29 marca 2022
5 najważniejszych zasad bezpiecznego logowania w sieci
Logowanie się do swoich kont czy profili dla wielu użytkowników internetu jest czynnością automatyczną – wpisanie loginu, hasła, kliknięcie “zaloguj”. Niestety, odruchowe wykonywanie tej czynności często wiąże się z zapominaniem, na ile pułapek i zagrożeń jesteśmy obecnie narażeni. Dbanie o bezpieczne logowanie w Internecie to podstawa ochrony Twoich firmowych zasobów przed cyberatakami. Warto zapoznać się z zestawem zasad bezpiecznego korzystania z sieci. Poznaj najczęstsze sposoby na wyłudzanie wrażliwych danych, by móc jak najlepiej chronić się przed hakerami!
Spis treści
- Jak oszuści mogą wyłudzać Twoje dane logowania?
- 5 zasad bezpiecznego logowania w sieci
- Jak skutecznie ochronić się przed phishingiem?
- Podsumowanie
Jak oszuści mogą wyłudzać Twoje dane logowania?
Obecnie istnieje bardzo dużo sposobów na wyłudzenie danych logowania, które umożliwiają hakerom włamywanie się na prywatne i firmowe konta innych użytkowników w Internecie. Niestety, ogromna ich część opiera się nie na używaniu zaawansowanego złośliwego oprogramowania, lecz na wykorzystaniu chwili nieuwagi ofiary – wówczas nawet najlepsze zabezpieczenia mogą okazać się bezradne. Jeśli zależy Ci na tym, by Twoje firmowe systemy i sieci były bezpieczne, pierwszym krokiem jest edukowanie siebie oraz swoich pracowników w zakresie najczęściej występujących cyberzagrożeń.
Jednym z najbardziej rozpowszechnionych rodzajów ataków, mającym na celu wyłudzić dane logowania użytkownika, jest phishing. Phishing polega na podszywaniu się przez oszusta pod konkretną osobę, grupę osób, platformę lub nawet instytucję w celu przeprowadzenia ataku. Ofiara, nie mając świadomości zagrożenia, może dobrowolnie dostarczyć hakerom swój login i hasło. Phishing jest szczególnie niebezpieczny dlatego, że do przeprowadzenia go nie jest potrzebna wiedza specjalistyczna, a jedynie podstawowa znajomość ogólnodostępnych narzędzi w Internecie.
Najczęściej stosowanym w phishingu kanałem komunikacji jest poczta elektroniczna. Często zawarty w mailu komunikat może mieć charakter ponaglający do podjęcia konkretnego działania, np. zalogowania się na swoje konto czy dokonania drobnej opłaty za pośrednictwem umieszczonego w treści wiadomości linka. Link najczęściej prowadzi do spreparowanej strony, mającej imitować np. stronę banku, urzędu czy mediów społecznościowych. Jeśli nieostrożny użytkownik spróbuje za jej pośrednictwem zalogować się na swoje konto, wówczas wpisane przez niego dane zostaną udostępnione hakerom odpowiedzialnym za atak. Konto, które nie posiada żadnych zabezpieczeń innych niż hasło, może zostać wówczas błyskawicznie przejęte.
Innymi wariantami phishingu w Internecie są vishing oraz smishing. Choć cel i sposób przeprowadzenia ataków są takie same, różnią się one od siebie kanałem komunikacji używanym przez oszustów: vishing dotyczy rozmów telefonicznych, a smishing wiadomości SMS. W przypadku vishingu i smishingu hakerzy często wspomagają się tzw. spoofingiem, czyli podszywaniem się pod nienależące do siebie numery telefonów np. za pomocą bramek sieciowych. Dzięki temu mogą udawać np. pracowników infolinii banku, policji, prokuratury czy firm kurierskich. Dlatego jeśli zależy Ci na bezpieczeństwie Twoich firmowych zasobów, pamiętaj o tym że niebezpieczeństwa mogą czyhać na Ciebie nie tylko w wiadomościach e-mail. Niezbędne jest również odpowiednie przeszkolenie Twoich pracowników, by byli w stanie rozpoznać potencjalne zagrożenie i móc skutecznie się przed nim ochronić.
Gdy otrzymasz wiadomość e-mail, sms lub telefon, w których proszony jesteś o zalogowanie się na swoje konto za pośrednictwem konkretnego odnośnika, podanie osobie trzeciej swoich danych logowania lub danych wrażliwych – najlepszą reakcją będzie zignorowanie komunikatu i samodzielne skontaktowanie się z biurem obsługi klienta danej placówki.
5 zasad bezpiecznego logowania
Nie podawaj danych logowania osobom nieuprawnionym
Jeśli chcesz, by Twoje firmowe zasoby przechowywane w formie cyfrowej w sieci były bezpieczne, pierwszym krokiem jest zadbanie o to, by nikt nieuprawniony nie miał dostępu do firmowej sieci czy np. kont bankowych lub mediów społecznościowych. Loginy i hasła powinny składać się ze znaków specjalnych i być bardzo dobrze pilnowane – nie podawaj ich osobom trzecim i przestrzegaj przed tym Twoich pracowników. Dobrym pomysłem jest także zmiana hasła co jakiś czas oraz zadbanie o to, by nie korzystać z tych samych danych logowania na kilku różnych kontach. Nie wykorzystuj do swoich haseł takich danych jak data urodzenia, adres, czy strona www, i pamiętaj, by pod żadnym pozorem nie używać swojego imienia czy nazwiska. Hasło może być nawet pisane łamaną polszczyzną – stanie się przez to trudne do odgadnięcia!
Warto także włączyć szyfrowanie i uwierzytelnianie dwuetapowe w sieci, które będzie dodatkową ochroną dla konta bankowego czy skrzynki pocztowej i zmniejszy ryzyko włamania. O tym wspominamy poniżej!
Nie korzystaj z niepewnego sprzętu i podejrzanych sieci wi-fi
Podstawowe zasady bezpiecznego korzystania z internetu? Nie wpisuj swoich loginów i haseł na nieznanych urządzeniach czy np. publicznych komputerach, zwłaszcza w pośpiechu. Nigdy nie możesz mieć stuprocentowej pewności, że sprzęt ten posiada wystarczające zabezpieczenia, by zapewnić Twoim danym logowania wystarczający poziom ochrony – może się także zdarzyć, że dana sieć nie będzie w ogóle posiadać zabezpieczeń w Internecie.
Pod żadnym pozorem nie loguj się na swoje konta firmowe (oraz prywatne), korzystając z nieznanych bądź niepewnych sieci wi-fi. Istnieje ryzyko, że darmowy hotspot jest dziełem hakera, który za jego pomocą będzie mógł swobodnie zinfiltrować Twoją firmę oraz zyskać nieograniczony dostęp do kont, danych w przeglądarce, Twojego komputera i innych, poufnych informacji. Jest to szczególnie ważne zwłaszcza wtedy, gdy korzystasz z internetu w miejscach publicznych, poza siedzibą przedsiębiorstwa czy swoim miejscem zamieszkania.
Nie klikaj w podejrzane odnośniki
Nie klikaj podejrzanych linków zawartych w wiadomościach e-mail czy sms-ach, zwłaszcza jeśli wcześniej administrator danej platformy nie komunikował się z Tobą w ten sposób. Temat zagrożeń tego typu dotyczy także treści i załączników w mediach społecznościowych. Link może prowadzić bowiem do spreparowanej strony w czeluściach Internetu, przeznaczonej do wyłudzania danych logowania. Nie masz pewności, czy odnośnik, w który klikniesz, nie jest pierwszym krokiem dla cyberprzestępców dla przejęcia danych Twojej przeglądarki i nie poradzi sobie z Twoimi dotychczasowymi zabezpieczeniami – jeśli takie masz. Zachowaj szczególną ostrożność, zwłaszcza gdy treść wiadomości lub załączników skonstruowana jest tak, by nakłonić Cię do podjęcia jak najszybszego działania. Pośpiech nie jest Twoim sprzymierzeńcem – jest natomiast sprzymierzeńcem hakerów, którzy chcą zainstalować niebezpieczne oprogramowanie na Twoim komputerze, włamać się do sieci, lub przejrzeć system operacyjny.
Przed zalogowaniem sprawdź certyfikat bezpieczeństwa witryny
Sprawdzanie certyfikatu zabezpieczeń to istotne działanie, które warto sobie wyrobić aby zapewnić swojej firmie wysoki poziom ochrony poufnych danych. Gdy logujesz się np. na firmowe konto bankowe, social media czy pocztę elektroniczną, zawsze sprawdź czy znajdujesz się na właściwej stronie. W tym celu kliknij w symbol, który znajdziesz po lewej stronie paska adresu w wyszukiwarce (w popularnych wyszukiwarkach jest to grafika przedstawiająca kłódkę), i znajdź na liście opcję sprawdzenia zabezpieczeń. Jeśli symbol jest przekreślony, witryna nie posiada żadnego certyfikatu bądź jest on nieaktualny czy wystawiony dla innego podmiotu – jak najszybciej opuść stronę, gdyż mogłeś stać się celem cyberataku, a w konsekwencji na Twoim komputerze mogło pojawić się niechciane oprogramowanie. Korzystaj z tej wiedzy!
Włącz logowanie dwuetapowe
Autoryzacja logowania to najważniejsza zasada bezpieczeństwa, którą powinieneś jak najszybciej wprowadzić w życie. Wszystkie wymienione wcześniej metody, choć zwiększają poziom ochrony Twoich firmowych zasobów, mogą okazać się niewystarczające gdy hakerzy zdobędą Twoje dane logowania innymi drogami. Rozwiązanie to jest niezbędne, jeśli zależy Ci na bezpieczeństwie Twoich firmowych zasobów. Jak ono działa?
Logowanie dwuetapowe to nic innego, jak weryfikacja tożsamości osoby próbującej uzyskać dostęp do konta już po wpisaniu przez nią loginu i hasła. Wśród popularnych metod uwierzytelniania znaleźć możemy m.in. kod sms, podpięcie aplikacji autoryzacyjnej lub fizyczne klucze, takie jak klucz Yubikey. Jest to zatem dodatkowa ochrona, która może zatrzymać włamywaczy posiadających Twoje dane logowania. Duża liczba dostarczycieli usług poczty elektronicznej czy media społecznościowe nie tylko oferują możliwość logowania dwuetapowego, ale i zalecają je swoim użytkownikom. Z tego rozwiązania korzystają od lat np. Google, Facebook czy Instagram.
Jak skutecznie ochronić się przed phishingiem?
Choć rozwiązania te mogą być satysfakcjonujące dla osób prywatnych, w przypadku zasobów firmowych mogą okazać się niewystarczające lub niepraktyczne, np. przy użyciu kodu SMS każdy pracownik logujący się na dane konto musiałby prosić o przesłanie go osobę, której numer telefonu został do konta przypisany. Jedną z metod uwierzytelniania logowania charakteryzującą się bardzo wysokim poziomem skuteczności, wygody i bezpieczeństwa jest użycie klucza. Mianem klucza określa się niewielkie narzędzie, które autoryzuje logowanie po wprowadzeniu go do Twojego urządzenia np. przez port USB.
Klucze Yubikey to doskonałe rozwiązanie dla Twojej firmy. Dzięki temu, że autoryzacja logowania możliwa jest tylko wtedy, gdy osoba logująca się jest w posiadaniu klucza, zagrożenie nieautoryzowanym dostępem do chronionych danych jest bliskie zeru. Yubikey jest także kompatybilny z każdym systemem operacyjnym, co umożliwia korzystanie z niego na dowolnym urządzeniu. Po wprowadzeniu klucza do urządzenia nie musisz wpisywać haseł ani kodów samodzielnie – logowanie jest autoryzowane automatycznie.
Klucz Yubikey stanowi także dobre zabezpieczenie przed próbami wyłudzenia danych logowania za pośrednictwem spreparowanych stron internetowych. Nawet jeśli w chwili nieuwagi wpiszesz na fałszywej witrynie swój login i hasło, klucz Yubikey uniemożliwi hakerom dostanie się na Twoje konto i skutecznie ochroni Twoje firmowe zasoby przechowywane w formie cyfrowej przed przechwyceniem.
Dodatkowymi zaletami klucza Yubikey są jego niewielki rozmiar, wytrzymałość oraz poręczność. Dzięki temu przechowywanie ich nie jest kłopotliwe – możesz zawsze mieć je pod ręką i użyć ich w dowolnej chwili. Jest to dużo wygodniejsze rozwiązanie niż np. poleganie na kodach SMS, które uzależniają Twój dostęp do konta od tego, czy w danej chwili możesz skorzystać z telefonu.
Podsumowanie
Przyswojenie sobie zasad bezpiecznego logowania to podstawa ochrony Twoich firmowych zasobów przed cyberatakami z zewnątrz. Dzięki temu możesz skutecznie zapobiegać takim atakom jak phishing, vishing czy smishing. Zapewnienie sobie dodatkowej ochrony pod postacią klucza Yubikey sprawi, że hakerzy nie będą w stanie dostać się do przechowywanych w Twojej firmie poufnych danych nawet wtedy, gdy wejdą w posiadanie Twojego loginu i hasła. Nie mamy wątpliwości, że wpłynie to na Twoje bezpieczeństwo w sieci. Zabezpiecz swój komputer przed cyberatakami – oprogramowanie antywirusowe nie będzie wystarczające!