Święta coraz bliżej, pewnie wiele moich Czytelniczek i Czytelników szykuje się do tego wydarzenia. Życzę Wam dużo radości, zdrowia i spokoju! Tego ostatniego życzę nie bez powodu. Niestety święta to również okres wzmożonego “polowania” różnych złodziejaszków na prezenty, bo i często pod przysłowiową choinką lądują nie lada kosztowności. W ostatnich tygodniach kilkukrotnie byłam świadkiem różnych prób oszustwa czy bezczelnego włamania do piwnic na moim osiedlu.
Włamania przed Świętami
W minionym tygodniu zorganizowana banda włamywaczy dostała się pod osłoną nocy do podziemnego parkingu w moim bloku. Parking jest połączony z kilkoma komórkami lokatorskimi. Spośród 9 znajdujących się tam komórek lokatorskich, 8 zostało splądrowanych. Do wszystkich dostano się siłowo, za pomocą łoma. Jedna z komórek tylko dlatego nie podzieliła losu swoich sąsiadek, że drzwi ustawione były względem ściany w ten sposób, iż nie dało się zamka podważyć łomem.
Dodatkowo powybijano szyby z 4 aut, z których zabrano kamery – rejestratory samochodowe oraz jeden laptop.
Co prócz tego zginęło? Właśnie prezenty świąteczne (tak, niektórzy trzymają prezenty w piwnicach, coby dzieciaki nie dorwały się do nich przy przeszukiwaniu mieszkania 😉 ). Sąsiedzi nie “chwalili się”, co dokładnie było tymi prezentami. Poza tym złodzieje zabrali sprzęt sportowy (narty, snowboard), narzędzia remontowe za kilka tysięcy zł oraz… whisky. Obok stało u sąsiada wino, pozostało nietknięte – co daje pewne przypuszczenie, że wśród grupy złodziei nie było kobiet 😉
Nam nie zginęło nic, w parkingu podziemnym trzymamy w zasadzie tylko rzeczy do wyrzucenia i sterty kartonów. Poupychane mieliśmy mniejsze kartony w te większe, żeby zajmowały mniej miejsca. Jedyną cenną rzeczą, którą tam trzymaliśmy, był ręczny odkurzacz samochodowy o wartości ok. 300 zł, upchany gdzieś na dno takiej kartonowej piramidki. Nigdy nie chciało nam się go ze sobą nosić do mieszkania. Jak się okazało, złodziejom przy przewalaniu kartonów zabrakło już cierpliwości i się do niego nie dokopali.
Przykra sprawa i współczuję poszkodowanym. Jednocześnie zastanawiamy się w radzie wspólnoty mieszkaniowej, co można by było zrobić dla polepszenia bezpieczeństwa na osiedlu. To nie jest pierwsze włamanie w naszym bloku, chociaż pierwsze tak zorganizowane. Monitoring? Stróżówka? Ogrodzenie z drutem kolczastym? Hehe, są takie cuda we Wrocławiu – zobaczcie tutaj.
Pewnie żadne zabezpieczenia nie dadzą 100% pewności. Tym bardziej, że wielu mieszkańców zapomina o tak podstawowych rzeczach, jak zamykanie wejścia głównego. Ale jeśli macie jakieś skuteczne patenty przeciwwłamaniowe, podzielcie się proszę nimi w komentarzach.
W internecie złodziejstwo też nie próżnuje
Inna sytuacja, sprzed 2 tygodni, dotyczy bezpośrednio mojego męża. Był w pracy, gdy nagle otrzymał na telefon SMS z powiadomieniem o dokonaniu płatności w serwisie Agoda za pomocą jego karty Revolut. Rezerwacja noclegu w Azji za ok. 160 zł. Oczywiście Marek niczego takiego nie rezerwował, więc szybko zablokował kartę. Prócz tego próbowano wypożyczyć w Azji też na niego samochód. Potem mąż z ogromnym zdziwieniem zauważył, że na jego konto gmail spływa spam. Były nim zapisy na przypadkowe newslettery z całego świata w liczbie kilku tysięcy w przeciągu nieco ponad godziny.
Jakiś dowcipny haker wrzucił jego adres mailowy w skrypt automatycznie dodający do subskrypcji losowych serwisów internetowych. Po co? Pewnie po to, by w tej lawinie bezsensownych maili nie było łatwo zauważyć wiadomości dotyczących płatności.
Sytuację szczęśliwie udało się opanować, a pieniądze z felernej, azjatyckiej rezerwacji po kilku mailach do firmy – odzyskać. Jak doszło do tego, że ktoś uzyskał dane do konta na Agodzie oraz do karty Revolut? Zaczęliśmy z mężem przeglądać wiadomości dotyczące wycieku danych z ostatnich tygodni. Dowiedzieliśmy się, że pewien polski internetowy sklep z elektroniką miał w listopadzie incydent z upublicznieniem danych do kont swoich klientów.
Tak się składa, że mąż ma tam konto, do którego używał takiego samego hasła i maila, jak do serwisu Agoda. Ot, pech. I przy okazji nauczka. Nigdy, przenigdy nie można używać takich samych haseł w kilku miejscach w sieci. Ja sama do tej zasady podchodzę z przesadną wręcz pieczołowitością. Do tego stopnia, że zdarza mi się samej zapominać haseł i potem korzystam z opcji odzyskiwania. Co mocno frustruje, dlatego teraz zastanawiam się nad przejściem na usługę 1Password.
Nie mamy co prawda pewności, że dowcipniś na 100% z tego akurat sklepu internetowego pozyskał dane do logowania, ale prawdopodobieństwo jest duże. Komuś zachciało się poszperać w sieci i w końcu trafił, do jakich platform internetowych dane Marka jeszcze pasują.
W Agodzie karta Revolut była podpięta jako domyślna karta płatnicza. By dokonać tam nią płatności, trzeba jednak podać trzycyfrowy kod CVV. Najwidoczniej haker poradził sobie z tym szybko za pomocą skryptu – w internecie znaleźliśmy informację, że wystarczy 1000 prób, by trafić w poprawny kod CVV.
Cóż – kolejna nauczka. Lepiej nie podpinać do różnych stron fizycznej karty, a jej wirtualny odpowiednik.
Internetowy scam ma się dobrze
Ostatnio na mail firmowy i mój blogowy dostaję podrabiane maile z prośbą o uregulowanie jakiejś płatności. Takie próby wyłudzenia są znane, ale w okresie przedświątecznym widzę, że przybrały na sile. Wpiekla to strasznie.
Zwykle o tym, że taki mail to ściema i że pod żadnym pozorem nie należy klikać w zawarte w nim linki ani otwierać załączników, można się przekonać już po samym mailu nadawcy, który przeważnie jest z przypadkowych domen. Takie próby przekierowania nieświadomego niczego internauty na stronę-pułapkę do pozyskania hasła np. do internetowego konta bankowego nazywa się scamem. Pisałam już kiedyś o tych technikach m.in. w tym wpisie.
Jak widzicie, całkiem sporo atrakcji jak na niecały miesiąc. Dlatego właśnie życzę Wam przede wszystkim spokoju i ostrożności. Jeśli nie korzystacie od lat z pewnych serwisów internetowych, a macie tam konta z wrażliwymi danymi, to napiszcie do administratorów z prośbą o skasowanie Waszych nieaktywnych kont. Nie zapomnijcie też o regularnym zmienianiu haseł. A “w realu” zwróćcie uwagę roztargnionemu sąsiadowi, by zatrzaskiwał bramę wejściową lub nie otwierał domofonem wejścia nieznajomym, bo ktoś np. twierdzi, że rozdaje ulotki. I sami też o tym pamiętajcie. Pozdrawiam świątecznie 🙂
Podobał Ci się ten wpis? Uważasz go za przydatny? Chcesz mnie wesprzeć? Będzie mi niezmiernie miło, jeśli podzielisz się nim ze znajomymi! Nieco niżej znajdziesz przyciski do udostępniania artykułu w różnych serwisach internetowych. Dla Ciebie to jeden klik, który trwa chwilę, a dla mnie szansa na dotarcie z wartościowymi treściami do nowych odbiorców 🙂 DZIĘKUJĘ! Zapraszam Cię też do polubienia bloga Kobiece Finanse na Facebooku oraz śledzenia go na Twitterze lub obserwowania na Instagramie. Jestem również obecna na platformie Pinterest. Najbardziej zachęcam jednak do zapisania się na mój newsletter. Wtedy zawsze będziesz na bieżąco z nowymi wpisami, ciekawostkami, wartymi odnotowania wydarzeniami i poradami 🙂 |
Złodzieje zawsze będą o krok przed ścigającymi ich i 2 kroki przed nami – taki mają „zawód”. Najlepsze co możemy zrobić, to opanować się przed zakupowym szałem, pomimo, że dzięki fenomenalnej koniunkturze w ostatnich latach pieniędzy mamy dużo, jak nigdy wcześniej. Złodzieje nie idą do byle kogo, obserwują: ubrania, samochody, portfele (podczas płacenia), wizyty w biurach podróży, wielkość telewizora, wystrój mieszkania i ogrodu, ilość zamków w drzwiach, rolet w oknach, kamer, alarmów, drogich psów obronnych… Im bardziej pokazujemy że nas „stać” – tym większe szanse na wizytę.
W zeszłym roku 2 dni przed wigilią zatrzymaliśmy się z rodziną w restauracji Ikei podczas wyjazdu na święta, facet który siedział plecami do mnie obrócił się i patrząc w oczy siedzącej na przeciwko mojej córce wyjął portfel z kieszeni mojej kurtki, opróżnił go z gotówki i odłożył spowrotem, zasuwając zamek… Na codzień nigdy nie lubiłem nosić gotówki (max 150 pln), właśnie aby nie kusić takich sytuacji, akurat tego dnia odebrałem przekaz na większą kwotę i stwierdziłem, że na wyjazd może się przydać, a przecież nigdzie się płatał nie będę. On prawdopodobnie zauważył to podczas płacenia (kartą, ale wypchanego portfela nie ukryjesz). Kilka godzin na komisariacie, zapis z kamer – nic nie dały. To był „zawodowiec”.
Pozdrawiam i życzę Tobie i Twoim czytelnikom, aby takie historie opowiadali w wesołym rodzinnym gronie przy choince jako anegdoty wyczytane w internecie!
Cześć Piotrze. Niezła historia… Niestety kieszonkowcy mają wprawę – człowiek nic nie poczuje, że ktoś mu przeszukuje kieszenie. Pozdrawiam!
Straszne jest to, że można paść ofiarą internetowego oszustwa… Czegoś takiego to nawet ja bym się nie spodziewał i chyba zacznę powoli zmieniać hasła, tak, by chociaż się od siebie różniły…
Masakra.. W dzisiejszych czasach to trzeba uważać na każdym kroku. Otwierając zarówno komuś drzwi czy nawet skrzynkę pocztową, jak również otwierając każdego dnia komputer i odbierając pocztę e-mail. Takie czasy, strach pomyśleć co może być później.
Jeśli chodzi o hasła, najlepszym chyba sposobem pogodzenia bezpieczeństwa i wygody jest następujące podejście:
Najniższy poziom zabezpieczeń – krótkie, słabe hasło, stosowane wszędzie gdzie nie podajemy wrażliwych danych (obecnie praktycznie nigdzie nie trzeba tego stosować, bo praktycznie nie ma już w sieci godnych uwagi sklepów, które WYMAGAJĄ rejestracji, a jednocześnie nie będziemy do nich wracać na tyle często żeby zasłużyły na wyższy poziom zabezpieczeń)
Średni poziom zabezpieczeń – silne hasło bazowe rozszerzone o nazwę sklepu, używane wszędzie gdzie podajemy wrażliwe dane, ale jednocześnie w miejscach, które nie pozwalają nam bezpośrednio ukraść tożsamości. Przykładowo ToJ3stSilneHaslo_allegro, ToJ3stSilneHaslo_empik, itp.. Dzięki wydłużeniu zabezpieczamy się mocno przed atakiem brute force (próbą złamania przez „wklepywanie” wszystkich kombinacji skryptem), a w przypadku wycieku, przy prawidłowym przechowywaniu hasła po stronie dostawcy (hash – ponownie, każdy poważny sklep to robi) zabezpieczamy się przed tym, że hasło zostanie wykorzystane gdzie indziej, gdyż hash jest funkcją jednostronną, nie da się na jego podstawie odtworzyć oryginalnego hasła. Co najwyżej, w przypadku niektórych funkcji hashujących można znaleźć inne hasło, które wyprodukuje taki sam hash (wtedy taki hash jest „złamany”). Teoretycznie, nawet dostawca powinien dodawać do naszego hasła „za plecami” taki ciąg znaków podczas zapisu i każdej próby logowania (bo nie chodzi o zmianę hasła jako tako), żeby hasła nie dało się ponownie wykorzystać, ale mało kto to robi, więc nie możemy na to liczyć.
Najwyższy poziom zabezpieczeń – silne hasło, nie powtarzające się nigdzie, najlepiej nie pasujące do wzorca powyżej, w razie gdybyśmy nadziali się na kilka sklepów, gdzie hasło było przechowywane jawnym tekstem (kumaty włamywacz może zauważyć wzorzec i wypróbować ToJ3stSilneHasło_bank – prawdopodobieństwo jest niewielkie, bo na ogół tego typu ataki odbywają się za pomocą programów, nie są wykonywane ręcznie).
Wiele osób nie wie, że bardzo często (niestety nie zawsze) spacja jest akceptowalnym znakiem w haśle, a długość hasła jest znacznie lepszym zabezpieczeniem niż jego urozmaicenie pod kątem bazy znaków (tego niestety nie wie wielu dostawców usług i dalej na siłę stawiają na wymuszenie wszystkich czterech elementów – małych/dużych liter, cyfr i znaków specjalnych – tak naprawdę spokojnie wystarczą trzy z nich, pod warunkiem że hasło jest dostatecznie długie). Proponuję ustawienie haseł na zasadzie „pass-phrase” niż „pass-word” – łatwe do zapamiętania krótkie zdanie czy ciąg wyrazów. Dlaczego? https://xkcd.com/936/ Pozdrawiam 🙂
P.S. – Niestety problemem jest, kiedy z jakichś powodów dostawca nie pozwala ustawić hasła dłuższego niż ileś znaków, a nasze jest dłuższe. Niestety jest to równie nagminne co bezsensowne (wyprodukowany hash zawsze ma tyle samo znaków, niezależnie od tego jak długi ciąg jest na wejściu – nawet MICROSOFT ogranicza długość hasła do 16 znaków…). Ponadto, niestety nie wszyscy dostawcy uznają spację czy podkreślnik za znak specjalny (a inni mają jeszcze głupsze wymagania). Jeśli MUSIMY korzystać z ich usług z jakiegoś powodu, to pozostaje zacisnąć zęby i przecierpieć te wyłomy.
Krzysztof, jestem pod ogromnym wrażeniem wiedzy 🙂 Pracujesz w branży IT security? 🙂 Dzięki za wszystkie podpowiedzi!
Blisko – jestem programistą, ale nie zajmuję się zabezpieczeniami, choć podstawami tego tematu się interesuję (i trochę wiedzy na studiach też wpadło), żeby w razie konieczności nie popełnić chociaż podstawowych przeoczeń, bądź zgłosić się do kogoś kto wie więcej 🙂
Przy okazji, przypomniałem sobie dwie czerwone flagi, które mogą się pojawić (choć są już względnie rzadkie):
* Jeśli w mailu po rejestracji dostajemy informację “Twoje hasło to XYZ” – niemal na 100% hasło nie jest w żaden sposób zabezpieczone w bazie danych, czyli w razie wycieku jest podane na tacy – od razu należy je wtedy zmienić tak żeby nie dało się na jego podstawie zalogować nigdzie indziej
* Jeśli dostępna jest opcja “Przypomnij hasło”, to znaczy że da się je mniejszym lub większym wysiłkiem odtworzyć. Może jest zabezpieczone, np. zaszyfrowane, ale mając dostęp offline do danych, atakujący może próbować złamać klucz szyfrujący w nieskończoność i uzyskać dostęp, więc należy takie hasło też traktować jak niezabezpieczone i najlepiej również je zmienić.
Z tego względu, rejestrując się w miejscach, które docelowo chciałbym wrzucić na poziom “średni” zaczynam od poziomu “niskiego” jeśli mam wątpliwości co do jakości zabezpieczeń – jeśli nie zauważę tych czerwonych flag, zmieniam hasło na silniejsze. Celem jest utrudnienie rozgryzienia wzorca, który zastosowałem na poziomie “średnim” 🙂
Jeśli chodzi o zabezpieczenie przed złodziejami blok, w którym mieszkamy jest ogrodzony. Jednak mieszkańcy sami często narażają się na wizyty niechcianych gości, nie domykając bramki, czy nie zamykając drzwi do piwnicy na klucz. Gorzej jest, gdy to wśród mieszkańców zdarzają się złodzieje – ostatnio ktoś ukradł bukiet kwiatów (nawet takie rzeczy potrafią ukraść) spod drzwi naszej sąsiadki, dlatego niczego nie można zostawiać przed wejściem do mieszkania. Natomiast co do bezpieczeństwa w sieci faktycznie trzeba zadbać o to, aby hasła się różniły. Ostatnio zdziwiło nas przy zakładaniu konta w banku (!), że kobieta tam pracująca doradziła nam ustawienie jako hasła daty urodzin bliskiej osoby lub podwójnego numeru PIN. Inna z kolei pochwaliła się na głos, że do wszystkiego ma jedno hasło i dzięki temu nigdy nie zapomina swoich haseł. 😀
Heh, widocznie nie we wszystkich bankach praktykują regularne szkolenie pracowników z podstawowych zasad bezpieczeństwa 😐
Od jakiegos czasu trzymam swoje hasla w dodatku do przegladarki: lastpass. Mam bardzo silne haslo glowne i automatycznie wygenerowane (unikatowe) hasla do roznych stron, ktore odwiedzam. Zreszta kiedys haslo do jednego mojego konta mailowego bylo skompromitowane i do dzis dostaje co kilka dni spam, ze jak nie zaplace 800$, to ujawnia wszystkie moje brudne sekrety. Good luck. Wiec nie ma co nie doceniac kwestii bezpieczenstwa.
Podobnie jest z zapisywaniem danych karty na roznych stronach internetowych: nie, nie, nie. Tych 16 cyfr da sie spokojnie nauczyc, a pzynajmniej czlowiek spokojnie spi.
Z drugiej strony w zyciu realnym dostaje krecka, gdy sasiedzi zamykaja na klucz drzwi do klatki schodowej (co tam domofon, i tak musisz zejsc na dol otworzyc drzwi), a potem jeszcze drzwi od wewnetrznego korytarza z mieszkaniami. Nie da sie “normalnie” dostac do mojego mieszkania bez uzgodnienia tego ze mna. Wydaje mi sie, ze wcale nie jest mniej bezpiecznie niz w latach 90, kiedy dostep do wszystkich blokow byl wlasciwie nieograniczony, ale ludzie maja pochowany duzo drozszy sprzet i duzo bardziej sie nad nim trzesa. Podobnie jest z dzieciakami, ktorym kiedys nie szkodzilo siedzenie na podworku, a dzis nie trafia same do szkoly, jesli ich rodzic-paranoik nie zawiezie samochodem.
Chronmy sie wiec i nie tracmy ducha ani zmyslow 🙂
U nas (mieszkam na zamknietym osiedlu – teoretycznie zamknietym) jest szlaban z budka ‚straznicza’. Oczywiscie straznik to emeryt (jest ich dwoch, jeden w miare ok jeszcze), ktory albo spi, albo patrzy w tv. Wiec taka ochrona to zadna ochrona, szczegolnie, ze od godziny 21 do 7 rano – nikogo w budce nie ma (oszczednosci spoldzielni):>
W moim bloku chyba nikt już nie trzyma w piwnicy rzeczy, które mają dla niego jakąś wartość, dlatego dawno nie słyszało się o jakichkolwiek kradzieżach. Z jednej strony to całkiem logiczne i sensowne, z drugiej piwnica – jako miejsce przechowywania – sporo traci przez to na swej funkcjonalności. Ale lepiej dmuchać na zimne, niż potem żałować. Co do haseł, szczególnie tych, które dotyczą kont bankowych czy też stron, które są z nimi powiązane – warto je co jakiś czas zmieniać.