Konsumenci rozmaicie reagują na wycieki danych. Większość beztrosko wzrusza ramionami, a nieliczni wprowadzają dodatkowe środki bezpieczeństwa IT.

Naruszenia danych w dużych koncernach oraz instytucjach stały się czymś naturalnym. Informacje wyciekają z instytucji finansowych, portali społecznościowych, sieci hotelowych, placówek oświatowych, szpitali. Do najpoważniejszego w historii naruszenia doszło w latach 2013-2014. Wówczas napastnicy uzyskali nieautoryzowany dostęp do około 3 miliardów kont użytkowników portalu Yahoo!. Hakerzy pozyskali nazwiska, adresy e-mail, hasła i pytania zabezpieczające.

Według danych Rochester Institute of Technology w drugim kwartale 2023 w wyniku naruszeń danych w dużych firmach ujawniono ponad 110 milionów kont użytkowników. Co ciekawe, poszkodowani konsumenci zazwyczaj po powiadomieniu ich o naruszeniu danych, szybko powracają na skompromitowaną stronę. Taką postawę zadeklarowało niemal dwie trzecie spośród 200 ankietowanych Amerykanów, a ich jedyną reakcją na informację o wycieku było wprowadzenie nowego hasła. Prawie jedna czwarta osób stwierdziła, że powróci na zaatakowaną wcześniej stronę internetową, nie zmieniając nic w swoim zachowaniu, zaś tylko 10 procent powiedziało, że już do niej nie powróci. Zdaniem ankietowanych istnieje niewiele – jeśli w ogóle – alternatyw dla ich ulubionych stron internetowych, a poza tym trudno znaleźć witrynę, w której nigdy nie doszło do wycieku informacji

– Z naszych obserwacji wynika, że wyciek danych skłania jedynie nielicznych konsumentów do podjęcia bardziej przemyślanych działań dążących do poprawy bezpieczeństwa. Najczęściej motywują ich do tego finansowe konsekwencje cyberataku., takie jak kradzież środków finansowych z karty kredytowej – tłumaczy Michał Łabęcki, Marketing Manager w G DATA.

Niezależnie od tego, czy ofiary cyberataków straciły pieniądze, czy wrażliwe dane osobowe, należy zachować spokój i racjonalne myślenie. Tylko w ten sposób można zminimalizować ewentualne straty.

Zmiana hasła

Naruszenia danych przybierają rozmaity charakter, a tym samym poziom szkodliwości. Niektóre z nich dotyczą dość błahych z punktu widzenia ofiary kwestii, takich jak preferencje dotyczące przeglądania stron internetowych, historii wyszukiwania, czy hasła i loginu do sporadycznie odwiedzanego konta pocztowego. Takich incydentów nie należy lekceważyć, ale nie trzeba też wpadać w panikę. Pierwszą reakcją powinna być zmiana hasła. Należy sprawdzić, czy nie jest ono używane w innych serwisach internetowych, bądź kontach pocztowych, bowiem istnieje poważne ryzyko, że napastnicy za pomocą pozyskanego hasła spróbują się do nich zalogować. Dlatego dla własnego bezpieczeństwa najlepiej tworzyć osobne hasła dla poszczególnych kont internetowych, platform handlowych, czy poczty elektronicznej. W tym celu można skorzystać z menedżera haseł oferowanego przez niektóre programy antywirusowe.

Uwierzytelnianie wieloskładnikowe

Wyższy poziom bezpieczeństwa gwarantuje uwierzytelnianie wieloskładnikowe.

Użytkownik wprowadza hasło, a następnie potwierdza swoją tożsamość za pomocą urządzenia osobistego, zazwyczaj telefonu komórkowego. To uniemożliwia napastnikowi zalogowanie się na konto za pomocą skradzionego hasła.

Zastrzeżenie karty

W trudniejszej sytuacji znajdują się osoby, które doświadczyły wycieku numerów kart kredytowych lub wrażliwych danych. W takich przypadkach pierwszym krokiem jest zastrzeżenie karty w banku. Obecnie większość instytucji finansowych pozwala na przeprowadzenie tej operacji zdalnie za pomocą mobilnej aplikacji. Nie można też bagatelizować wycieku informacji dotyczących dowodu bądź paszportu, ponieważ napastnicy mogą wykorzystać wykradzione informacje np. do przejęcia tożsamości online ofiary. Przykładem naszej tożsamości cyfrowej jest elektroniczny dowód osobisty, paszport oraz prawo jazdy. Szczególnie narażone są osoby używające swoich prawdziwych imion i nazwisk na forach internetowych, portalach internetowych czy na platformach z grami online.

Do częstych naruszeń danych dochodzi na portalach społecznościowych. Podstawową formą ochrony jest włączenie uwierzytelniania dwuskładnikowego. Ale są też inny metody – zmiana hasła, sprawdzenie aktywności logowania, przejrzenie wszystkich wiadomości i komentarzy na koncie. W przypadku wystąpienia jakichkolwiek podejrzeń należy zgłosić to osobom odpowiedzialnym za funkcjonowanie serwisu. Warto też czasowo dezaktywować konto, aby maksymalnie utrudnić do niego dostęp hakerom.

Skanowanie kodów QR pozwala w wygodny sposób uzyskać dostęp do potrzebnych informacji. Niestety, w ostatnim czasie pojawia się coraz częściej kodów QR spreparowanych przez oszustów i wykorzystywanych do phishingu.

Kody QR występują niemal wszędzie: w restauracjach, kinach, środkach komunikacji publicznej, toaletach. Bardzo często przesyła się je za pośrednictwem SMS-ów lub e-maili. Według Insider Intelligence w 2023 roku w samych tylko Stanach Zjednoczonych ponad 94 miliony konsumentów używało swoje smartfony do skanowania kodów QR, zaś w 2027 roku liczba ta przekroczy 100 milionów.

Rosnąca popularność kodów QR nie umyka uwadze cyberprzestępców. Co gorsza, ludzie skanują kody bez większego zastanowienia. Tymczasem eksperci od bezpieczeństwa ostrzegają, że w przestrzeni publicznej pojawia się mnóstwo kodów QR wytwarzanych przez oszustów. To niebezpieczne zjawisko nazywa się quishingiem.

• Cyberprzestępcy umieszczają kody QR w e-mailach lub SMS-ach, zachęcając odbiorców do zeskanowania kodu i odwiedzania fałszywej witryny, sprawiającej wrażenie zaufanej usługi lub aplikacji. Jest to nowa, wyjątkowo niebezpieczna odmiana phishingu, bowiem na ogół ludzie mają stosunkowo duże zaufanie do kodów QR, nie zdając sobie sprawy z czyhających na nich zagrożeń – tłumaczy Michał Łabęcki, Marketing Manager w G DATA Software.

Utworzenie własnego kodu QR nie jest wiele trudniejsze, aniżeli jego zeskanowanie. Cyberprzestępca wygeneruje go w zaledwie kilka minut. Poza tym taki kod oprócz tego, że dołącza się do wiadomości, można przykleić w dowolnym miejscu na ścianie. W połowie ubiegłego roku media światowe media informowały o zmasowanej kampanii phishingowej, realizowanej za pomocą złośliwych kodów QR. Celem akcji była kradzież danych uwierzytelniających konta Microsoftu. Napastnicy wzięli na cel duże firmy energetyczne, instytucje finansowe, producentów, a także dostawców nowych technologii. Ale znane są też przypadki, kiedy kod QR posłużył do zwykłych oszustw finansowych. Oszuści wysyłają kody QR służące do jednorazowego dostępu do systemu wpłat na konto bankowe. W ten sposób poluje się są osoby sprzedające produkty na portalach ogłoszeniowych. W praktyce sprzedawca nie otrzymuje zapłaty, a z jego z konta wyparowuje kilka tysięcy złotych. Zresztą napastnicy wykazują się w tym zakresie coraz większą pomysłowością. W Stanach Zjednoczonych pojawiły się doniesienia o oszustach umieszczających kody QR na parkometrach.

Cyberprzestępcy wykorzystują kody QR z dwóch powodów. Po pierwsze odbiorcy nie potrafią ocenić ich wiarygodności, zaś po drugie, filtry spamowe często miewają trudności z przechwytywaniem obrazów QR dołączanych do wiadomości w postaci pliku PDF. Natomiast wadą tego wektora ataku z punktu widzenia napastnika, jest konieczność podjęcia czynności przez potencjalną ofiarę. Jeśli nie podejmie żądanych działań, atak zostanie powstrzymany.

Co istotne, cyberprzestępcy bardzo chętnie biorą na cel użytkowników smartfonów. Wynika to faktu, iż większość komputerów posiada lepszą lub gorszą ochronę przed phishingiem. Inaczej wygląda to w przypadku telefonów, bardziej podatnych na ataki niż laptopy czy desktopy. Ważnym czynnikiem jest poczucie pilności, jakie oszust tworzy w wiadomości, aby skłonić jej odbiorcę do jak najszybszego zeskanowania kodu QR i bezmyślnego wprowadzenia danych osobowych tak szybko, jak to tylko możliwe. Użytkownicy smartfonów zwykle reagują bardziej impulsywnie na przychodzące wiadomości niż osoby używające komputerów.

Jak nie dać się złowić na kod QR?

Co zrobić, aby nie nabrać się fałszywy kod QR? Najlepiej ich nie skanować. Niemniej jeśli ktoś zamierza iść z duchem czasu i czerpać garściami z technologicznych nowinek, powinien ze szczególną ostrożnością podchodzić do wiadomości pochodzących z nieznanych źródeł, bądź naklejek umieszczonych w dziwnych miejscach. Poza tym oszuści najczęściej sugerują pilne działanie: zeskanuj ten kod QR, aby zweryfikować swoją tożsamość lub zapobiec usunięciu konta, bądź skorzystaj z oferty ważnej do końca miesiąca itp. Jeśli nie ma 100 procent pewności co do źródła kodu QR, nie powinno się go skanować telefonem. Należy sprawdzać łącza i zwracać uwagę na takie kwestie jak rozpoznanie adresu URL, błędy ortograficzne lub zamienione litery.

Niezależnie od tego, czy używa się laptopa czy smartfona, trzeba aktualizować oprogramowanie.

Najnowsze wersje popularnych mobilnych przeglądarek internetowych mają wbudowaną technologię wykrywania fałszywych linków.

– Te zintegrowane zabezpieczenia nie są do końca niezawodne, ale im bardziej aktualna przeglądarka i system operacyjny, tym większe szanse, że użytkownik otrzyma ostrzeżenie na ekranie o zagrożeniu. Warto też instalować, zarówno na komputerach, jak i smartfonach, komercyjne oprogramowanie antywirusowe, które lepiej chroni użytkownika przed phishingiem aniżeli zabezpieczenia stosowane w przeglądarkach – wyjaśnia Michał Łabęcki.

Niezależnie od używanego urządzenia, warto zachować zdrowy rozsądek, bowiem w niektórych przypadkach ryzyko jest prawie żadne ze względu na małą liczbę potencjalnych ofiar, a tym samym niewielki zarobek dla oszustów. Na przykład istnieje nikłe prawdopodobieństwo, że menu z kodem QR w małej, lokalnej restauracji zostało wygenerowane przez hakerów.