Zamów dostęp za 99 zł do końca roku szkolnego!
Artykuły
Grafiki
Prawo
Szkolenia
Dokumenty

PS to tylko cybermanipulacja

(a przy okazji uczymy się języka angielskiego)

Warsztat pracy
Łukasz Gierek
PS to tylko cybermanipulacja (a przy okazji uczymy się języka angielskiego)
Pobierz
Format .pdf, 567,34 KB

Pogoń za cyfrowym zajączkiem niesie za sobą wiele niebezpieczeństw. Warto skupić się szczególnie na dwóch technikach cybermanipulacji określonych skrótem PS – P jak phishing i S jak scam.

Ja wciąż rosnę i rosnę

Według statystyk internetowych w ciągu tylko 1 minuty importowanych jest 500 godz. materiałów wideo. Napiszę raz jeszcze, słownie: w ciągu JEDNEJ minuty importowanych jest 500 godz. materiałów wideo do serwisu YouTube1. Oznacza to, że jeżeli chcielibyśmy obejrzeć wszystkie te wstawione materiały, zajęłoby nam to ponad 20 dni oglądania non stop. Biorąc pod uwagę, że ten tekst czytasz ok. 2,5 minuty, masz do obejrzenia treści na następne 1,5 miesiąca. Ten szybko zmieniający się cyfrowy świat reguluje też nasze życie – wczoraj ktoś pytał nas o to, czy oglądaliśmy nowy serial na platformie streamingowej, a w międzyczasie kolega lub koleżanka odkryła nowy sklep internetowy, w którym oprócz fantastycznych produktów i darmowego transportu mamy rewelacyjnej jakości produkty w jeszcze lepszej cenie. Gdzieś z tyłu głowy masz wymianę auta na nowe i po jednokrotnym wpisaniu słowa „leasing/kredyt” zasypują cię oferty mailowe i reklamy kontekstowe od portali informacyjnych przez media społecznościowe, a w międzyczasie należy jeszcze pracować i żyć. Ta pogoń za cyfrowym zajączkiem powoduje, że bardzo często ufamy swojej wiedzy i doświadczeniu, co niestety może przynieść niepożądane konsekwencje. Nadszedł czas wyjaśnienie tytułu całego artykułu, za którego pomocą postaram się pokazać dwie techniki cybermanipulacji: P jak phishing i s jak scam.

O nieuwadze słów kilka, czyli łowienie haseł

Phishing, czyli wyławianie/łowienie haseł (z ang. password harvesting fishing) to jedna z technik wyłudzenia informacji (np. danych logowania, haseł). Jest to jeden z najprostszych cyberataków, często niewymagający specjalistycznej wiedzy informatycznej, a opierający się w większości na nieuwadze lub niewiedzy użytkownika. Systemy operacyjne są coraz bardziej zabezpieczone, a złamanie hasła w komputerze czy włamanie przez sieć teleinformatyczną wymaga od napastnika coraz lepszych umiejętności programistyczno-sieciowych. Wykorzystanie niewiedzy użytkowników na temat funkcjonowania chociażby domen sieciowych jest dużo prostsze i nie wymaga „nasłuchiwania” sieci wi-fi w lokalizacji geograficznej swej ofiary. Innymi słowy, jeżeli chciałbym zaatakować konkretną sieć bezprzewodową, muszę być co najmniej w jej zasięgu, a jeżeli już zdecyduję się na taki ruch, będę ograniczony swoją mobilnością czy zasięgiem kilometrów. W tej sytuacji dużo prościej jest stworzyć stronę internetową w skali 1:1 przypominającą stronę popularnego banku. Zasięg geograficzny jest wtedy dużo większy, a tym samym liczba potencjalnych ofiar.

Przestępcy posługują się prostą metodą: zwykle zostaje wykupiona domena internetowa łudząco przypominająca stronę banku właściwego (np. lng.pl jest bardzo podobne do ing.pl z tą różnicą, że w pierwszym przypadku mała litera „i” jest zastąpiona małą literą „l”). Na pierwszy rzut oka niekoniecznie zwrócimy na to uwagę, szczególnie gdy operujemy na urządzeniach mobilnych. Tymczasem zwykle pod fałszywym adresem widnieje odpowiednio spreparowana strona banku, która wygląda i działa tak samo jak oryginalna, z jednym wyjątkiem: wprowadzane dane logowania idą bezpośrednio do oszusta, a nie do banku właściwego.

Ponieważ takich domen operujących na literówce w nazwie praktycznie już nie ma na rynku lub zostały one wykupione przez banki właściwe, coraz częściej pojawiają się całe fałszywe domeny. Przykładem ataku z ich wykorzystaniem jest atak na użytkowników banku Crédit Agricole w 2021 r. Przestępcy stworzyli stronę internetową łudząco przypominającą oryginał, ale została ona osadzona pod adresem www.agricol-bank.com, wymyślonym przez oszustów. Wspomniane zaufanie użytkowników do swojej intuicji czy nieomylności w tym wypadku okazało się zgubne dla klientów banku2.

Inną strategią przestępców jest wykorzystywanie nieznajomości obcojęzycznych nazw i wykupywanie domen z fonetycznym zapisem obcojęzycznej nazwy własnej. Żaden z dealerów francuskich marek samochodowych nie ma przecież wykupionej domeny peżot.pl lub reno.pl.

Fałszywy kurier, fałszywe aukcje na platformach ogłoszeniowych

Pandemia i lockdowny spowodowały, że pokochaliśmy zakupy online oraz przyzwyczailiśmy się do usług typu paczkomaty czy usługi kurierskie, dlatego też nie dziwią nas zbytnio SMS-y z informacją o dostarczeniu paczki przez kuriera lub odbiorze towaru z paczkomatu. Ponieważ dużo kupujemy przez internet, odbieramy i wysyłamy, nie bardzo zdziwi nas informacja o odebraniu bonusu za przekroczenie liczby wysyłek lub nadpłacie za rok 2021 czy 2022 – w sumie tyle razy korzystaliśmy z tych usług, że nie pamiętamy, czy były to usługi kuriera, którego nazwa rozpoczyna się na „d”, „u”, czy „g” – dodatkowe fundusze czy nagroda to zawsze przyjemna rzecz. W tym konkretnym wypadku niekoniecznie: chęć odbioru niespodzianki/profitu/nagrody powoduje, że nie zwracamy uwagi, w jaki link klikamy, co najczęściej pociąga za sobą poważne konsekwencje.

Czym dla zwykłego użytkownika różnią się poniższe linki? Podpowiem, że „id20921” oznacza zwykle numer identyfikacyjny przesyłki lub produktu w sklepie internetowym:

  • dpd.pl/id20921/odbierz
  • dpd-pl.id20921.com/odbierz.

Prawdopodobnie – niczym. Oba będą wiarygodne, a niestety tylko jeden z nich jest prawdziwy. Rozłóżmy na czynniki pierwsze pierwszy z nich, ten prawidłowy.

Domeną główną w tym adresie jest dpd.pl. Reszta, która następuje po myślnikach, jest tak naprawdę jej składową (np. podstroną z produktem lub trackingiem usługi).

Idąc tym tropem, w drugim przykładzie domeną nie jest dpd.pl, tylko id20921.com – która nijak nie wygląda jak strona z usługami kurierskimi. Przedrostek przed kropką (dpd-pl) fachowo nazywany jest subdomeną, czyli działem domeny głównej (dobrym przykładem jest tutaj sport.onet.pl czy kobieta.onet.pl, które są subdomenami domeny głównej, jaką jest onet.pl). Nie jest więc stroną oryginalną firmy kurierskiej, tylko jej prawdopodobnym klonem (tak samo strona kobieta-onet.pl nie będzie tym samym co kobieta.onet.pl – ważny jest tutaj układ kropek oddzielających domenę główną od subdomen). Taką formę cybermanipulacji nazywamy scamem, czyli po prostu internetowym oszustwem w celu wyłudzenia danych poprzez finalne zainstalowanie szkodliwej aplikacji monitorującej nasze urządzenie.

Konkluzja

Bardzo często mamy wrażenie, że już dogoniliśmy technologię, że jesteśmy na bieżąco z nowinkami ze świata informatyki. Bardzo często wydaje nam się, że jesteśmy za pan brat z internetem – przecież to jest jedno z prostszych narzędzi cyfrowych, z którymi mamy do czynienia. Umiejętności obsługi komputera czy pakietu MS Office nie warto wpisywać w CV, bo staje się taką oczywistością jak to, że biegle posługujemy się językiem ojczystym. Czy aby tak jest na pewno? Nie byłbym wcale taki pewien, czy tę technologię już dogoniliśmy i czy jesteśmy w stanie ją dogonić, jednak jestem więcej niż pewien, że tak jak mocno ją polubiliśmy czy pokochaliśmy, tak mocno powinniśmy być ostrożniejsi jako jej użytkownicy.

Jak się chronić przed cyberprzestępczością?3

  1. Zachowaj ostrożność, jeśli otrzymasz niechciane e-maile, wiadomości na Messengerze, SMS-y czy telefony, zwłaszcza gdy kontaktujące się z tobą osoby wykorzystują obecny kryzys i namawiają cię do ominięcia normalnej procedury bezpieczeństwa. Napastnicy wiedzą, że często łatwiej jest oszukać człowieka niż włamać się do skomplikowanego systemu. Pamiętaj, że banki i inne organizacje nigdy nie będą cię prosić o ujawnienie twojego hasła.
  2. Zabezpiecz swoją domową sieć internetową. Zmień domyślne hasło do sieci wi-fi na silne. Ogranicz liczbę urządzeń podłączonych do sieci wi-fi i zezwalaj tylko na zaufane urządzenia.
  3. Wzmocnij swoje hasła. Pamiętaj, aby używać długich i złożonych haseł, które zawierają cyfry, litery i znaki specjalne.
  4. Chroń swój sprzęt. Zaktualizuj wszystkie systemy i aplikacje, zainstaluj oprogramowanie antywirusowe i aktualizuj je.
  5. Uważaj na rodzinę i gości. Twoje dzieci i inni członkowie rodziny mogą przypadkowo usunąć lub zmodyfikować informacje lub, co gorsza, przypadkowo zainfekować twoje urządzenie. Nie pozwól im więc korzystać z urządzeń, których używasz do pracy.

I dodatkowo: czytaj jak najwięcej i śledź informacje np. na stronach Niebezpiecznik.pl czy Stój. Pomyśl. Połącz (https://stojpomyslpolacz.pl), które dbają o twoją świadomość. Im więcej będziesz wiedzieć, reagować, chronić, tym mniejsza szansa, że ktoś cię oszuka!

  1. L. Ceci, Hours of Video Uploaded to YouTube Every Minute as of February 2020, https://bit.ly/3zP4EJR (dostęp: 31.05.2022).
  2. A. Bartman, KNF ostrzega przed phishingiem. Chodzi o fałszywą stronę Credit Agricole, https://bit.ly/3zX1jsl (dostęp: 31.05.2022).
  3. Jak chronić się przed cyberprzestępczością, https://bit.ly/3Qz1akC (dostęp: 31.05.2022).

Kim jestem?

Wykładowca akademicki na Uniwersytecie Jana Kochanowskiego w Kielcach na kierunku Kryminologia stosowana, wykładowca akademicki w Wyższej Szkole Handlowej w Radomiu na kierunku Informatyka, nauczyciel przedmiotów informatycznych w Zespole Szkół Technicznych w Radomiu. MIEExpert (Microsoft Innovative Educator Expert), MIEFellow – Microsoft Innovative Educator Fellow, Skype Master Teacher. Uczestnik, trener i prelegent na międzynarodowych konferencjach dla nauczycieli, m.in. w Toronto, Singapurze i Atenach.

Łukasz Gierek
Informacje
02/2022
Źródło:
Kompetentny nauczyciel nr 02/2022

Źródło:
Kompetentny nauczyciel nr 02/2022

Typ: Warsztat pracy

Autor:
Łukasz Gierek
Powiązane
Pytania, szanse i zagrożenia związane z wykorzystaniem sztucznej inteligencji w edukacji Pytania, szanse i zagrożenia związane z wykorzystaniem sztucznej inteligencji w edukacji
Sztuka pisania promptów Sztuka pisania promptów
Jak skutecznie wydawać polecenia sztucznej inteligencji?
Sztuczna inteligencja – sceptyczny punt widzenia Sztuczna inteligencja – sceptyczny punt widzenia
Dodaj artykuł do ulubionych, aby wrócić do niego w przyszłości.
Słowa kluczowe
warsztat pracy porady zawodowe porady warsztatowe warsztat bibliotekarza phishing internet selekcja informacji oszustwa i hakerstwo komputerowe scam zalew informacji cyberprzestępczość
Inne czasopisma: Biblioteka Publiczna Świetlica w Szkole Wszystko dla Szkoły