Gdzie zgubiłeś adres e-mail?
Pierwsza linia CERT to bardzo specyficzne miejsce. To tutaj spływają pierwsze informacje o zagrożeniach, to tutaj – po znalezieniu naszej strony i maila kontaktowego – piszą internauci. Bardzo często w emocjach, bo właśnie dowiedzieli się, że padli ofiarą ataku, dostali phishingową wiadomość, czy SMSa.
„Skąd u przestępców wziął się mój adres e-mail? Wysłali do mnie phishing, adres na pewno wyciekł z Orange!”. Odpuścimy sobie żart o groszu za każdy taki mail i niewysłowionym bogactwie ale naprawdę tego typu treści nie są rzadkością. A odpowiedź na nie zazwyczaj jest – cóż – wyjątkowo prosta. W ilu miejscach zostawiliście swój adres e-mail? Na ilu forach zakładaliście konta, gdzie i komu w sieci podawaliście, jak się z Wami skontaktować? Po internecie nieprzerwanie krążą crawlery, automaty przeszukujące ogólnodostępne miejsca właśnie pod kątem takich informacji. Pod kątem ludzi niefrasobliwych, którzy potencjalnie mogą też paść łatwiej niż inni ofiarą dobrze socjotechnicznie – a to niestety jest coraz częstsze – przygotowanego phishingu.
Co zrobić?
Zacznijmy od Have I Been Pwned, witryny, która po wpisaniu naszego adresu e-mail sprawdzi, czy załapaliśmy się do jakiegoś wycieku. Nie ma nas tam? No to brawo, albo za uważność albo szczęście. Można też wpisać nasze imię i nazwisko, czy też właśnie maila, w wyszukiwarce – to czasami też prowadzi do interesujących śladów.
Jeśli HIPB pokazało, że wyciekły jakieś hasła – natychmiast je zmienić. W ogóle, zamiast zapamiętywać hasła, najlepiej zainstalować menedżer haseł i wtedy musimy pamiętać tylko jedno, bardzo silne. Najlepiej wprowadzić menedżer jako zalecany w firmie, w przypadku Orange Polska mocno sugerowane jest korzystanie z KeePassa. Działa offline, jest więc idealny do zapamiętywania np. haseł do korporacyjnych aplikacji.
2FA wszędzie gdzie się da
No i – last, but not least – uwierzytelnianie dwuskładnikowe (2 Factor Authentication, 2FA). Wystarczy znaleźć odpowiednią opcję w ustawieniach strony (listę serwisów, wspierających 2FA znajdziecie tutaj, są tu praktycznie wszystkie najpopularniejsze i sporo mniej popularnych). Dla samej świadomości miny złodzieja, któremu uśmiech na ustach zgaśnie, gdy zobaczy „podaj kod z aplikacji Google Authenticator” warto 🙂
No i nie zapomnijcie o jednej, „dość” ważnej kwestii. Jeśli korzystacie Facebooka, Google’a, czy innych internetowych usług sieciowych gigantów, oni i tak już wszystko o Was wiedzą. Tyle dobrego, że dla nich jesteście jednym z miliardów anonimowych internautów i zależy im tylko na tym, by podać Wam jak najbardziej dopasowaną reklamę. A przynajmniej, dla spokoju ducha, po prostu w to wierzmy 🙂