laptopa do domu nie pozostawiać go bez opieki w autobusie czy w bagażniku samochodu.
  • Przygotujmy w domu, w miarę możliwości, miejsce dedykowane pracy, gdzie urządzenia służbowe nie będą narażone np. na zalanie czy upadek.
  • Pamiętajmy, że powierzony sprzęt jest zazwyczaj przeznaczony tylko i wyłącznie do celów służbowych. Dlatego nie korzystajmy na nim z prywatnych skrzynek pocztowych i nie podłączajmy prywatnych urządzeń peryferyjnych. Nie instalujmy na nich również gier ani programów, które nie zostały wskazane przez pracodawcę.
  • Nie udostępniajmy komputera innym domownikom.

Służbowy sprzęt nie powinien służyć np. dzieciom do zabawy czy nauki zdalnej. Grozi to niecelowym usunięciem czy modyfikacją danych lub udostępnieniem informacji służbowej w sieci.

Zabezpieczmy dokumenty

Podczas pracy z domu starajmy się ograniczać pracę na dokumentach papierowych. Nie tylko z uwagi na ochronę środowiska, ale również na większe ryzyko utraty lub zniszczenia dokumentów czy ujawnienia ich osobom postronnym. Jeśli jednak praca z dokumentami papierowymi jest niezbędna, pamiętajmy o odpowiednim ich zabezpieczeniu:

  • Podobnie, jak w przypadku sprzętu, należy zwrócić szczególną uwagę na transport dokumentów do domu, aby nie uległy one zgubieniu czy kradzieży.
  • W domu przechowujmy dokumenty w osobnym bezpiecznym miejscu, gdyż są w większym stopniu niż w biurze narażone na zniszczenie. Nietrudno sobie wyobrazić szkody powstałe przez małe dziecięce rączki, zwierzęta domowe czy kuchenne eksperymenty.
  • Zabezpieczmy dokumenty też przed dostępem osób postronnych jak współlokatorzy, kurierzy czy usługodawcy, którzy w razie awarii mogą odwiedzić nasz dom. Zabezpieczmy też papier firmowy i pieczątki, które mogą zostać wykorzystane do fałszowania dokumentów.
  • Ograniczmy do minimum drukowanie informacji służbowych.
  • Pamiętajmy też, że dokumenty służbowe nie podlegają recyclingowi, a druga strona niepotrzebnych wydruków nie powinna służyć jako papier do rysowania czy odrabiania zadań domowych. Wszystkie wydruki należy zniszczyć w sposób uniemożliwiający ich odczytanie, można je też magazynować i zniszczyć po powrocie do pracy w służbowej niszczarce.

Chrońmy informacje służbowe

Oprócz zabezpieczenia sprzętu i dokumentów papierowych należy dbać również o bezpieczeństwo informacji cyfrowej, przekazywanej np. w formie ustnej. Doskonale wiemy o tym, aby nie rozmawiać o sprawach służbowych w miejscach publicznych, jak środki komunikacji, sklepy, kawiarnie i puby, aby nie zostały one zasłyszane przez osoby nieupoważnione.

Podczas pandemii może kusić nas praca na tarasie lub przy otwartych oknach. Zadbajmy wówczas o to, by nikt nie mógł nas wtedy celowo lub przypadkowo podsłuchać. Ponadto jeżeli nie możemy sobie pozwolić na pracę w osobnych pomieszczeniach i np. pracujemy zdalnie wraz z innymi domownikami w tym samym pokoju warto w miarę możliwości ustalić harmonogram spotkań i videokonferencji. Dzięki temu nie będziemy sobie nawzajem przeszkadzać i słyszeć rozmów służbowych drugiej osoby. Warto  również w takich przypadkach korzystać ze słuchawek.

A co z informacjami cyfrowymi?

  • Zalecamy blokowanie komputera, nawet gdy przerywamy pracę. Dzięki temu ani nasz pupil, ani nasza pociecha nie popsuje przypadkowo naszego raportu, nie wyśle omyłkowo e-maila oraz nie będzie reprezentować naszej osoby podczas videokonferencji.
  • Nie kopiujmy danych na zewnętrzne nośniki danych ani nie wysyłajmy ich na prywatne skrzynki pocztowe.
  • Komunikując się ze współpracownikami korzystajmy ze wskazanych przez pracodawców komunikatorów. Zazwyczaj social media i komunikatory, jak np. Facebook, Messenger, Twitter, Instagram i Whatsapp nie są takimi aplikacjami. Podczas wideokonferencji zwróćmy uwagę, jaki obraz jest przesyłany naszym rozmówcom - czy kamera nie obejmuje dokumentów leżących na biurku i czy udostępniamy właściwe pliki na ekranie komputera.

Zgłaszajmy incydenty bezpieczeństwa informacji

Zgodnie z definicją, incydentem bezpieczeństwa informacji jest pojedyncze zdarzenie, seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają poufności, integralności i dostępności informacji. W szczególności mogą to być: kradzież komputera lub dokumentów, udostępnienie lub ujawnienie osobom nieupoważnionym danych chronionych tajemnicą przedsiębiorstwa czy nieuprawniona modyfikacja danych.

Każdy incydent bezpieczeństwa informacji lub jego podejrzenie należy zgłaszać pracodawcy, używając dedykowanych systemów, aplikacji lub na wskazany adres e-mail.

Jeśli incydent dotyczy danych osobowych należy ponadto skontaktować się z Inspektorem Danych Osobowych w firmie.

Jak zwiększyć nasze bezpieczeństwo zarówno podczas pracy zdalnej, jak i w życiu prywatnym:

  • Zabezpiecz swoją sieć WiFi – Twoje hasło do sieci WiFi powinno mieć minimum 12 znaków, najlepiej jeśli będzie to kilka wyrazów lub zdanie.
  • Zwiększ bezpieczeństwo routera – zmień hasło do panelu zarządzania urządzeniem – pozostawienie domyślnych danych uwierzytelniających (bardzo często jest to login admin i hasło admin) nie jest dobrym pomysłem. W routerze warto również wyłączyć (jeśli to możliwe) opcję WPS, UPnP oraz widoczność panelu administracyjnego z poziomu Internetu oraz włączyć izolację klientów sieci bezprzewodowej.
  • Do pracy używaj dostępu do Internetu z urządzenia mobilnego – jeśli jest taka możliwość, podczas pracy zdalnej używaj sieci WiFi udostępnianej przez swój telefon służbowy. Opcja ta nazywa się najczęściej „Hotspot osobisty” lub „Router WiFi”.
  • Korzystaj z managera haseł – idealnie byłoby gdybyśmy do każdego serwisu mieli inne hasło. Zapamiętanie tak dużej porcji informacji może być trudne dlatego powstała alternatywa w postaci managera haseł. Jest to o wiele bezpieczniejsze rozwiązanie od zapisywania ich w notesie lub w pliku txt czy tabeli arkusza kalkulacyjnego na komputerze. Dzięki temu będziemy  pamiętać tylko 3 hasła: do komputera, do managera haseł i do poczty e-mail.
  • Włącz wieloskładnikowe uwierzytelnianie – pomoże to zabezpieczyć Twoje konto, wymuszając do zalogowania dodatkowej akcji – np. podania kodu z SMSa z dedykowanej aplikacji lub podłączenia klucza U2F. Dzięki temu nawet jeśli ktoś złamie Twoje hasło, nie będzie mógł się zalogować bez podania kodu, który będziesz wyświetlał się na Twoim telefonie lub podłączenia specjalnego urządzenia do portu USB. Uwierzytelnianie wieloskładnikowe warto włączyć zwłaszcza w poczcie e-mail, mediach społecznościowych oraz instytucjach finansowych i administracyjnych.
  • Pamiętaj, że przestępcy nigdy nie biorą wolnego – nie podejmuj decyzji pod wpływem emocji i chwili. Przestępcy liczą na to, że widząc ich atak socjotechniczny zachowamy się odruchowo. Dlatego powstrzymajmy naszą ciekawość i trzymajmy emocje na wodzy, widząc kolejny szokujący nagłówek wiadomości lub kolejnego SMSa z informacją o konieczności dopłaty za przesyłkę.

Joanna Jank – ekspert, Biuro Ryzyka w ERGO Hestii
Daniel Świątek – inżynier ds. oceny ryzyka w Biurze Hestia Corporate Solutions ERGO Hestii

Używasz starej wersji przeglądarki internetowej!

Używasz starej wersji przeglądarki internetowej, aby korzystać z wszystkich funkcjonalności strony pobierz nowszą wersję przeglądarki. Obsługujemy Internet Explorer 11, Firefox 25, Chrome 30, Edge 25, Safari i nowsze wersje tych przeglądarek

×