Jak zwalczać wycieki informacji i inżynierię społeczną?

Inżynieria społeczna to manipulacja ludźmi. Mówiąc najprościej, to umiejętne oszustwo. Zazwyczaj, aby kogoś kontrolować, trzeba zdobyć jego zaufanie, zastraszyć go lub przekonać do czegoś. Jeśli otrzymasz wiadomość e-mail z prośbą o zmianę hasła do systemu płatności lub innej usługi, zachowaj szczególną ostrożność. Wiadomość może być fałszywa i wysłana nie przez zespół wsparcia danej usługi, ale przez cyberprzestępców.

Jeśli zdecydujesz się zmienić hasło, spróbuj zalogować się do serwisu za pomocą swojej zwykłej metody logowania: na przykład za pomocą linku zapisanego w Ulubionych lub ręcznie wpisując adres w przeglądarce. Nigdy nie klikaj linku zawartego w wiadomości e-mail. Istnieje duże prawdopodobieństwo, że link ten przekieruje Cię do fałszywej strony internetowej, nieodróżnialnej od prawdziwej, stworzonej specjalnie w celu wyłudzania haseł od niczego niepodejrzewających użytkowników.

Inny przykład: administrator sieci odbiera telefon od pracownika biurowego z prośbą o duplikat hasła do sieci firmowej, rzekomo zapomnianego. Nikt nie może zagwarantować, że dzwoniący nie jest intruzem próbującym uzyskać dostęp do firmowego systemu informatycznego. Administratorzy czasami zapraszają użytkowników do logowania się na swoje konta, aby sami zresetowali hasła, i jest to prawdopodobnie najlepsza obrona przed takimi sztuczkami.

Wycieki informacji często narażają systemy komputerowe na ataki hakerskie. Prostym przykładem jest login i hasło do poczty e-mail zapisane na karteczce samoprzylepnej. Często kilka osób korzysta z tej samej karteczki, przypiętej do komputera. Pomieszczenie, w którym znajduje się komputer, jest regularnie odwiedzane przez gości i gdyby ktoś z nich chciał podejrzeć te dane, mógłby łatwo uzyskać dostęp do cudzego konta e-mail. Oczywiście w takiej sytuacji karteczkę z hasłem należy usunąć i ukryć. Albo całkowicie wyrzucić. Ale nawet w tym przypadku należy zachować ostrożność, ponieważ istnieje duże prawdopodobieństwo, że intruz postanowi przeszukać kosz na śmieci lub odszukać twoje dane osobowe.

Myślę, że sposoby walki z oszustwami i wyciekami informacji są oczywiste. Po pierwsze, należy pielęgnować większy sceptycyzm i nieufność, a po drugie, traktować wrażliwe dane, które mogą kogoś zainteresować, tak jakby ktoś celowo je wykorzystywał.

Nie zaleca się przechowywania ważnych haseł w formie elektronicznej na komputerze. Najlepiej jest odłożyć osobny notatnik i tam je zapisać. „Ale ktoś może je przeczytać nawet w notatniku!” – możesz zaprotestować. Owszem, można. Trzymaj je więc w sejfie lub zamkniętej szufladzie, albo zapisz najważniejsze hasła, używając prostego (lub złożonego) szyfrowania.

Na przykład, możesz wpisywać hasła przeplatane literami znanego Ci słowa. Załóżmy, że słowo kluczowe to „book”. Hasło, które chcesz zaszyfrować, to „qe23rty”. Najpierw wpisz pierwszą literę słowa kluczowego, następnie pierwszą literę hasła, potem drugą literę i tak dalej. Jeśli słowo się kończy, ale hasło jest kontynuowane, możesz wpisać końcówkę bez zmian lub kontynuować wpisywanie słowa kluczowego.

Oto, co otrzymaliśmy: zapisaliśmy hasło i słowo, powtarzając je po jego zakończeniu – bqoeo2k3brotoy. Oczywiście, aby je odszyfrować, musimy usunąć wszystkie litery słowa „book” i złożyć pozostałe znaki hasła.

Atakujący musiałby godzinami zmagać się ze złamaniem nawet tak prostego szyfru. Ale co, gdyby użył dłuższego słowa, i to nie sensownego, lecz losowego ciągu liter? Co, gdyby litery w haśle zostały wstępnie wymieszane w specjalny sposób? Nawiasem mówiąc, to tylko jedna z wielu metod szyfrowania dostępnych do szybkiej implementacji. Ale nawet ona zmniejszy prawdopodobieństwo włamania na Twoje konto, jeśli zaszyfrowane dane wpadną w ręce atakującego.

I nie zapominaj, że wybierając hasło do dowolnej usługi, powinieneś wybrać coś na tyle długiego i bezsensownego, aby było trudne do odgadnięcia. Jedną z metod hakowania kont jest siłowe łamanie haseł. Oczywiście hasło składające się z zaledwie kilku znaków jest dość łatwe do złamania. Proste hasło można złamać, korzystając ze słownika powszechnie używanych haseł lub standardowego słownika języka angielskiego.

Jeszcze jedna rada: jeśli sprzedajesz komputer, dysk twardy, pendrive lub wyrzucasz niechcianą płytę CD, dyskietkę lub kasetę audio, sprawdź, czy nie ma tam czegoś, czego nie powinieneś wpuścić w niepowołane ręce. Na przykład, najlepiej ponownie podzielić dysk twardy na partycje i sformatować go, albo (dotyczy to również innych urządzeń pamięci masowej) użyć specjalnego programu do trwałego usunięcia danych.