Transkrybcja podcastu "Bądź bezpieczny w internecie"

Mateusz Różański: Dzień dobry Państwu, zapraszam na kolejny odcinek podcastu „Z każdym o wszystkim”. Dzisiaj rozmowa na temat bezpieczeństwa w cyberprzestrzeni, którą poprowadzę z człowiekiem, który na cyberprzestrzeni, a dokładnie na jej dostępności zna się chyba najlepiej w Polsce, a na pewno jest jednym z najlepszych specjalistów w tej dziedzinie. Przedstawiam Państwu Jacka Zadrożnego, specjalistę do spraw dostępności cyfrowej. 

Jacek Zadrożny: Dzień dobry Mateuszu, no bardzo pięknie mnie przedstawiłeś.

Dobrze jest miło zacząć rozmowę, a przede wszystkim właściwie przedstawić swojego gościa, ale miejmy za sobą już kurtuazję i przejdźmy do bardzo trudnego tematu w który niewiedza potrafi bardzo słono kosztować, czyli właśnie cyberbezpieczeństwa. Bo często jest tak, że nam się wydaje, że ten świat cyfrowy to jest taka lepsza, uładzona wersja tego świata realnego, że tu wszyscy nam chcą wręczać iPhony, przesyłać nam paczki, sprzedawać nam ubrania za jedną dziesiątą ceny i są dla nas wszyscy bardzo mili i niczego od nas tak naprawdę nie chcą, tylko chcą nas uszczęśliwiać. I to jest pytanie, czy rzeczywiście tak jest? I jak osoby z niepełnosprawnością mogą odróżniać to, co z sieci jest bezpieczne, a to od czego lepiej trzymać się z daleka?

Pytanie zadałeś retoryczne, oczywiście, że tak nie jest. W sieci jest bardzo dużo różnego rodzaju zagrożeń, to, o czym wspomniałeś to jest phishing i to jest tylko jedno z zagrożeń jakie czyha na użytkowników w Internecie. Na czym to polega? No przede wszystkim chodzi o to, żeby człowieka oszukać w ten sposób, że odbiera wiadomość: mailową, SMS czy stronę internetową jako prawdziwą i próbuje się go przekonać do tego różnymi sposobami. I to oczywiście oznacza, że trzeba być czujnym. Najpierw powiem może, co się nie sprawdza. Nie sprawdza się mianowicie patrzenie sobie czy jest kłódka na stronie internetowej. Kłódka, czyli zastosowane szyfrowanie end-to-end. To jest wskaźnik tylko tego, że pomiędzy przeglądarką a serwerem informacja jest szyfrowana, to znaczy nikt jej po drodze nie przechwyci. To znaczy nie będzie tej trzeciej osoby, która mogłaby coś odczytać, ale to wcale nie oznacza, że ta strona do której się na przykład chcemy zalogować jest bezpieczna. Także, tak, dobrze jeżeli strona ma kłódeczkę, ale to nie jest wystarczające, zdecydowanie nie jest. Teraz wszyscy mają kłódeczki, bo gdyby jej nie mieli to w ogóle nikt by tam nie zajrzał. No i teraz zagrożenia, taki phishing opiera się na kilku różnych sposobach. Pierwszy taki, bardzo często spotykany to są homografy, czyli znaki, które są bardzo podobne wizualnie, do takich znaków, które są w prawdziwej nazwie. I tak na przykład literkę „l” zastępuje się „jedynką”, które no zwłaszcza tak, jak się dobrze nie przyjrzeć są do siebie bardzo podobne i na przykład allegro mogłoby się w takiej sytuacji nazywać, „a jeden jeden egro”. Co ciekawe, to jest forma oszukiwania na którą są kompletnie niewrażliwe osoby niewidome, one słyszą, że tam nie jest napisane allegro, bo to prawidłowo przeczyta im czytnik ekranu, natomiast wszystkie inne osoby prawdopodobnie przeczytają to tak jak oczekuje tego oszust. No i co z tym można zrobić? To albo nie, zostawmy to na troszkę późniejszych – jak się zabezpieczyć? Natomiast jako ciekawostkę powiem, że ponieważ ten wektor ataku jest nieprawidłowy, jeżeli chodzi o osoby niewidome, to ja kiedyś sprawdziłem inny wektor ataku, mianowicie homonimy i przygotowałem taką ankietę na Google Docs w której poprosiłem o to, żeby osoby z grupy na Facebooku, które są niewidome, odpowiedziały z jakiego banku korzystają. Wszystkie nazwy tak zmodyfikowałem, żeby one brzmiały tak samo, oczywiście były napisane inaczej, na przykład mBank miał na końcu „ g”, a nie „ k” , w związku z tym osoba widząca natychmiast zobaczy, że coś jest nie tak, ale osoby niewidome doskonale dawały się oszukać. To oczywiście jest bardzo, taki specyficzny wektor ataku, więc raczej nie sądzę, żeby ktoś tworzył specjalnie takie ataki, ale pokazuje, jakie istnieje zagrożenie, że takie bezrefleksyjne patrzenie na stronę internetową jest oczywiście ryzykowne. Drugi model to oprócz tego, że jest sfałszowana domena, no to oczywiście fałszuje się całą stronę internetową, robi się kopię po prostu, taką kopię strony oryginalnej, która wygląda tak samo, zazwyczaj działa też bardzo podobnie, za to... no nie jest on prawdziwą i służy do wyciągania danych. I tutaj na przykład spotkałem się jakiś czas temu, bo ja sobie robię eksperymenty, jak takie rzeczy do mnie przychodzą, mianowicie dostałem taki SMS, który wyglądał mi bardzo podejrzanie, więc sobie go kliknąłem. On był od mojego banku – teoretycznie, kliknąłem, otworzyło mi się, już widziałem, bo przeglądarka mnie poinformowała, że ten link wygląda dziwnie, więc i tak sobie wszedłem. No i jak to działa? Jest tam miejsce na login, na hasło, tylko, że – i to jest właśnie ten model obrony, którego można używać – mój menedżer haseł nie zadziałał, to znaczy nie znalazł hasła i loginu do tej konkretnej domeny. Ja używam menedżery haseł, bo uważam, że to jest z wielu względów bardzo pożyteczne narzędzie, no to już wiedziałem, że coś jest nie tak. Więc sobie wymyśliłem taką sztuczkę, że wpisałem tam w zasadzie losowe, wiedziałem, że ma być osiem cyferek i jakieś hasło i kliknąłem wyślij. I zadziało się prawie dokładnie, to samo, co zwykle, to znaczy przyszedł mi SMS z prośbą o przepisanie kodu do banku. Sęk w tym, że ja nie używam kodów SMS-owych, używam aplikacji mobilnej w której te powiadomienia się pojawiają i tam zatwierdzam operacje, więc już byłem pewien, że to jest nie tak. Natomiast to jest kwestia podnoszenia wiarygodności, bo to ma działać dokładnie tak samo, bo to, co tam wpiszę to już jest mniej więcej wszystko jedno, natomiast w tym samym czasie – co się działo? Mianowicie oszuści na te właśnie dane, które wpisałem w login i hasło, celowo próbowali zalogować się do banku i wysłać do mnie takie prawdziwe powiadomienie. No bo wiadomo, to pierwsze wysłali oni, żeby zamaskować swoje działania, to drugie, to już miał wysłać rzeczywiście bank. Ja oczywiście wiedziałem, co się dzieje, więc no mogłem się tak jeszcze chwilkę pobawić, ale to jest bardzo sprytnie pomyślane, tym bardziej, że strona internetowa – ta oszukańcza również poinformowała mnie, że trzeba będzie potwierdzić dwukrotnie. Także mam informację, że dwukrotnie. Raz przyszło dobrze, drugi raz przyszło przepisałem i gdybym to zrobił, gdybym naprawdę to zrobił, no to dałbym dostęp oszustom do mojego konta. Czy dałbym im możliwość dokonywania przelewów? Nie wiem, bo dalej nie chciałem iść z tą zabawą, a na tym etapie oczywiście musiałem się zatrzymać, bo inaczej naprawdę dałbym dostęp do swojego banku, ale to mniej więcej tak działa, jeżeli chodzi o phishing. Także bardzo serdecznie polecam wszystkim używanie menedżerów haseł, które nie tylko pozwalają na to, żeby zapamiętywać hasła, ale też są przeważnie międzyplatformowe, to znaczy można mieć na jednym komputerze, na drugim, na trzeci. Ja używam akurat „Bitwarden”, ale takich menedżerów jest więcej i one też wymyślą nam odpowiednio skomplikowane hasła, żebyśmy nie używali wszędzie takich samych; no jak to ludzie mają często w zwyczaju.

No tak, poda na przykład jedynie: data urodzenia, nazwisko, imię czy jeden, dwa, trzy, cztery, Święty Mikołaj i potem takie hasło...

To jeszcze nie jest takie groźne, jeżeli takie hasło jest. Problem polega na tym, że takie hasła czasami wyciekają, jeżeli ktoś ma takie hasło i to hasło wycieknie, no to zdarza się, że trafia w ręce nieodpowiednich ludzi i oni po prostu próbują w różnych serwisach zalogować się tym hasłem. No, bo oczywiście ludzie mają te same hasła w wielu miejscach, więc popróbują sobie tu, tu, tu i może gdzieś trafią. Także słuchać też ostrzeżeń przeglądarki, na przykład przeglądarka „Chrome”, przeglądarka „Safari” ostrzegają, że te hasła pojawiły się wśród ujawnionych, więc warto je zmienić. No i ja rekomenduję, żeby je zmieniać.

Dobrze, a teraz pytanie: czy jest jakieś rodzaj tych przestępstw internetowych, na który szczególnie narażone są na przykład osoby z niepełnosprawnością wzroku? Czy osoby na przykład z niepełnosprawnością słuchu? Czy jest taka kategoria przestępstw?

Jest, w przypadku osób niewidomych, no to przede wszystkim kamery. Kamery, które potrafią sczytywać różne rzeczy, a osoba niewidoma nie jest świadoma, że ktoś akurat ich podgląda w tym momencie. Bardzo złą praktyką jest kierowanie kamer monitoringu na miejsca, gdzie się płaci na przykład kartą. Nie powinno tego absolutnie być też w bankomacie, tyle że w bankomacie, czy w innym miejscu osoba widząca może taką kamerę zauważyć, czasem pewnie nie zauważa, ale może. Osoba niewidoma nie ma żadnej szansy, żeby to zobaczyć. Czy osoba g/Głucha? Tak, ale to trochę z innego powodu, mianowicie może być tak, że nie wychwyci dziwności, że się tak wyrażę na stronie internetowej, bo za słabo zna język polski często, a to oznacza, że będzie bardziej narażona na takie prostsze oszustwa. Jeżeli dostajesz te maile, o których wspominałeś na początku, o tym, że chcą Ci sprzedać iPhona za pół ceny itd. itd., to pewnie także trafiają Ci się takie maile: Drogi najukochańszy w Jezusie Mateuszu, jestem i tutaj pada jakieś nazwisko, z Nairobi, mój mąż pozostawił osiem milionów dolarów w miejscowym banku, ja go chcę przeznaczyć do podziału między ludzi, którzy na to zasługują, wierzących, którzy dobry użytek z tego zrobią. Dostajesz?

Wiesz co? Ja dostaję inne, ja np. dostaję fragmenty Harry'ego Pottera po rosyjsku, informację, że jakaś dziewczyna z Uzbekistanu, która też bardzo lubi Harry'ego Pottera bardzo chętnie by mnie poznała. Właśnie, do Ciebie widać piszą wierzący z Nairobi, a do mnie piszą, szukające męża dziewczyny.

Wspólnoty dusz.

Wspólnoty dusz, dziewczyny z Uzbekistanu, więc widać jesteśmy trochę inaczej inaczej targetowani, ale no...

Wiesz co? To nie jest targetowane, to tak naprawdę jest strzelanie milionami kul, że którąś się trafi. Także, ja nie sądzę, żeby ktoś to targetował, bo to się nie bardzo opłaca. Natomiast, generalnie chodzi o to, że to przeważnie jest napisane takim koślawym językiem, każdy, kto dobrze zna język polski, to natychmiast się połapie, że coś tu jest cholerka nie tak. Osoba, która zna gorzej język polski nie połapie się, bo to jest napisane za pomocą polskich słów, bardzo nie gramatycznie i to jest nawiasem mówiąc sztuczka oszustów. Wiesz? To nie jest tak, że to przypadek, bo teraz tłumacze-elektroniczne są takie mądre, że sobie spokojnie poradzą z przetłumaczeniem na zrozumiały język. To jest całkowicie celowe, żeby z tych miliona kul, które oni wystrzelą, żeby odsiać tych, którzy są ogarnięci i nic im nie dadzą, więc odsiewają te 99,9% ludzi, którzy natychmiast takie wyrzucają i polują już na ten jeden promil, którzy tego nie wyrzucili, może się odezwali. W ten sposób oszczędzają sobie pracy, więc to jest przemyślane, a nie przypadkowe. No ale tak, jeżeli ktoś słabiej zna język polski, może być bardziej narażony na takie sytuacje, ale to jest generalnie również problem osób z niepełnosprawnością intelektualną, tak że mogą się łatwiej nabierać na takie oszustwa. To są tego typu zagrożenia.

To jest pytanie: czy jest możliwość zabezpieczenia się? Domyślam się, że sytuacje typu, że ktoś mi wysyła maila po prostu, na losowy adres to trudno mi się zabezpieczyć przed tym, no po prostu gdzieś ten mój mail i tak krąży i gdzieś te bazy maili Ci oszuści po prostu mają i te wspólnoty religijne z Nairobi czy dziewczyny z Uzbekistanu będą na te losowe maile trafiać. A jak jest z innymi przestępstwami internetowymi? Czy są jakieś sposoby, szczególnie właśnie myślę o osobach z niepełnosprawnością, czy są dla nich jakieś takie tipy, żeby zabezpieczać swoje dane? Żeby troszkę zbudować takie tarcze w swoim komputerze, w smartfonie przed kradzieżą danych, kradzieżą pieniędzy?

To pierwsza tarcza, no to jest właśnie menedżer haseł. Ja zasugerowałem „Bitwarden”, ale tak naprawdę każda przeglądarka, nowoczesna ma wbudowany taki menedżer haseł czy to „Chrome” czy „Edge” czy właśnie „Safari” mają budowany. Po prostu trzeba sobie tą obsługę tego włączczyć, on będzie automatycznie zapamiętywał hasła, a potem będzie automatycznie je wpisywał. I nie wpisze automatycznie do strony, z której to hasło nie pochodzi. To jest pierwsza tarcza. To jest bardzo fajne zabezpieczenie, bo nie tylko ułatwia życie, ale też chroni. Drugie zabezpieczenie tyle tylko, że nie jestem pewien czy dla wszystkich, bo to jednak trzeba umieć zrobić. Nie jest to bardzo skomplikowane, ale jednak trzeba to umieć zrobić, to jest dwuskładnikowe uwierzytelnianie, a nie jak z bankiem, tak żeby zrobić przelew to trzeba potwierdzić to albo klikając na powiadomienie w aplikacji albo przepisać kod albo w jakiś inny sposób. I w ten sposób tu można zabezpieczyć także swoje konto w bardzo wielu serwisach internetowych, na przykład: na Facebooku, na Twitterze, na Instagramie; no bardzo wielu, zwłaszcza tych większych, jest taka możliwość, żeby włączyć sobie takie zabezpieczenie.

No, niektóre wręcz tego wymagają w tej chwili.

No, ja nie wiem, kto wymaga. Nie zauważyłem, raczej tak bardzo zachęcają niż wymagają, ale na czym polega to zabezpieczenie? Polega na tym, że, żeby ktoś się mógł zalogować, łącznie z Tobą, musi wykonać dodatkową operację, potwierdzającą, którą możesz wykonać tylko Ty. I w ten sposób wiadomo, że to Ty się logujesz, nawet jeżeli oszust dostanie Twój login i hasło, to i tak się nie zaloguje, bo Ty musisz tą operację potwierdzić. Jak to wygląda w praktyce? Ja najczęściej korzystam z takiego rozwiązania z QR kodem, mam aplikacje, są takie specjalne do właśnie takich czynności i one działają w ten sposób, że trzeba zeskanować tam po w kliknięciu sobie oczywiście, że chcemy dwu składnikowe uwierzytelnianie, generuje kod QR. Ja sobie tą aplikacją skanuje i on sobie już wszystkie rzeczy zapisuje u siebie i co się potem dzieje? Potem jak chcę się zalogować, to wyświetla mi się informacja, żebym przepisał kod i ja wtedy otwieram aplikację, klikam sobie na przykład na Facebook i wyświetla mi się sześciocyfrowy kod i przepisuje go, daje okej i jestem zalogowany. Czy coś Ci to przypomina?

Coś mi na pewno przypomina, ale wolę to usłyszeć z Twoich ust, bo nie chcę wyjść przed Słuchaczami na ignoranta.

A nie, ja tylko chciałem tak powiedzieć, że to jest już używane bardzo często. Mianowicie BLIK tak działa przecież.

Ale gdyby właśnie mógł powiedzieć o kolejnych właśnie, czy są jeszcze jakieś inne rozwiązania takie, które będą nas chroniły, ale może też takie rozwiązania miękkie, takie, które my na przykład czy jako odbiorcy możemy się nauczyć jakiś, takich sposobów rozpoznawania tych różnych przestępstw?

No pierwsza rzecz jaka jest to pewna ostrożność. Nie otwieranie maili od kogoś, kogo absolutnie nie znamy albo otwieranie ich w bezpiecznych warunkach. No, ja tu pozwolę sobie po raz kolejny zarekomendować: iOS jest zdecydowanie systemem bezpieczniejszym niż Android. Ja tam się nie boję otwierać linków i jeżeli już otwieramy to broń Boże nie klikamy na załączniki, bo jeżeli to przychodzi z zewnątrz, – to jest kolejny rodzaj zresztą oszustwa, – to taki załącznik może udawać coś innego niż jest naprawdę. Zazwyczaj robi się tak, że daje mu się nazwę z rozszerzeniem: pdf albo jpg, ale tak naprawdę to jest plik wykonywalny na przykład exe albo jakiś skryptowy, tyle tylko, że większość użytkowników w systemie ma wyłączone wyświetlanie rozszerzeń, więc to, co widzą: kropka pdf nie jest wcale rozszerzeniem tylko kawałkiem nazwy, a rozszerzenie, czyli exe jest ukryte. Więc, jeżeli chcecie się na dzień dobry poczuć bezpieczniej, to można sobie włączyć po prostu wyświetlanie tych rozszerzeń, żeby mieć pewność, że to, co klikacie to jest właśnie pdf, a nie plik wykonywalny, ale generalnie odradzam klikanie na załączniki od osób, których nie znacie, na pliki, których się nie spodziewacie, że nie dostajecie; po prostu tego nie klikać, bo różne takie niemiłe aplikacje potrafią zaszyć się w bardzo różnych formatach, to nie musi być plik wykonywalny exe; potrafią się zaszyć w dokumencie word, to znaczy same się nie zaszywają – przepraszam, bo teraz to wyszło, że one same to robią. Nie, nie, źli ludzie zaszywają, je w dokumentach word, pdf, w jpeg'i raczej się tego nie da wsadzić, ale w html na przykład to jak najbardziej można zaszyć przeróżne nieprzyjemne rzeczy. Więc nie klikać w takie załączniki w ogóle, chyba, że się upewnimy, że to jest na pewno bezpieczne, jeżeli to jest mail od kogoś znajomego, no to oczywiście można już to sobie klikać, zwłaszcza jak się spodziewany; wtedy ryzyko jest tylko takie, że tamten ktoś był zarażony i tutaj się przeniósł nam taki niebezpieczny kod do jego pliku i w ten sposób my dostaniemy, ale przed tym to już się naprawdę bardzo trudno zabezpieczyć. Więc tak: maile – nie klikać na załączniki, otwierać z ostrożnością, a i włączyć zabezpieczenia, które są wbudowane w wielu klientów poczty, na przykład żeby nie uruchamiały się skrypty, żeby nie pobierały się obrazki same, żeby wyświetlało się, np. w postaci prostego html'a albo wręcz txt, a nie w bogatym html'u. Jest tego trochę, takich rzeczy, które można porobić. Na szczęście te „klienty” są też często bardzo takie sprytne same w sobie i potrafią takie rzeczy wykrywać, jak oszustwa właśnie albo niebezpieczne treści i wyświetlają na ten temat komunikaty, które ludzi czasem irytują, bo tam wyświetlają się, wskakuje coś albo coś się odzywa, no ale to jest tak naprawdę dla bezpieczeństwa, także nie wyłączać tych zabezpieczeń, bo Was wkurzają, bo one są po to, żeby Was chronić.

Dobrze, to zadam Ci teraz takie, ostatnie już w naszej rozmowie pytanie o antywirusy i tego typu różne oprogramowanie. Czy warto mieć takiego antywirusa zainstalowanego? Bo często wiele osób ma ciągle te powiadomienia, że: jest dla Ciebie opcja zainstalowania, gdzieś nawet nam się wyświetla, gdzieś zainstaluj, bądź bezpieczny, czyhają zagrożenia. Czy rzeczywiście warto sobie takiego antywirusa zainstalować? Jakie są z tego korzyści, ale też czy są zagrożenia? Bo sam słyszałem o takim oprogramowaniu, które udaje antywirusa, a tak naprawdę jest trochę takim „wirusem mafiozą”, czyli że niby nas schroni przed tym innymi, ale tak naprawdę też jakby jest groźny dla naszego sprzętu, dla naszych danych.

Och! Tu jest bardzo wiele różnych wątków, bo pierwsza rzecz: nie klikać nigdy w życiu na to jak się wyświetli na przykład jakieś okienko na stronie internetowej, że twój telefon, twój komputer jest zagrożony, zainstaluj albo, że wykryliśmy wirusa, to od razu mówię to jest zawsze, ale to zawsze oszustwo. Żadna strona internetowa nie jest w stanie sprawdzić nam, bez naszej zgody, czy mamy wirusa, czy nie, więc jeżeli taki komunikat się wyświetla natychmiast musi się zapalić czerwona lampka. Jeżeli klikniemy tam, to prawdopodobnie pobierzemy właśnie bardzo jakieś niebezpieczne oprogramowanie i własnoręcznie je zainstalujemy, więc tego na pewno nie robić. Drugie: czy mieć antywirusa w ogóle? No to trochę zależy, bo trochę zależy, bo są systemy, które są, jeżeli nie całkiem odporne, bo takich to oczywiście nie ma, ale są bardzo odporne, no to takich antywirusów, nawet na te systemy nie ma za bardzo. Mówię to o systemie: macOS, Linux czy iOS, na Windows wirusów jest zatrzęsienie i tam rzeczywiście program antywirusowy by się przydał, ale Microsoft dostarcza razem ze swoim systemem operacyjnym antywirusa i on jest całkowicie wystarczający, nie trzeba zewnętrznych aplikacji instalować. No, chyba że ktoś ma jakieś, specjalne potrzeby. Dla zwykłego użytkownika, to oprogramowanie, które dostarcza Microsoft jest w zupełności wystarczające. Oni zmieniali co chwila nazwy, więc ja zgubiłem się jak teraz się nazywa..., kiedyś nazywał się na przykład Windows Defender, ale może teraz się nazywać inaczej. Wszystko jedno, to trzeba znaleźć sobie po prostu taką opcję, żeby włączyć sobie antywirusa i już i nie instalować dodatkowych rzeczy. A trzecia rzecz: to są fałszywe antywirusy albo nawet prawdziwe, ale które robią różne inne rzeczy. Swego czasu była bardzo gruba afera z antywirusem firmy Kaspersky, to jest rosyjska firma programistyczna i robiła antywirusa, który rzeczywiście dział jak antywirusa, ale się okazało, że robi nie tylko to. Mianowicie potrafił przeszukiwać dysk, dokumenty dokładnie rzecz biorąc pod kątem różnych rzeczy. A przed tym się ucieknie, jak już sami zainstalujemy jakiś program, który jest niefajny no to już niewiele poradzimy na to, trzeba na to po prostu uważać.

Jacku bardzo Ci, dziękuję za naszą rozmowę. Moim i Państwa gościem był Jacek Zadrożny, specjalista do spraw dostępności cyfrowej.

Dziękuję bardzo, było mi bardzo miło.

Mam nadzieję, że wiedza, którą nam dzisiaj przekazał, no nie okaże się, aż tak bardzo przydatna i nie będziemy napotykać na jakieś różne zagrożenia w Internecie czy oszustwa, bo nigdy to nie jest fajne, ale że jeśli będzie taka potrzeba, to będą mogli Państwo nią się posłużyć. Jeszcze raz dziękuję i życzę Wszystkim bezpiecznego korzystania z Internetu. Pozdrawiam.