Po trzecie, należy korzystać z dodatkowych zabezpieczeń. Rozwiązaniem, które chroni naszą pocztę całkowicie, jest – jak mówi Marcin Maj – tzw. klucz U2F. To urządzenie, przypominające wyglądem pamięć zewnętrzną, łączymy z naszym komputerem za pośrednictwem portu USB lub ze smartfonem za pomocą połączenia bezprzewodowego i wiążemy z określoną usługą (np. kontem e-mailowym czy bankowym). Przy próbie logowania do konta powiązanego z kluczem U2F wysyła ono zapytanie o tzw. klucz prywatny przechowywany przez nasze urządzenie. Klucz rozpoznaje adres, z którego zadawane jest pytanie, więc przy próbie phishingu nie udzieli prawidłowej odpowiedzi. Gdyby Michał Dworczyk zabezpieczył konto w taki sposób, aby poznać treść jego e-maili, trzeba byłoby fizycznie ukraść mu jego klucz.
Atak można utrudnić dzięki wspomnianemu wcześniej uwierzytelnianiu dwuetapowemu, ale – jak zaznacza ekspert z serwisu niebezpiecznik.pl – nie jest to zabezpieczenie doskonałe. Jeśli chwycimy „przynętę" rzuconą nam przez cyberprzestępcę stosującego phishing, istnieje prawdopodobieństwo, że na jego prośbę potwierdzimy logowanie z naszego urządzenia lub przekażemy mu kod wymagany do autoryzacji. Wyobraźmy sobie taką sytuację: otrzymujemy mail od naszego dostawcy poczty, że ze względów bezpieczeństwa musimy się na nią zalogować, korzystając z przesłanego linku. Podejmujemy taką próbę, przestępca uzyskuje nasze hasło i próbuje zalogować się na nasze konto. Otrzymuje komunikat, że musi potwierdzić logowanie np. za pomocą drugiego urządzenia. W tym momencie wysyła do ofiary kolejną wiadomość, w której prosi o to, by potwierdziła logowanie. Jeśli przy pierwszym mailu ofiara wypełniła prośbę przestępcy, przy drugim też pewnie to zrobi. Marcin Maj zaznacza jednak, że takie rozwiązanie i tak warto zastosować, jeśli nie mamy dostępu do tych absolutnie najlepszych.
Pewną nadzieję niosą ze sobą technologie biometryczne, wykorzystywane już np. przez smartfony czy laptopy, do których dostęp uzyskujemy za pomocą np. odcisku palca czy konturu twarzy. Ba, naukowcy z Uniwersytetu Berkeley stworzyli nawet system autoryzacji za pomocą fal mózgowych.
Marcin Maj zauważa jednak, że biometria ma swoje słabe strony. – Odciski palców zostawiamy w różnych miejscach, twarz nosimy właściwie na widoku, a niektóre dane biometryczne, np. geometria dłoni, mogą się zmieniać niezależnie od naszej woli, np. w toku starzenia się – mówi.
Ekspert wskazuje też, że np. skaner dłoni udało się oszukać kawałkiem wosku ze specjalnym nadrukiem. – Biometria ma wiele zalet, ale nie jest remedium. Nie możemy polegać na niej zawsze w 100 proc., a zatem to trochę pieśń przyszłości – mówi.
Z kolei Piotr Kupczyk wskazuje, że nawet przy zastosowaniu systemów biometrycznych gdzieś w tle musi być klasyczne hasło – potrzebne na wypadek, gdybyśmy np. w wypadku stracili palce, których odcisków używaliśmy do logowania. Zdaniem eksperta biometria będzie na co dzień zastępować hasła, ale nie wyprze ich całkowicie.
Cel: zmienić nawyki
Człowiek jest z natury rzeczy istotą wygodną, lubi mieć dostęp do wszystkiego, co uzyskuje, najprościej i najszybciej, dodatkowo jeszcze, żeby było najtaniej, bez ponoszenia kosztów własnych, stąd bardzo często płaci za wszystko swoimi danymi osobowymi, bardzo wrażliwymi. Dodatkowo, dzisiaj każdy z nas korzysta już nie z kilku, ale raczej z kilkudziesięciu serwisów sieciowych. Tracimy kontrolę nad tym, co robimy w sieci. Pozwalamy prawie na wszystko, aby tylko ułatwić sobie życie. W tej lawinie wiadomości, zachęt do klikania i udzielania zgód coraz łatwiej stać się ofiarą internetowego oszustwa – podkreśla Mirosław Maj.
Prezes Fundacji Bezpieczna Cyberprzestrzeń zwraca uwagę, że największym problemem jest zmiana nawyków. Jak przekonuje, często nie ma konfliktu między bezpieczeństwem a wygodą. – Bezpieczeństwo jest wygodne – mówi. Jako przykład podaje szkolenie, które prowadził. W jego trakcie spytał uczestników, kto z nich używa menedżerów haseł (programów do generowania i zarządzania hasłami do różnych kont, z których korzystamy – stosowanie takiego programu umożliwia nadawanie każdemu naszemu kontu osobnego, trudnego do złamania hasła, bez konieczności zapamiętywania go, bo hasło pamięta program). Okazało się, że choć w sali było wielu młodych ludzi, z programu korzystała tylko jedna uczestniczka szkolenia – księgowa w średnim wieku. Na pytanie, czy wyobraża sobie funkcjonowanie bez tego narzędzia, stwierdziła, że byłoby to bardzo trudne. Sam Maj przyznaje, że on – korzystając na co dzień z menedżera hasła – nie byłby w stanie podać cyberprzestępcy hasła do swojego konta w banku, bo go po prostu nie zna. – Jeśli zaczynamy się przyzwyczajać do tych narzędzi, dostrzegamy ich zalety – mówi.
Podkreśla, że nie namawia nikogo do gwałtownej zmiany nawyków. Wystarczy zmienić jeden swój nawyk raz na jakiś czas, np. przejść co do zasady na dwuetapowe uwierzytelnianie dostępu do kont. – Wystarczy zmiana jednego nawyku, by stać się trudniejszym celem dla cyberprzestępcy – przekonuje. A wtedy rośnie szansa, że przestępca odpuści sobie atak na nas.
Jeśli chodzi o rządzących, dobrym nawykiem byłoby sięgnięcie przez nich po stworzony pod egidą ABW kosztem 18 mln zł system CATEL składający się z kilku tysięcy telefonów i kilkuset laptopów gwarantujących bezpieczną komunikację. Bezpieczną nie tylko dzięki szyfrowaniu, ale również przez to, że system ten jest odcięty od internetu, dzięki czemu można bezpiecznie przesyłać za jego pośrednictwem dokumenty niejawne. Dlaczego politycy z tego systemu nie korzystają? – Niektórym za ciężko jest nosić to drugie urządzenie, które trzeba autoryzować, do którego trzeba się logować, trzeba pamiętać hasło – mówił niedawno były szef ABW Krzysztof Bondaryk.
Człowiek jeszcze długo będzie najsłabszym ogniwem tego systemu.
