Większość oszustw w sieci dotycząca użytkowników indywidualnych ma podłoże socjotechniczne – cyberprzestępcy nakłaniają użytkownika, by okradł się sam.
Magda Korona
Specjalistka komunikacji cyberbezpieczeństwa, Stowarzyszenie Women Go Cyber
Jakie największe luki między wiedzą a praktyką widzi pani u polskich użytkowników internetu?
W tym roku Allegro opublikowało badanie wskazujące, że 69 proc. użytkowników wie, czym jest wieloskładnikowe logowanie, czyli MFA, ale tylko 1 proc. z niego korzysta. Podobne obserwacje wynoszę ze szkoleń, które prowadzę – wiedza o cyberzagrożeniach jest powszechna, ale w praktycznej sytuacji, gdy stykamy się z atakiem oszustwa, nie jest to tak oczywiste. Dotyczy to np. pokusy klikania w nieznane linki. Niestety, na ogół dopiero gdy my sami lub ktoś z naszych bliskich padnie ofiarą tego typu wyłudzeń, to zaczynamy stosować środki prewencyjne. Rozwój technologii sprawił z kolei, że przestępcy mają dziś narzędzia i sposoby na oszukiwanie wszystkich grup użytkowników internetu, niezależnie od ich wieku. Umieją spersonalizować metody ataku do konkretnego profilu użytkownika. W efekcie osoby w średnim wieku, które mają największą wiedzę i doświadczenie w kwestii cyberbezpieczeństwa, też są narażone na oszustwa, bo ze względu na pośpiech nienależycie przykładają się do przestrzegania zasad bezpieczeństwa.
Dlaczego mimo wysokiej świadomości zaleceń dotyczących używania MFA, czyli uwierzytelniania wieloskładnikowego, tak mało osób z niego korzysta?
To kwestia wygody i pośpiechu w trakcie korzystania z urządzeń mobilnych. Mówiąc wprost, odkładamy założenie ochrony MFA na później, tyle że to „później” nigdy nie nadchodzi. Wielu z nas ma też poczucie, że nie ma powodu, by cyberprzestępcy chcieli zaatakować akurat nas. O niskim stopniu wykorzystania MFA decydują też pewne nawyki, które nabyliśmy lata temu, kiedy cyberzagrożenia jeszcze nie istniały w takim dużym stopniu jak dziś.
Tempo rozwoju technologii jest tak duże, że nie jesteśmy w stanie nadążyć z edukowaniem się z najnowszych rozwiązań technologicznych wzmacniających bezpieczeństwo.
Na ile skuteczny jest model „dwóch linii obrony”, czyli jednoczesnych zabezpieczeń po stronie użytkownika i platformy?
O bezpieczeństwo w sieci muszą dbać wszystkie strony – i dostawcy usług, i użytkownicy. Odpowiedzialność musi rozkładać się po równo. Podam przykład programów antywirusowych, które zyskiwały ogromną popularność 20 lat temu. Użytkownicy tego oprogramowania dość beztrosko wchodzili na niebezpieczne strony internetowe, mając poczucie, że program antywirusowy ich całkowicie ochroni. Tymczasem tylko pełna współpraca i współodpowiedzialność obu stron – użytkownika i platformy – może nam zapewnić kompleksowe bezpieczeństwo w sieci.
Dlaczego zabezpieczenia typu passkeys są bezpieczniejsze i wygodniejsze od haseł i MFA?
Passkeys to metody, które do uwierzytelnienia nie wymagają podawania hasła, co przez lata było głównym, a często jedynym sposobem logowania do aplikacji czy konta. Dziś coraz częściej polecane są takie metody jak np. biometria, czyli logowanie za pomocą odcisku palca czy skanu twarzy, lub też klucza sprzętowego, który fizycznie podpina się do telefonu czy komputera. Wedle ekspertów ten kierunek rozwoju walki z zagrożeniami włamań i nieuprawnionego wykorzystania danych przy uwierzytelnianiu się to przyszłość w obszarze bezpieczeństwa.
Jakie metody ataków są obecnie najpopularniejsze?
Zdecydowana większość ataków na użytkowników prywatnych to ataki socjotechniczne, nakłaniające użytkownika, by okradł się sam, czyli by dokonał przelewu na konto złodzieja. Drugą popularną formą zagrożeń są wycieki danych lub ich umyślne, choć zbyt lekkomyślne podawanie przez użytkowników. Z wykorzystaniem AI cyberprzestępcy mogą dopasować formę ataku do naszych nawyków, zainteresowań czy słabości, przez co atak jest skuteczniejszy.
