Cyberataki - czy uwierzytelnianie dwuskładnikowe powstrzyma hakerów?
Michał Dworczyk, Szef KPRM, którego skrzynka pocztowa padła ofiarą hakerów, nie korzystał z uwierzytelniania dwuskładnikowego. Co to za rozwiązanie i czy rzeczywiście może ochronić nasze konto? Jakie inne zabezpieczenia mogą być przydatne, aby obronić nasze dane w okresie pracy zdalnej i obniżonej przez wakacje czujności?
Badania Vmware 2021 Global Security Insights Report wskazują, że w ostatnich miesiącach liczba ataków cyberprzestępczych drastycznie wzrosła. Prawie 80 proc. firm twierdzi, że głównym powodem takiej sytuacji jest praca zdalna.
Jednocześnie okres urlopowy to "czas żniw" dla cyberprzestępców. Eksperci radzą, aby strzec się fałszywych maili, w których cyberprzestępcy podszywają się pod hotele i strony oferujące atrakcyjne i tanie noclegi. Każda okazja jest dobra, aby przejąć nasze konto.
Niestety, jak oceniają eksperci, nawet skomplikowana kombinacja cyfr i liter nie ma wielkiego znaczenia. Każde hasło - prędzej czy później - może zostać przejęte przez hakera. Czy to przy pomocy złośliwego oprogramowania, które użytkownik komputera lub smartfona zainstaluje, klikając w fałszywy link, czy poprzez klasyczny phishing albo kradzież danych dostępowych użytych do zabezpieczenia kont na innych stronach.
Ratunkiem może być uwierzytelnianie dwuskładnikowe. Polega ona na dodatkowej weryfikacji, np. wprowadzeniu kodu wysłanego na osobisty telefon lub skanowaniu odcisku palca. - Uwierzytelnianie wieloskładnikowe stanie się kolejnym złotym standardem bezpieczeństwa, ponieważ chroni użytkowników nie tylko przed cyberprzestępcami, ale nawet przed nimi samymi - komentuje Tomasz Kowalski, prezes i współzałożyciel Secfense.
Google na początku 2017 roku w całej organizacji wprowadził dla 85 000 pracowników i dzięki temu wyeliminował problemy powodowane przez maile phishingowe.
- Człowiek jest nadal najsłabszym ogniwem zabezpieczeń, dlatego trzeba wprowadzać rozwiązania, które będą wspierać jego działania w internecie. Tym bardziej w czasie wakacyjnego rozluźnienia - dodaje Kowalski.
Z przechowywania istotnych danych w skrzynkach mailowych przenieśliśmy się do chmury, ale również cloud computing ma swoje wady.
Zdaniem ekspertów szczególnie trudnym obszarem do zabezpieczenia jest zaplecze aplikacji w chmurze, które zostały wdrożone w infrastrukturze Amazon AWS, Google Cloud Platform i Microsoft Azure. Łakomym kąskiem dla hakerów są usługi Microsoft Office 365 i Google Workforce - obie platformy są szalenie popularne zarówno w firmach, jak i w szkołach, na studiach oraz podczas pracy zdalnej.
- Chyba największym błędem popełnianym przez użytkowników jest wyjście z założenia, że jeśli usługi są obsługiwane przez Microsoft i Google, oznacza to, że są one bezpieczne i dobrze chronione. Chociaż obaj usługodawcy podejmują kroki w celu zabezpieczenia swoich usług, ich odpowiedzialność jest ograniczona - tłumaczy Mariusz Politowicz z firmy Marken.
Uniwersalną zasadą, jaka obowiązuje wśród ekspertów jest teoria "ograniczonego zaufania". Co za nią stoi?
Nie odbieraj podejrzanych maili, nie klikaj w przesłane linki, sprawdzaj domeny i adresy, z których otrzymujesz e-maile. Nie ufaj dzwoniącym konsultantom, nawet takim, którzy dzwonią z "Twojego banku". Nie instaluj sugerowanych przez nich aplikacji na swoim smartfonie, zwracaj uwagę na stosowane socjotechniki.
Nie loguj się do niezabezpieczonych sieci wi-fi. Jeśli już musisz, nie wykonuj wtedy operacji na koncie bankowym lub takim, które zawiera wrażliwe dane. Jeśli łączysz się z siecią firmową, konieczny jest nie tylko VPN, ale również wspomniane wcześniej uwierzytelnianie dwuskładnikowe. Ten ostatni element warto stosować zawsze.
