Te pregătești să cumperi online ultimele cadouri? Află din acest episod al Digital Shift cum să o faci în siguranță, fără să le dai atacatorilor cibernetici șansa să îți golească de bani contul bancar.
Bonus: cum să începi noul an cu o rutină de siguranță online care să te ferească de orice pericol.
Sfaturile utile și ușor aplicat vin de la Mihai Rotariu, purtătorul de cuvânt al Directoratului Național de Securitate Cibernetică (DNSC).
Afli tot ce ai de făcut ca nimeni să nu-ți poată lua, online, datele persoanele și banii ascultând integral podcastul realizat de Gabriel Kolbay, al cărui invitat este Mihaiu Rotariu.
Mai jos poți găsi câteva dintre declarațiile lui Mihai Rotariu și minutele la care le vei asculta:
- De ce trebui să ai parolă complexă la fiecare cont online (de la min 03.21)
„Hai să ne gândim întâi la rolul parolei. Mie îmi place să fac paralele cu viața reală. O parolă este echivalentul unei chei care încuie ușă, în momentul în care pleci de acasă.
O cheie care-ți încuie ușa nu deschide și alte uși. Deschide și închide doar ușa ta. Câteodată, unii oameni folosesc două chei pentru a închide și deschide ușa de acasă. Ăsta e rolul parolei. Practic, în momentul în care cineva are cheia, poate intra în locuința ta. La fel cu parola și contul.
Este foarte importantă parola. De aceea, trebuie să o securizăm și să folosim parole complexe cu litere mari, litere mici și simboluri. Să fie un număr de 12-14 caractere, ca să fie mult, mult mai greu de compromis de către atacatori.
Pentru că - știm foarte bine – atacatorii se folosesc de scripturi, de instrumente automatizate de spargere a parolei. Nu stă cineva și încearcă manual parola respectivă. Automat, pot încerca mult mai multe variante”.
- Cum ținem minte mai multe parole lungi? (de la min 06.06)
„Personal, am sute de conturi.
La nivel mondial există o statistică. În medie, un utilizator are până la 240 de conturi online. Este extrem de dificil să gestionezi 240 de credențiale distincte, complexe, pe care tu să le ții minte. Chiar dacă-ți faci un algoritm în cap prin care tu poți să reții aceste parole.
Ca să gestionăm un astfel de volum imens de date de autentificare este recomandat să folosim un manager de parole.
Este un software care ne ajută foarte mult. Se integrează inclusiv cu browser-ul de Internet. În momentul în care vrem să ne autentificăm pe Facebook sau pe email sau pe nu știu ce serviciu, se introduc automat acele date de autentificare.
Dacă avem, pe dispozitiv, un software malițios care înregistrează ceea ce tastezi, un astfel de manager parole nu mai necesită tastarea parolei și a numelui de utilizator.
Pur și simplu îți introduce automat, în momentul în care identifică site-ul, credențialele pe care tu le ai anexate serviciului respectiv”.
- Cum ne protejăm chiar dacă atacatorii ne află parola (de la min 04.27)
„Există posibilitatea ca atacatorii să facă rost de parola respectivă, complexă sau nu. Din baze de date care au fost leak-uite (sparte și publicate – n.red.) undeva online sau poate pe forumuri ale hackerilor.
De aceea, pe lângă parolă, este important să avem acest pas suplimentar de autentificare. Se numește „two-factor autenticator” – autentificare în doi pași.
Asta înseamnă că – prin SMS, email sau printr–o aplicație de autentificare – atunci când vrei să intri în cont primești un cod, valabil 30 de secunde, pe care să-l introduci.
Ar fi bine să nu utilizăm SMS-ul sau email-ul pentru că există posibilitatea ca atacatorii să compromită inclusiv aceste servicii.
Așa că mai sigur ar fi să avem o aplicație, o aplicație de tip authenticator pe telefon. Cum sunt Google authenticator sau Microsoft authenticator. Sunt mai multe tipuri de aplicații care generează aceste coduri”.
- Cum îți dai seama când cineva încearcă să te păcălească online? (de la min 13.31)
„Dau cel mai simplu exemplu.
Eu n-am comandat nimic. Dar, totuși, primesc un mesaj că urmează să primesc un colet. Trebuie să plătesc pentru acel colet 12 lei.
Păi, eu sunt curios și introduc datele de card pentru a plăti coletul. Pentru că, cine știe, poate cineva mi-a făcut un cadou sau am câștigat la un concurs la care nu am participat (ceea ce este destul de dificil, nu?).
Trebuie să gândim logic. Și să facem o migrare - cum tot spun - a securității fizice în mediul online. Pentru că dacă ne întâlnim cu cineva pe stradă și respectiva persoană ne cere nume, prenume, adresă de email, parolă sau tot felul de date dintr-astea personale, nu i le dăm.
Pentru că nu știm cu cine avem de-a face. Până și pe polițist îl punem câteodată să se legitimeze. (...)
Atacatorii, de regulă, sunt foarte vagi, în momentul în care îți trimit astfel de mesaje.
Nu-ți oferă foarte multe detalii. Exemplu: vine o citație cu branding-ul DNSC, al Europol sau al Poliției, în care ești acuzat că ai urmărit materiale pornografice sau mai știu eu ce. Și trebuie să dai un răspuns în 48 de ore. Nu ți se dă niciun fel de detaliu de unde ai informația asta, de ce Europol, de ce DNSC sau Poliția Română?
Scopul lor este, pur și simplu, să panicheze utilizatorul și să-l determine să-i contacteze”.
- Uneori, păcăleala e mai complicată. Cum o recunoaștem și cum ne păzim? (de la min 18.58)
„Este un trend crescător al oportunităților false de investiții care sunt propagate - atenție! - prin social media. Prin Facebook, prin Youtube, inclusiv cu ajutorul videoclipurilor de tip deep fake.
Ce fac atacatorii? Încearcă să compromită o pagină. Sau - dacă nu au chef, între ghilimele, să compromită o pagină de Facebook care are deja o anumită audiență - poate lansează ei o pagină sau un cont cu ajutorul căruia vor face anunțuri sponsorizate cu scam-uri.
De exemplu, o falsă oportunitate de investiție. Investești 5.000 RON și poți să obții până la de trei ori diferența în 2-3 zile, de exemplu.
Iar pentru anumite clipuri deja existente, alterează conținutul.
De exemplu, un interviu cu premierul sau poate cu președintele sau poate chiar cu un om de afaceri, cum ar fi Țiriac sau Gigi Becali.
Peste sunetul original este pus un alt audio, făcut cel mai probabil cu aplicații de tip text-to-speech. E un text în limba română care este automat vocalizat în limba engleză. Atenție, un indiciu al falsului este că acel text nu este perfect citit.
Destul de multă muncă, inclusiv muncă migăloasă din partea atacatorilor, față de celelalte scenarii de până acum.
Este îmbucurător și trist, în același timp.
Este trist pentru noi, pentru că trebuie să fim din ce în ce mai pregătiți, dar este îmbucurător pentru că mi se pare că astfel arătăm că am crescut oarecum nivelul și nu mai mușcăm la orice tip de momeală în mediul online”.
- Cum afli dacă un site e suspect și ce faci dacă ai greșit și ai introdus deja date pe el? (de la min 30.44)
„În primul rând, nu trebuie să ne panicăm.
Luăm exemplul unui utilizator care a intrat pe un site de phishing și a introdus date personale, date de autentificare, date financiare.
O iei în ordinea importanței datelor respective. Ce e important pentru tine în momentul în care ai introdus datele respective?
Ce ar putea să exploateze imediat atacatorii? În primul rând, datele de card.
Pentru că cu datele de card pot să facă cumpărături inclusiv pe site-uri care nu au 3D Secure (un sistem prin care - pe lângă introducerea datelor de card - ești obligat să și validezi acea tranzacție din aplicația ta de internet banking).
Sunăm la bancă și blocăm instrumentul de plată.
Mi s-a întâmplat inclusiv mie.
Am văzut că am o tranzacție undeva pe Amazon, făcută la 5:00 dimineața.
Făcusem într-adevăr cumpărături de pe Amazon. Dar știam că s-a întâmplat undeva după-amiaza, după ora României. N-am luat în considerare fusul orar.
N-am înțeles de ce am fost notificat cu privire la tranzacția respectivă. Și era o sumă de bani care mi se părea suspectă, pentru că era în lei, în loc de dolari. Mi s-a părut că cineva mi-a luat datele de card.
Am sunat imediat la bancă și am blocat cardul respectiv. Nu era, de fapt, nicio problemă. Dar mai degrabă suflăm și în iaurt și blocăm cardul respectiv!
Pentru că este destul de simplu să regenerăm rapid alt card. Se poate face asta inclusiv în aplicație decât să riscăm și să spunem că nu, nu e nicio problemă (...)
Cum am suspectat că un site nu e ok?
Îl verific cu o soluție de securitate. Îl verific cu un instrument tip scamedvisor.com, care este un site pe care tu poți să introduci link-uri, cum ar fi unele ale magazinelor online.
Și scamedvisor.com îți dă un rating de securitate a site-ului respectiv, să vezi cât de sigur este să introduci date pe el.
Dacă am făcut analiza site-ului respectiv pe care am introdus date și avem un rating de securitate negativ, anunț imediat banca.