CyberPiona.pl

CyberPiona.pl

CyberPiona.pl jest źródłem bezstronnych, rzeczowych i łatwych do zrozumienia informacji na temat bezpieczeństwa w Internecie.

Operating as usual

30/08/2020
24/08/2020
21/08/2020

Po 25-ciu latach od premiery "Internet Explorer" znika z rynku.

19/08/2020

Dlaczego edukacja pracowników w zakresie cyber bezpieczeństwa zmniejszy ryzyko ataku na infrastrukturę firmy?

🔶 Obowiązkiem każdej firmy jest dbanie o informacje poufne gromadzone i chronione prawem a dotyczące swoich pracowników. Ale obowiązek chronienie danych osobowych nie spoczywa wyłącznie na pracodawcy. Element ten ma krytyczne znaczenie szczególnie w sytuacji, gdy nasze dane przetrzymywane są przez instytucje finansowe lub organy rządowe czy jednostki samorządu terytorialnego, które są jednymi z głównych celów cyberataków.

🔶 Należy pamiętać, iż mimo zaostrzania przepisów cybernetycznych, cyberbezpieczeństwo jest problematyczne, a zagrożenia stają się coraz bardziej złożone. W tym kontekście ponad 95% ataków cybernetycznych wynika z błędów ludzkich, a nie z przyczyn zewnętrznych. Co jeszcze bardziej niepokojące, odkrycie zagrożeń wewnętrznych może zająć wieczność, ponieważ są one trudne do wykrycia, a wiele z nich wynika z braku umiejętności informatycznych zatrudnionej kadry technicznej czy niedostosowanych do szybko zmieniających się realiów procedur bezpieczeństwa.

🔶 Najczęstszym przykładem wspomnianego błędu człowieka skutkującego naruszeniem infrastruktury cybernetycznej firmy jest pobranie złośliwego pliku, który uwolniłby oprogramowanie do firmowej sieci wewnętrznej. Mimo że atak ten jest bardzo prozaiczny i najmniej skomplikowany z gamy dostępnych , to globalnie 92% całości złośliwego oprogramowanie "przeniesionego" na elementy IT w 2019 roku firm była tego efektem.

🔶 Bez zwiększania świadomości wśród pracowników i zapewniania głębszego zrozumienia zagrożeń płynących z cyberprzestrzeni, stosowanie wyszukanego oprogramowania i sprzętu mającego zapewnić nam bezpieczeństwo jest całkowicie bezcelowe.

🔶 Nikt nie lubi nudnej pracy. Inwestując w umiejętności cybernetyczne swojego zespołu, pracodawca nie tylko pokazuje podwładnym, że są cenionym ogniwem, ale także dostrzega ich potrzeby w zakresie rozwoju zawodowego. Co więcej jest on w stanie te potrzeby sfinansować.

🔶 Ale pomyślmy o innym scenariuszu - ograniczaniu zagrożeń wewnętrznych poprzez rygorystyczne zasady bezpieczeństwa. Obejmuje to losowe kontrole wydanego sprzętu komputerowego czy telefonów komórkowych lub monitorowanie czynności wykonywanych przez pracowników online. Metoda stosowana i wymuszana poniekąd przez firmy audytorskie przed wydaniem stosownych certyfikatów. Mimo iż mająca sens chociażby z czysto praktycznych przyczyn to by być skuteczną musi być wpisana w kulturę pracy firmy. Inaczej może przynieść odwrotny skutek, zmniejszając satysfakcję i produktywność pracowników.

✅✅✅ Edukacja wydaję się zatem najlepszym rozwiązaniem, a monitoring techniczny należy traktować jako doskonałe narzędzie wspomagające, nie zaś główny sposób na walkę z zagrożeniami. Wielokrotnie udowodniono, że pracownicy, którzy czują uznanie pracodawców, są bardziej zaangażowani w sukces firmy, ciężej pracują i czują się bardziej spełnieni zawodowo. Inwestując w podnoszenie kwalifikacji i rozwój pracowników, w tym również w wiedzę z zakresu cyber bezpieczeństwa, pracodawca zapewnia im narzędzia niezbędne do opanowania szybko rozwijających się technologii, które ich otaczają.

🔶 Jeśli pracodawcy przekażą swoim pracownikom wiedzę oraz stworzą warunki do jej wykorzystania - tworząc jednocześnie przyjazne do pracy miejsce - Ci zrobią wiele, aby czynnie uczestniczyć w ochronie infrastruktury firmy.

17/08/2020

Dlaczego geolokalizacja stanowi rosnące zagrożenie dla prywatności... nie tylko w internecie?

➡️ Korzystanie z usług opartych na lokalizacji w aplikacjach takich jak Mapy Google może uczynić życie wygodniejszym, wiąże się jednocześnie z realnym ryzykiem płynącym z internetu. Aby się zabezpieczyć, musisz widzieć, jakiego rodzaju dane oparte na lokalizacji udostępniasz w internecie i w jaki sposób stanowią one zagrożenie dla prywatności w internecie.

🔶 Kto Cię śledzi i dlaczego?

➡️ Twoje aktywne urządzenia, tak stacjonarne jaki i mobilne zdradzają Twoją lokalizację 24 godziny na dobrę. Zakładając iż – jak większość użytkowników – nie korzystasz z aplikacji maskujących, Twój adres IP w istotny sposób zawęża Twoją lokalizację.

➡️ Gdy korzystasz z urządzenia mobilnego, takiego jak telefon komórkowy lub tablet, dodatkowo możesz być śledzony poprzez dane płynące z z GPS i nadajników sygnału telefonii komórkowej, sygnałów Wi-Fi i sygnałów nawigacyjnych Bluetooth.

➡️ Wiele aplikacji, z których korzystasz (i firm za nimi stojących), nie powstrzymuje się od możliwości śledzenia swoich użytkowników. W rzeczywistości ponad 1000 aplikacji, w tym Google Maps, Uber, MapMyRun czy Facebook, korzysta z takiej możliwości. Niektóre z nich nadal śledzi swoich użytkowników, mimo iż mają oni wyłączone lokalizatory w ustawieniach aplikacji. Przykładem może być Facebook, który korzystana z Twojego adresu IP, dzięki czemu może kierować ukierunkowane reklamy.

➡️ Śledzenie lokalizacji poszczególnych osób to nie tylko domena wielkich firm czy wszelakich służb. Również osoby fizyczne mogą Cię lokalizować chociażby za pomocą metadanych dołączonych do zdjęć udostępnianych online. Dane te obejmują współrzędne GPS, które większość telefonów komórkowych i cyfrowych aparatów fotograficznych automatycznie umieszcza lub geotaguje na każdym robionym zdjęciu. Te informacje określają, gdzie byłeś, kiedy robiłeś zdjęcie i podróżują ze zdjęciami, kiedy publikujesz je w Internecie.
Ludzie również ręcznie dodają geotagi do swoich zdjęć w aplikacjach takich jak Instagram, aby ułatwić ich wyszukiwanie.

➡️ Włączając usługi śledzenia lokalizacji w telefonie lub w aplikacji, pozwalasz dziesiątkom firm zbierających dane zbierać szczegółowe dane geolokalizacyjne o Tobie, które następnie sprzedają reklamodawcom. Chociaż informacje są anonimowe, mogą ujawniać Twoje ruchy w czasie rzeczywistym z niepokojącą dokładnością sięgającą kilku metrów!

🔶Jakie informacje ujawnia geolokalizacja?

Przeglądając dane o Twojej lokalizacji, każdy może odkryć następujące informacje:

✅ Gdzie śpisz, a więc gdzie mieszkasz
✅ Twój poziom dochodów na podstawie miejsca zamieszkania
✅ Gdzie pracujesz i jaką pracę wykonujesz
✅ Miejsca, które często odwiedzasz
✅ Trasa, którą wybierasz do pracy
✅ Kiedy spędzasz wakacje i gdzie się zatrzymujesz

➡️ Ponieważ tego rodzaju dane dają firmom marketingowym taki mikroskopijny wgląd w zachowania konsumentów, wiele firm jest gotowych zapłacić za olbrzymie pieniądze.

🔶 W jaki sposób włamywacze i prześladowcy mogą wykorzystać geotracking do namierzania Ciebie?

➡️ Oprócz tego, że jesteś celem reklam, geolokalizacja może narazić Cię na realne, fizyczne zagrożenia. Godnym uwagi przykładem jest sytuacja, gdy Strata, aplikacja do śledzenia aktywności opublikowała mapę cieplną swoich użytkowników z zaznaczonymi trasami po jakich poruszali się podczas wykonywania ćwiczeń fizycznej.
Przy okazji mapa cieplna ujawniła również miejsce pobytu amerykańskich żołnierzy ćwiczących w tajnych bazach na Bliskim Wschodzie, narażając ich tym samym na realne zagrożenie.

➡️ Ale nawet jeśli nie jesteś żołnierzem elitarnych jednostek, śledzenie lokalizacji może uczynić Cię bardziej podatnym na ataki. W dzisiejszych czasach wszyscy chodzimy z urządzeniami w kieszeniach, torebkach lub plecakach. I chociaż ich nie dotykamy, zapisują gdzie i kiedy podróżujemy.

Porównując mapę aktywności z informacjami uzyskanymi z prostego wyszukiwania w Google, potencjalni przestępcy mogą uzyskać dostęp do bogactwa danych o każdym elemencie Twojego codziennego życia.

➡️ Dostępność tego rodzaju informacji naraża Cię na niebezpieczeństwo. Na przykład, robiąc zakupy w tym samych sklepach i podobnej porze co sobotę, ktoś, kto śledzi twoje ruchy, będzie w stanie określić najlepszy czas i miejsce, aby się z tobą skonfrontować. Co ważne, informuje również złodziei, gdzie NIE BĘDZIESZ w każdą sobotę rano, podpowiadając najlepszy moment, aby cię okraść.

🔶 Co możesz zrobić, aby zapewnić bezpieczeństwo danych płynących z lokalizacji?

➡️ Oprócz wyłączenia śledzenia lokalizacji na wszystkich urządzeniach i aplikacjach, należy postępować zgodnie z poniższymi wskazówkami gdy jesteś online, aby zmniejszyć szanse na ujawnienie swojej lokalizacji:

❌ Zachowaj względnie małą listę znajomych: podczas korzystania z dowolnej aplikacji udostępniającej dane lokalizacyjne upewnij się, że tylko osoby, którym naprawdę ufasz, mają dostęp do Twoich informacji. Często weryfikuj listę znajomych i spraw, aby zawierała tylko aktywnych użytkowników, których znasz w “prawdziwym” życiu.

❌ Upewnij się, że Twój profil korzysta z maksymalnych ustawień bezpieczeństwa witryny. Wścibskie osoby nie powinny po prostu mieć możliwości wyszukania w Google dokładnego miejsca pobytu.

❌ Unikaj udostępniania informacji o harmonogramie swoich prac, takich jak dojazdy czy publikowanie planu dnia na forum publicznym. Nawet proste aktualizacje, takie jak „Jadę do pracy”, publikowane regularnie, dostarczają wielu informacji.

❌ Nigdy nie publikuj informacji o przedłużonych nieobecnościach: nie udostępniaj szczegółów swojej podróży przed powrotem i unikaj korzystania z usług lokalizacyjnych poza miastem. Aktualizacje statusu, takie jak „Urlop czas zacząć”, mówią złodziejom, że mogą nie spieszyć się ze “sprzątaniem” Twojego domu.

❌ Usuń swoje dane osobowe z Internetu: Twój adres zamieszkania jest kluczową informacją dla potencjalnych włamywaczy.

05/08/2020

Pobieranie informacji z Internetu.

Pobieranie materiałów z Internetu to świetny sposób na cieszenie się ulubioną muzyką, filmami czy grami. To także bardzo wygodnym sposobem uzyskiwania informacji w postaci dokumentów Word, plików PDF, zdjęć i innych plików. Ponadto większość oprogramowania i jego okresowe aktualizacje są również pobierane z Internetu.

Pobieranie nie powinno być mylone z przesyłaniem strumieniowym, czyli tam, gdzie wideo, muzyka lub dźwięk są przesyłane przez Internet do oglądania lub słuchania w czasie rzeczywistym, zamiast być zapisywane na komputerze. Przykładem takiego rozwiązania może być Ipla czy kanał Netflix, który pozwala nam cieszyć się dobrym filmem, nie umożliwia jednak jego dowolnego kopiowania i rozpowszechniania.

Pobieranie materiałów z internetu niesie za sobą szereg zagrożeń, o czym musimy pamiętać za każdym razem, gdy decydujemy się na ściągnięcie określonych treści.

Zagrożenia płynące z pobierania materiałów:

❇️ Nieumyślnie zezwalamy na instalację wirusów na komputerze - zarówno pobieranych z witryn internetowych, jak i programów do udostępniania plików peer-to-peer.
❇️ Nieumyślnie instalujemy adware, które umożliwia irytujące wyskakujące reklamy.
❇️ Instalowanie oprogramowania szpiegującego, które umożliwia przestępcom uzyskiwanie prywatnych informacji. Mogą one być później wykorzystane przy procederze kradzieży tożsamości.
❇️ Naruszamy naszą zapory sieciową, która niejednokrotnie musi być wyłączona przed pobraniem materiałów, szczególnie podczas korzystania z programów do udostępniania plików peer-to-peer.
⛔️Naruszenie praw autorskich. Chociaż pobieranie darmowej muzyki, filmów i oprogramowania może być kuszące to „ściąganie” materiałów objętych prawem autorskim jest nielegalne.

Zalecenia

✅ Przed rozpoczęciem pobierania upewnij się, że masz skuteczne i zaktualizowane oprogramowanie antywirusowe / antyszpiegowskie i aktywną zaporę sieciową.
✅ Pliki wykonywalne (.exe) pobieraj z najwyższą ostrożnością. Są to pliki używane przez programy do uruchamiania na komputerze. Są one jednak powszechnie stosowane w wirusach.
✅ Do uzyskiwania programów używaj zaufanych witryn do pobierania, a nie systemów peer-to-peer.
✅ Uważaj na pobieranie czegokolwiek, ponieważ ludzie mogą nazywać swoje pliki dowolnie. Coś, co wydaje się być klipem z nowego filmu science fiction, może w rzeczywistości być filmem p***o lub plikiem zainfekowanym wirusem.
✅ Pobieraj muzykę tylko z płatnych witryn, takich jak iTunes lub strony zaufanych sprzedawców.
✅ Instaluj aplikacje do udostępniania plików tylko wtedy, gdy masz skuteczne i zaktualizowane oprogramowanie antywirusowe / antyspyware i zaporę ogniową.
✅ Pobieraj oprogramowanie tylko ze stron producentów lub autoryzowanych sprzedawców.
🟠 Jeśli sam udostępniasz materiały nie pozwól, aby ludzie przeglądali twoje pliki bezpośrednio, i ostrożnie skonfiguruj program, abyś udostępniał tylko te pliki, które chcesz, a resztę plików i dane osobowe pozostały prywatne. Pozwala to uniknąć udostępniania wiadomości e-mail, zdjęć, informacji finansowych lub plików roboczych kompletnym nieznajomym.
⛔️ Nie udostępniaj materiałów chronionych prawem autorskim.

29/07/2020

Kontrola rodzicielska - jak sprawić by Twoje dziecko mądrze i bezpiecznie korzystało z internetu.

Oprócz edukowania dziecka i bezpiecznego prowadzenia go przez cyfrowy świat, Ty jako rodzic możesz dodatkowo skorzystać z pomocy jaką niesie za sobą oprogramowanie systemu operacyjnego, bądź dodatkowych aplikacji, mających zmniejszyć ryzyko zetknięcia się dziecka z nieodpowiednimi treściami w internecie.

Pamiętaj jednak, że narzędzia kontroli rodzicielskiej służą jedynie pomocą i nie są remedium na Twoja bezczynność. Budowanie właściwych relacji z dzieckiem, wychowywanie i pokazywanie zagrożeń to nadal Twój jako rodzica obowiązek.

Kontroli rodzicielskiej nie należy również traktować jako opiekunki pod naszą nieobecność. Nadal musisz wiedzieć, co robi Twoje dziecko w Internecie.

Oto różne rodzaje środków ostrożności, które możesz zastosować:

➡️ Kontrola rodzicielska na komputerze lub urządzeniu mobilnym

❇️ Niemal wszystkie komputery i urządzenia mobilne dostępne na rynku są standardowo wyposażone w narzędzia, które Tobie jako rodzicowi pozwolą na filtrowania treści, do których nie chcesz, aby Twoje dziecko (lub w tym przypadku jakikolwiek inny właściciel konta) miało dostęp. Do tych narzędzi można łatwo uzyskać dostęp za pomocą panelu sterowania komputera lub ekranu ustawień. W razie wątpliwości, jak uzyskać do nich dostęp i skonfigurować, skorzystaj z pomocy online lub zapytaj sprzedawcę.

❇️ Istnieje wiele rodzajów oprogramowania do kontroli rodzicielskiej, dostępnego zarówno dla komputerów, jak i urządzeń mobilnych. Zazwyczaj pozwalają one odfiltrować nieodpowiednie treści, takie jak materiały p***ograficzne i przemoc, zmniejszając ryzyko, że Twoje dziecko zostanie na nie narażone. Jeszcze inne pozwalają na ustawienie różnych profili dla dzieci w różnym wieku, które będą miały dostęp do komputera lub innego urządzenia.

❇️ Niektóre programy kontroli rodzicielskiej pozwalają monitorować aktywność Twojego dziecka w Internecie, dzięki czemu możesz zobaczyć, które strony internetowe przeglądały i jak długo były online. Niektóre nawet dostarczają raporty na temat aktywności Twojego dziecka w sieciach społecznościowych.

❇️ Niektóre programy umożliwiają ustalanie limitów czasowych aktywności Twojego dziecka w Internecie - ograniczając dostęp do Internetu lub niektórych stron internetowych o określonych porach dnia. Możesz więc zablokować portale społecznościowe lub witryny rozrywkowe, gdy twoje dziecko ma odrabiać lekcje.

❇️ Możesz uzyskać dostęp do oprogramowania za pomocą loginu w dowolnym momencie, aby zmodyfikować filtry i zablokowane lub odblokowane witryny, gdy Twoje dziecko dorasta lub wykazuje się roztropnością. Podobnie jak w przypadku wszystkich programów, bardzo ważne jest, aby wykonywać aktualizacje po otrzymaniu powiadomienia.

❇️ Skontaktuj się z dostawcą usług internetowych (ISP) i zapytaj czy zapewnia on oprogramowanie do kontroli rodzicielskiej.

➡️ Programy do kontroli rodzicielskiej dostępne na polskim rynku:

🟠 Opiekun dziecka w internecie – jeden z najlepszych polskich programów mających na celu skutecznie chronić dziecko przed szkodliwymi treściami obecnymi w internecie, a jednocześnie pozwalać mu na poznawanie go bez obaw. Blokuje szkodliwe strony internetowe, strony z czatami internetowymi oraz pobieranie niebezpiecznych plików (np. takich, które mogą być zawirusowane). Ponadto opracowuje raport z adresami odwiedzanych stron. Program kosztuje 49 zł za rok i jest prosty w obsłudze.

🟠 Beniamin – kolejny świetny program, który blokuje dostęp do stron zawierających szkodliwe dla dziecka treści, ogranicza czasowo dostęp do Internetu, a także nie pozwala na korzystanie z komunikatorów czy pobieranie zagrożonych wirusem plików. Ponadto, aby go wyłączyć lub odinstalować, należy wpisać hasło, które zostało wprowadzone podczas instalowania programu. Każda próba odinstalowania Beniamina bez znajomości hasła kończy się zablokowaniem dostępu do wszystkich stron oraz wyświetleniem komunikatu o naruszeniu integralności programu.

27/07/2020

Kiedy chcesz „zrzucić” poranny trening, ale nie mozesz bo... Garmin zostal zhakowany i nie ma pomyslu by go przywrocic do zycia 🥴

26/07/2020

5️⃣ popularnych taktyk inżynierii społecznej i sposoby jej identyfikacji

Najbardziej znaczącym i niedocenianym zagrożeniem dla bezpieczeństwa danych jest zjawisko zwane „inżynierią społeczną”. Ta manipulacja ludzkimi emocjami zwiększyła dostęp cyberprzestępców do wrażliwych danych.

Według Microsoftu w rzeczywistości dwanaście osób co sekundę pada ofiarą cyberprzestępczości. Jedno na trzy udokumentowane naruszenia obejmuje ataki socjotechniczne, zgodnie z raportem Verizon DBIR z 2019 roku. Znajomość taktyk inżynierii społecznej najczęściej stosowanych przez przestępców może pomóc zmniejszyć to ryzyko i zabezpieczyć ich cel, czyli człowieka.

Chociaż najczęstsze formy technik inżynierii społecznej skupiają się na "wejściu do systemu" poprzez e-maili, niektórzy atakujący stosują bardziej wyrafinowane taktyki. Cyberprzestępcy rutynowo kontaktują się z pracownikami firm przez telefon, media społecznościowe i komunikatory, aby oszukać swoje ofiary i doprowadzić do ujawnienia informacji, które umożliwią im dostęp do sieci wewnętrznej.

W tym artykule wyróżniono 5️⃣ najpopularniejszych taktyk inżynierii społecznej, dzięki czemu możesz zapoznać się z zagrożeniem i chronić swoją organizację przed ryzykiem.

1️⃣ Phishing

W biurze jest pora obiadowa, a Ty w końcu masz kilka minut na nadrobienie zaległości w e-mailach. Trzeba się jednak spieszyć, bo o 13:00 masz spotkanie. Pojawiają się zwykłe e-maile - członkowie zespołu wewnętrznego, prośby, dokumenty potrzebne do dalszego rozwoju nowego projektu. Zobaczysz powiadomienie z banku o treści „Pilne: zaloguj się na konto”. Chcesz rozwiązać problem, więc klikasz wiadomość e-mail i kierujesz ją do portalu bankowego. Logo Twojego banku jest wyświetlane tuż obok loginu, więc zakładasz, że jest to legalny portal.

Wprowadzasz swoje poświadczenia i pojawia się ekran z komunikatem „Problem został rozwiązany”. Problem rozwiązany, prawda? NIE !!!. To jest sfałszowany portal, a Twoje dane logowania do konta bankowego pochodzą z nieznanego źródła. Jednak biorąc pod uwagę autentyczność portalu jesteś nieświadomy tego, co się właśnie stało. Nic się nie pojawia, dopóki nie pojawią się nieautoryzowane obciążenia na wyciągu z karty kredytowej. Ta taktyka socjotechniczna polegająca na używaniu fałszywych wiadomości e-mail w celu uzyskania dostępu do danych osobowych nazywa się phishingiem i zostałeś złapany na haczyk, a był nim linku dołączonem do e-maila.

2️⃣ Baiting (Przynęta)

Wychodzisz z biura po długim dniu. Zbliżając się do samochodu, zauważasz na ziemi nośnik pamięci USB. Zabierasz do domu i podłączasz do komputera - jak inaczej masz się dowiedzieć, do kogo należy? Niestety Twój komputer został właśnie zainfekowany złośliwym oprogramowaniem. Ta taktyka nazywa się przynętą (baiting) i zakłada zainfekowanie urządzeń komputerowych złośliwym oprogramowaniem, które uszkadza Twój system.
Cyberprzestępcy często wykorzystują tę taktykę, aby ominąć środki bezpieczeństwa i infiltrować bezpieczne sieci, zwłaszcza gdy przechowują one cenne dane.

3️⃣ Spear phishing (oszustwo wybranych osób z zarządu firmy, często CEO)

Jesteś dyrektorem finansowym swojej firmy. Otrzymasz e-maila od swojego szefa, dyrektora generalnego, z tematem: „Przelew bankowy o wartości 10 000 USD na konto XX”. Nie jest to całkowicie odbiegające od normy - w danym tygodniu są dziesiątki transferów i nie chcesz denerwować szefa organizacji zadawaniem pytań, więc dokonujesz przelewu. Okazuje się, że e-mail prezesa został sfałszowany, a pieniądze trafiły na nieznane konto bankowe.
Właśnie naraziłeś firmę na stratę 10 000 dolarów i to zaledwie w ciągu kilku minut. Ta taktyka nie ogranicza się do dyrektorów generalnych, ale może dotyczyć każdego pracownika na stanowisku władzy. Możesz zidentyfikować tę taktykę, patrząc uważnie na dany adres e-mail; prawie zawsze będzie przynajmniej trochę odbiegać od rzeczywistości. Jeśli adres e-mail Twojego dyrektora generalnego to [email protected], fałszerstwo może brzmieć: [email protected].

4️⃣ Man in the middle attack (Człowiek pośrodku)

Jest godzina czternasta w biurze; Boli cię głowa, a raport należy złożyć pod koniec dnia. Otwierasz witrynę, która zawiera informacje i porady zdrowotne. Pojawi się komunikat z prośbą o podanie danych osobowych. Twoja głowa wciąż pulsuje, więc niechętnie wprowadzasz swoje dane. Okno czatu zamyka się - i niewiele wiedzieliście, że przedstawiciel był naprawdę atakującym socjotechniką typu man-in-the-middle.
Ataki typu man-in-the-middle obejmują przechwytywanie komunikacji między dwoma systemami. Ta taktyka nie ogranicza się do czatów - może przybierać formę ataków e-mailowych, Wi-Fi, a nawet spoofingu IP

5️⃣ Tailgating

Dobrze ubrany mężczyzna niosący stos pudełek idzie do drzwi Twojego biura, kiedy wychodzisz, a twoje ręce są puste. Oczywiście przytrzymujesz otwarte drzwi, a on odpowiada uśmiechem i skinieniem głowy.
Nic niezwykłego, prawda? NIE !!! - człowiek, któremu otworzyłeś drzwi, nie jest pracownikiem firmy, a Ty właśnie pomogłeś mu ominąć systemy zabezpieczeń ochrony fizycznej i dostać się do siedziby firmy.
Dzięki temu jest w miejscu, w którym znajdzie komputer do logowania się i uzyskiwania cennych informacji. Stałeś się ofiarą tailgating'u - gdy osoba z zewnątrz udaje insidera, uzyskując dostęp do systemów informatycznych i poufnych danych.

🔶 Jak zapobiegać powodowaniu szkód przez taktyki inżynierii społecznej?

Istnieje wiele sposobów, w jakie organizacje takie jak Twoja mogą złagodzić inżynierię społeczną.

✅ Po pierwsze, analiza behawioralna może pomóc Ci rozpoznać, którzy pracownicy stanowią największe zagrożenie dla firmy.
Te zagrożenia wewnętrzne można sklasyfikować jako złośliwych insiderów lub nieostrożnych użytkowników, którzy są podatni na takie taktyki inżynierii społecznej. Po zidentyfikowaniu mogą podlegać zarządzaniu, szkoleniu i w razie potrzeby... również sankcjom.
✅ Proaktywne monitorowanie aplikacji w chmurze może również pomóc w wykryciu, kiedy użytkownik mógł paść ofiarą inżynierii społecznej. Jeśli określony przedstawiciel handlowy eksportuje co tydzień tylko około 5 gb danych i nagle eksportuje 50 000 gb w ciągu jednego dnia, może to oznaczać, że jego dane uwierzytelniające zostały naruszone.
✅ Ponieważ tego typu ataki wykorzystują naturalną psychologię człowieka, szkolenie jest najlepszym sposobem na podniesienie świadomości i zmianę zachowań użytkowników. Szkolenie może pomóc użytkownikom w lepszym wykrywaniu potencjalnych ataków z zewnątrz i unikaniu ich, zamiast klikania lub odpowiadania, co otwiera firmę na naruszenie bezpieczeństwa.
✅ Konieczne może być również ponowne szkolenie i nowe podejścia, takie jak zasady i procedury. Łącząc strategię szkoleniową z informacjami uzyskanymi z monitorowania aktywności użytkowników i innych aplikacjach chmurowych, organizacje mogą przejść w kierunku kultury, w której protokoły bezpieczeństwa i prywatności płynnie łączą się z codziennymi zadaniami.
A ponieważ taktyki inżynierii społecznej wciąż ewoluują, możesz mieć pewność, że Twoja organizacja będzie wyprzedzać konkurencję oraz cyberprzestępców, którzy chcą ukraść Twój najcenniejszy zasób - Twoje dane.

25/07/2020

Aukcje internetowe

Internetowe serwisy aukcyjne to bardzo popularny sposób kupowania i sprzedawania zarówno nowych, jak i używanych towarów. Istnieje jednak ryzyko związane z korzystaniem z witryn aukcyjnych - niektóre z nich różnią się od zwykłych zakupów online. Dlatego musisz uważać na to, co kupujesz i od kogo, komu sprzedajesz oraz w jaki sposób płacisz za zakupy lub otrzymujesz zapłatę za sprzedawane przedmioty.

Zagrożenia

🔷 Fałszywe sklepy / strony internetowe i oferty e-mailowe dotyczące towarów i usług, które nie istnieją.
🔷 Otrzymywanie towarów niezgodnych z opisem reklamodawcy.
🔷 Nieotrzymanie towaru, za który zapłaciłeś.
🔷 Brak zapłaty za wysłany towar.
🔷 Przekonanie się do wczesnej sprzedaży lub po niskiej cenie. Najlepsze oferty zwykle przychodzą pod koniec okresu aukcji.
🔷 Kradzież tożsamości aukcyjnej.
🔷 Kradzież danych osobowych / finansowych i ich nieuczciwe wykorzystanie.
🔷 E-maile phishingowe, wyglądające na pochodzące z aukcji lub witryn płatności internetowych, ale w rzeczywistości pochodzące od przestępców próbujących zwabić Cię do fałszywej witryny w celu uzyskania danych osobowych, takich jak dane logowania do konta płatności online.

Korzystaj z aukcji internetowych w bezpieczny sposób.

Jeśli jesteś "nowy" i nie masz doświadczenia w handlu na aukcjach internetowych, poświęć trochę czasu na przeczytanie przewodników online dostarczonych przez firmę aukcyjną, aby zrozumieć, jak działa system i jakie są zasady.

🔶 Dowiedz się, co może zrobić firma aukcyjna (a czego nie zrobi), jeśli coś pójdzie nie tak.
🔶 Użyj nazwy logowania do serwisu aukcyjnego innego niż Twój adres e-mail.
🔶 Aktualizuj swoje dane kontaktowe, w tym adres e-mail.
🔶 Zajrzyj do sprzedawcy lub kupującego - czy jest to osoba prywatna, czy sklep internetowy. Spójrz na ich profil, ocenę i historię transakcji. Nowi sprzedawcy i kupujący mogą nie mieć bardzo obszernej historii, więc zachowaj ostrożność.
🔶 Jeśli sprzedawca jest firmą, sprawdź jej rzeczywiste istnienie. Jeśli podadzą numer telefonu lub adres, zadzwoń.
🔶 Sprawdź politykę prywatności i zwrotów sklepów internetowych.
🔶 Jasno określ koszty wysyłki i dostawy (na przykład, czy są one uwzględnione, a jeśli nie, czy są jasno określone).
🔶 Należy jasno określić metody płatności i określić, czy którekolwiek z nich wiążą się z dodatkową opłatą.
🔶 Podaj tylko minimalne niezbędne dane osobowe sprzedawcom i kupującym, takie jak adres do celów odbioru lub wysyłki.
🔶 Przed potwierdzeniem płatności sprawdź dokładnie wszystkie szczegóły zakupu.
🔶 Sprawdź, czy powiadomienia o komunikacji między Tobą a kupującym lub sprzedającym nie są blokowane przez filtry antyspamowe, regularnie sprawdzając folder ze spamem.
🔶 Nie daj się nabrać na prośby o wcześniejsze zamknięcie aukcji.
🔶 Zawsze upewnij się, że otrzymałeś płatność przed wysłaniem towaru.
🔶 Dokonując płatności na rzecz firmy lub osoby fizycznej, nigdy nie przesyłaj pieniędzy bezpośrednio na ich konto bankowe, ale korzystaj z bezpiecznej witryny płatności, takiej jak PayPal, gdzie pieniądze są przesyłane między dwoma rachunkami elektronicznymi.
🔶 W witrynach, takich jak Facebook Marketplace, innych platformach do kupowania i sprzedawania w mediach społecznościowych oraz forach, możesz
napotkać prośby o płatność, które nie są gwarantowane, co oznacza, że ​​możesz stracić pieniądze:
🟥 Pamiętaj, że jeśli sprzedający poprosi o płatność przez PayPal Friends & Family, będzie to miało na celu uniknięcie opłat PayPal, ale odmówi Ci jakiejkolwiek ochrony płatności, którą PayPal mógłby zapewnić w innym przypadku.
🔶 Używaj silnych haseł. Nigdy nikomu nie ujawniaj haseł do aukcji ani do płatności online.
🔶 Jeśli uważasz, że ktoś włamał się na Twoje konto aukcyjne lub płatnicze online, natychmiast podejmij działania. Sprawdź stronę pomocy online witryny.
🔶 Zachowaj ostrożność podczas klikania linków zawartych w niechcianych wiadomościach e-mail. Na przykład lepiej jest wprowadzić adres strony internetowej banku bezpośrednio w przeglądarce lub skorzystać z zakładki utworzonej przy użyciu poprawnego adresu.
🔶 Jeśli płacisz kartą płatniczą, pamiętaj, że karta kredytowa zapewnia większą ochronę niż inne metody w zakresie oszustw, gwarancji i niedostarczenia.
🟥 Płacąc za pomocą usługi płatności online lub kartą płatniczą, upewnij się, że łącze jest bezpieczne na dwa sposoby:
1️⃣ W ramce okna przeglądarki powinien znajdować się symbol kłódki, który pojawia się przy próbie logowania lub rejestracji.
2️⃣ Upewnij się, że kłódki nie ma na samej stronie ... prawdopodobnie będzie to wskazywać na fałszywą witrynę.
3️⃣ Adres internetowy powinien zaczynać się od „https: //”. Litera „s” oznacza „bezpieczny”.

Z powyższego wynika jedynie, że łącze między Tobą a właścicielem witryny jest bezpieczne, a nie, że sama witryna jest autentyczna. Musisz to zrobić, dokładnie sprawdzając adres pod kątem drobnych błędów ortograficznych, dodatkowych słów i znaków oraz innych nieprawidłowości.

🔶 Zawsze wylogowuj się z witryn, na których się logowałeś lub zarejestrowałeś dane. Samo zamknięcie przeglądarki nie wystarczy, aby zapewnić prywatność.
🔶 Zachowaj paragony.
🔶 Sprawdź dokładnie wyciągi z karty kredytowej i wyciągów bankowych po zakupach, aby upewnić się, że została pobrana prawidłowa kwota, a także że nie doszło do oszustwa w wyniku transakcji.
🔶 Zanim połączysz się z Internetem, upewnij się, że masz skuteczne i aktualne oprogramowanie antywirusowe / antyspyware oraz zaporę sieciową.

🔷 Więcej informacji na temat niebezpieczeństw i sposobów ich uniknięcia w odniesieniu do zakupów, płatności i bankowości elektronicznej znajdziesz na naszej stronie internetowej.

https://cyberpiona.pl/zakupy-p%C5%82atno%C5%9Bci-i-bankowo%C5%9B%C4%87-w-sieci

25/07/2020

Ochrona prywatności z VPN 🔐

Wszystkie wirtualne sieci prywatne wykonują tę samą podstawową usługę:
✅ zapewniają kompleksowe szyfrowanie danych przesyłanych między użytkownikiem a Internetem. To szyfrowanie nie powstrzymuje przechwytywania danych a oznacza jedynie, że osoba czytająca treść twoich danych napotyka niezrozumiały tekst.

🟡 Czy istnieje bezpieczny szyfr?

Teoretycznie tak, chociaż ucząc się na przykładzie najsłynniejszego szyfru Enigma, snucie "pewników" kończy się źle dla jego wyznawców. To czy szyfr zostanie złamany nie jest prawidłowo postawionym pytaniem. Poprawnie należało by spytać kiedy.

Na szczęście nie wszystkie szyfry opłaca się łamać, bowiem moc obliczeniowa wymagana do złamania szyfrowania kosztowałaby znacznie więcej niż możliwe zyski i mogłaby zająć nieuzasadniony długi czas. Dotyczy to oczywiście zwykłych użytkowników internetu takich jak Ty czy ja, kiedy to informacje zgromadzone na naszych urządzeniach mają czy też zyski pozyskane za ich pośrednictwem stanowią znikomą wartość dla atakującego.

Inaczej sprawy się maja w przypadku szpiegostwa przemysłowego czy wojskowego, gdzie wartość pozyskanych danych przeliczana jest w miliardach dolarów. W takiej sytuacji znajdzie się odpowiednia moc obliczeniowa i środki, by ją wspomagać w razie konieczności.

🔶 Wirtualne sieci prywatne (VPN) wykorzystywane są tak w firmach, jak i przez zwykłych użytkowników. Oprócz szyfrowania danych co jest ich głównym zadaniem, potrafią z powodzeniem maskować naszą lokalizację co przez długi czas wykorzystywane było do oglądania na Netflix'ie treści jedynie dostępnych na określonych rynkach.

🔶 VPNy firmowe
Tradycyjnie VPN wykorzystywany jest w pracy zdalnej tworząc zaszyfrowany „tunel” między komputerem pracownika a siecią korporacyjną. Jest to bezpieczne połączenie między zaufanymi komputerami należącymi do tej samej organizacji.

🔶 Sieci VPN dla konsumentów
Podczas gdy w powyższym przykładzie bezpieczne połączenie odbywa się między zaufanymi komputerami, tak tutaj VPN to komputer klienta na jednym końcu i serwery dostawcy VPN na drugim. Dlatego też, gdy dostawcy ci reklamują „bezpieczną łączność typu end-to-end”, dotyczy to tylko ich siedzib. Oznacza to, że korzystając z tej formy VPN, pokładasz duże zaufanie w uczciwość dostawcy tej usługi.

W takim przypadku Twój dostawca VPN potencjalnie może zobaczyć wszystko co robisz i gromadzić informację na temat twoich ruchów w sieci. Nie dotyczy to bezpiecznej komunikacji, na przykład strony internetowej z literą „s” na końcu adresu HTTP i towarzyszącej 🔒

Gdybyś na przykład zalogował się do bankowości internetowej nie zobaczyłby żadnych szczegółów, takich jak nazwy użytkowników, hasła lub szczegóły kont. Będzie jednak mógł zobaczyć, z którym bankiem się komunikujesz, uzyskać listę każdej odwiedzanej witryny, każdego komputera, z którym się łączysz czy sprawdzić kto dostarcza Ci usługę poczty elektronicznej.

‼️ W związku z tym, korzystając z tego typu sieci VPN, ufasz dostawcy, że nie wykorzysta twoich danych w sposób, który postrzegasz jako niedopuszczalny. ‼️

Należy w tym miejscu zaznaczyć, iż providerzy usługi VPN zaprzeczają, iż takie praktyki mają miejsce, niemniej jednak należy pamietać, iż takie możliwości istnieją.

❤️ Prawdziwa zaleta płynąca z produktu VPN pojawia się w sytuacji, gdy klient chce skorzystać z darmowego internetu oferowanego przez hotspoty Wi-Fi w miejscach takich jak lotniska, hotele czy kawiarnie.
Minusem darmowego internetu jest brak szyfrowania co wiąże się z możliwością podsłuchiwania wszelkiej komunikacji. Skorzystanie z VPN nie zatrzyma przechwytywania, ale, jak wyżej, sprawi, że komunikacja będzie nieczytelna. W takim przypadku należy pamiętać, że nie eliminuje się ryzyka, po prostu przenosi je z lokalnego Wi-Fi na komputery dostawcy VPN.

Podsumowanie

✅ W przypadku VPN zapewnianego przez twoją organizację w celu uzyskania dostępu do ich sieci, kompleksowa komunikacja odbywa się między zaufanymi komputerami i jeśli jest odpowiednio skonfigurowana, powinna być uważana za bezpieczną.

✅ Pomijając kwestię ewentualnej możliwości gromadzenia danych o swoich odbiorcach, VPN dla klienta indywidualnego jest narzędziem wskazanym. Tworzy on dodatkową barierę ochronną przed wyciekiem danych z naszych urządzeń, zapewniając jednocześnie ochronę naszej prywatności.

🟡 Bez wątpienia narzędzie to powinno być jednym z pierwszych jakie znajdzie się na naszym komputerze oraz innych urządzeniach, które mają możliwość łączenia się z internetem.

➡️ Więcej informacji o ochronie swojego komputera znajdziesz na naszej stronie internetowej. Serdecznie zapraszamy 🙂

https://cyberpiona.pl/chro%C5%84-sw%C3%B3j-komputer1

Want your school to be the top-listed School/college?

Videos (show all)

Click
9 zasad bezpieczenstwa w internecie