"Według badań, jest ponad 67 tysięcy potencjalnie niebezpiecznych aplikacji na smartfony" – mówi w rozmowie z Magdaleną Wojtoń Marek Liszkiewicz, specjalista laboratorium kryminalistycznego Komendy Wojewódzkiej Policji w Krakowie. „One mogą wykradać dane, wysyłać SMS-y bez naszej zgody. Nawet się nie zorientujemy, bo nie zostawiają śladu” – ostrzega.
Magdalena Wojtoń: Ile zajmuje hakerowi włamanie się na nasze konto na Facebooku? To jest trudne?
Marek Liszkiewicz - specjalista laboratorium kryminalistycznego Komendy Wojewódzkiej Policji w Krakowie: Nie, dla nich to proste. My - jako użytkownicy - możemy im albo utrudnić, albo ułatwić zadanie. Jeśli często logujemy się na swój profil poza domem, na różnych komputerach, jeśli wielu osobom udostępniamy dużo informacji o nas, czyli jednym słowem - zachowujemy się niefrasobliwie - włamanie na nasze konto zajmie im dwie sekundy.
Jeśli wchodzimy na Facebooka tylko z domowego komputera to jesteśmy bezpieczni?
Marek Liszkiewicz: Nie ma takiego zabezpieczenia, które na 100 procent ochroni nasze dane, ale pomożemy sobie odpowiednio zabezpieczając sprzęt. Ważne jest aktualizowanie systemu operacyjnego i systemów antywirusowych.
Nie ma takiego zabezpieczenia, które na 100 procent ochroni nasze dane
Lubimy, gdy ktoś składa nam życzenia, dlatego na Facebooku umieszczamy datę urodzenia. Do znajomych przyjmujemy rodziców i już przestępca ma ważne przy zawieraniu umów informacje, czyli właśnie datę urodzenia oraz imię matki i ojca. Jakie jeszcze dane są szczególnie pożądane przez cyberprzestępców?
Łukasz Kraszewski, wydział do walki z przestępczością gospodarczą Komendy Wojewódzkiej Policji w Krakowie: Nie podawajmy numeru telefonu. On może im się przydać przy potwierdzaniu przelewów bankowych. Rozmawiając z bliskimi na czacie, nie piszmy też numeru karty kredytowej lub PIN-u. Nie wiadomo, kto jeszcze przeczyta tę wiadomość i co z nią zrobi.
Do jakich danych dajemy dostęp akceptując zaproszenie do aplikacji na Facebooku?
Łukasz Kraszewski: Trzeba bardzo ostrożnie podchodzić do systemu, który pozwala na zainstalowanie jakiegoś programu na naszym komputerze. Nie twierdzę, że każda aplikacja jest niebezpieczna, ale wiem, że są takie, które pozwalają hakerom przejąć kontrolę nad dyskiem naszego komputera.
Marek Liszkiewicz: Jeszcze gorzej może to wyglądać w przypadku smartfonów i aplikacji na nie, nawet tych ze znanego wszystkim sklepu. Według badań Trend Micro, około 67 tysięcy aplikacji jest potencjalnie niebezpiecznych. Mogą na przykład wykradać nasze dane, wysyłać SMS-y bez naszej zgody. Nawet się nie zorientujemy, bo nie zostawiają śladu. Ślad będzie jedynie na naszym rachunku telefonicznym. Trzeba zatem zawsze być ostrożnym i sprawdzać, czy godząc się na zainstalowanie danej aplikacji, nie dajemy jej dostępu do naszej książki adresowej lub notatnika, w którym mamy zapisane ważne dla nas dane.
Według badań Trend Micro, jest około 67 tysięcy potencjalnie niebezpiecznych aplikacji na smartfony
Pan poruszył bardzo ciekawy i groźnie brzmiący temat - włamania na dysk lokalny. Oprócz muzyki i filmów możemy tam przechowywać spisane w tabelkach istotne dane: PESEL, NIP, wszystko... By mieć pod ręką. Dużo jest takich włamań?
Marek Liszkiewicz: O tak! Oczywiście! Tyle, że nie spotkałem się z włamaniem na dysk przez portal społecznościowy, a na przykład przez zainstalowanie ściągniętego z sieci niepewnego programu. Dlatego należy wystrzegać się głównie stron pornograficznych i hakerskich. Nie klikać w linki, które dostajemy z nieznanych adresów e-mailowych. Mogą wprowadzić na nasz komputer specjalny kod, który pozwoli przejąć nad nim kontrolę.
Jestem w stanie poznać, że ktoś to zrobił?
Marek Liszkiewicz: Są pewne sygnały. Nasz komputer uruchamia się o wiele dłużej niż zazwyczaj. Programy się zawieszają. Nagle pojawiają się komunikaty, których wcześniej nie widzieliśmy i nowe ikony, których nie było. Wyświetla się informacja, że system antywirusowy został tymczasowo wyłączony.
Zainfekowany system może ukrywać infekcje i antywirus uspokoi nas, że wszystko jest w porządku. Należy to zdiagnozować na "zdrowym" systemie.
Co wtedy mamy zrobić?
Marek Liszkiewicz: Najlepiej oddać komputer do specjalistycznej firmy, która zajmuje się wykrywaniem i usuwaniem złośliwego oprogramowania. Przynajmniej wymontujmy dysk z komputera i przeskanujmy go programem antywirusowym, ale na innym komputerze. To ważna informacja! Zainfekowany system może ukrywać infekcje i antywirus uspokoi nas, że wszystko jest w porządku. Zdiagnozować to należy na "zdrowym" systemie. I jeszcze jedno. Najlepiej od razu na innym komputerze zmienić wszystkie hasła do ważnych dla nas kont: bankowych, na portalach, e-mailowych. Dla naszego bezpieczeństwa powinniśmy zmieniać hasła dostępu raz w miesiącu. To uciążliwe, ale mamy przecież wiele do stracenia. I nie używajmy jednego hasła do wielu kont. A już na pewno niech to nie będzie nasze imię czy popularny "admin".
Czy wchodząc na Facebooka i e-konto bankowe w kawiarni przez Wi-Fi wyrządzamy sobie krzywdę?
Marek Liszkiewicz: Korzystając z otwartego dostępu do internetu, nawet z własnego sprzętu, ponosimy ryzyko, że cały ruch sieciowy może być przechwytywany. Nie łudźmy się, że bezpieczne dla nas są szyfrowane połączenia. Są mechanizmy, które potrafią je rozszyfrować. Zawsze trzeba założyć jakiś procent ryzyka i zachowywać zasadę ograniczonego zaufania. Korzystając z internetu w domu sprawdźmy, czy nielegalnie nie podpiął się do niego nasz sąsiad. Jeśli rozpowszechnia bądź ściąga nielegalne treści, odpowiedzialność spadnie na nas.
Nie łudźmy się, że szyfrowane połączenia internetowe są bezpieczne
Wracając do przelewów internetowych. By je zrobić, oprócz loginu i hasła do e-konta, potrzebny jest też kod ze zdrapki czy ten wysyłany nam SMS-em. Nawet bez kodu haker może nas okraść?
Marek Liszkiewicz: Ważna informacja - jeśli wchodzimy na konto by zrobić przelew, wpiszemy już wszystkie dane i je zaakceptujemy, pojawia się nowy formularz, którego już nie można edytować. Jest tylko rubryka do wpisania kodu. Przed jego wpisaniem i zaakceptowaniem transakcji popatrzmy raz jeszcze na numer konta bankowego odbiorcy i kwotę.
Łukasz Kraszewski: Z doświadczenia wiemy, że cyberprzestępcy potrafią zmienić kwotę na dużo większą, a numer rachunku na swój.
Marek Liszkiewicz: Co do SMS-ów z kodem: pamiętajmy, że nasz smartfon to mały komputer. Jeśli ktoś zainfekował go złośliwym oprogramowaniem, może albo przeczytać SMS, który dostaliśmy, albo nawet go przechwycić. Może zdalnie sterować naszym telefonem, włączać go, by podsłuchiwać nasze rozmowy, wysyłać SMS-y. My nawet nie będziemy o tym wiedzieć, bo nie zostanie po nich ślad w komórce. Zdarzyło nam się analizować telefon, na którym jego właściciel zainstalował z pozoru niewinną i legalną aplikacje - atlas obiektów. Ona sama z kolei zainstalowała moduł, który bez zgody i wiedzy użytkownika wysyłał SMS-y Premium, po kilkanaście złotych za jeden. Takie wiadomości mogą być wysyłane nawet co 10 sekund. Zapłacimy wtedy astronomiczny rachunek. Co ciekawe, nawet zresetowanie telefonu do ustawień fabrycznych nie usunęło tej infekcji. Dlatego należy uważać na telefony znalezione i te podarowane przez kogoś, kogo dobrze nie znamy.
Należy uważać na telefony znalezione i te podarowane przez kogoś, kogo dobrze nie znamy
Ktoś może celowo podrzucić nam taki telefon?
Łukasz Kraszewski: Tak, albo nawet przez przypadek wpakujemy się w kłopoty.
Jeśli już nabijemy sobie astronomiczny rachunek, mamy szanse go nie zapłacić? Jak udowodnić, że nie mamy z tym nic wspólnego?
Nie udowodnimy tego, bo SMS wyszedł z naszego telefonu.
To co możemy zrobić? Jak się zabezpieczyć?
Marek Liszkiewicz: Z tego, co wiem, każdy operator daje użytkownikowi możliwość bezpłatnego wyłączenia usług premium. Można to zrobić samemu, korzystając z profilu klienta w internecie. System blokuje usługi Premium: SMS-y, MMS-y i dane typu WAP. Złośliwe oprogramowanie dalej wysyła SMS-y, ale operator nie przepuszcza ich przez swoja bramkę.
Oprogramowanie antywirusowe na smartfony istnieje. Powinniśmy go używać
Normą jest instalowanie na komputerach programów antywirusowych. Na małych komputerach, czyli smartfonach tego nie robimy...
Marek Liszkiewicz: A powinniśmy i możemy. Oprogramowanie antywirusowe na smartfony istnieje, choć rzeczywiście nie jest popularne.
Na koniec: co należy zrobić, kiedy zorientujemy się, że ktoś włamał się na nasze konto, korzysta z naszych danych?
Marek Liszkiewicz: Zgłosić to na policję. To jest przestępstwo - nieuprawnione uzyskanie dostępu do danych. Oczywiście nie chodzi o to, by straszyć i zniechęcać do korzystania - ważne, aby mieć świadomość zagrożeń, które mogą się pojawić i wiedzieć, jak się przed nimi chronić.
Magdalena Wojtoń