Wasze loginy i hasła hulają po necie. Czy możecie coś z tym zrobić?

Bezpieczeństwo użytkowników w internecie w dużej mierze leży w rękach ich samych. Nie zawsze jednak (nawet nadmierna) ostrożność jest gwarancją bezpieczeństwa. Setki milionów danych do logowania (loginów, adresów e-mail i haseł) oraz innych danych uwierzytelniających znajdują się w rękach hakerów i są dostępne w tzw. darknecie.

Użytkownicy nie dbają o swoje bezpieczeństwo

Pomimo wielu apeli, użytkownicy bardzo często używają banalnych do odgadnięcia haseł – wciąż najpopularniejszymi są „password”, „123456” i „123456789”. Co więcej, mnóstwo osób nie włącza dwuetapowej weryfikacji, mimo że wiele serwisów to umożliwia – w tym Google i Facebook. Nie mówiąc już o tym, że relatywnie niewiele osób stosuje unikalne, złożone i trudne do złamania hasła.

strona do logowania do Facebooka login hasło fot. Tabletowo.pl
fot. Tabletowo.pl

Niestety, nawet stosowanie się do zaleceń odnośnie haseł nie gwarantuje 100% bezpieczeństwa. Czasami bowiem dochodzi do niezależnego od użytkownika wycieku danych do logowania – w Polsce mieliśmy z takim do czynienia chociażby w przypadku sklepu Morele pod koniec 2018 roku i Virgin Mobile w grudniu 2019 roku. W takich sytuacjach należy jak najszybciej zmienić hasło i wykupić usługi, które chronią przed nielegalnym wykorzystaniem pozyskanych danych, jeśli znajdują się w nich tak wrażliwe dane jak na przykład PESEL (na przykład Alerty BIK).

Wasze loginy i hasła mogą znajdować się w rękach przestępców internetowych

SpyCloud opublikowało najnowsze wydanie swojego dorocznego raportu Identity Exposure Report, z którego możemy dowiedzieć się, że w 2022 roku wykryto w darknecie aż 721,5 mln danych uwierzytelniających, z czego połowę udało się wykraść za pomocą złośliwego oprogramowania, znanego jako „wykradacz informacji”.

Według SpyCloud to ostatnie jest szczególnie niebezpieczne, ponieważ może ono działać przez długi czas bez wiedzy użytkownika i mieć stały dostęp do najnowszych danych, co zwiększa szanse na skuteczne podszycie się pod obraną na cel ofiarę. W tym przypadku sama zmiana hasła nie wystarczy, dlatego ważne jest, aby korzystać na urządzeniu z programu antywirusowego (w przypadku Windowsa wbudowany Defender dobrze radzi sobie z potencjalnymi zagrożeniami).

SpyCloud zauważa też, że cyberprzestępcy coraz częściej nie ograniczają się tylko do wykradania loginów i haseł, ale kradną również inne informacje, takie jak pliki cookie, co pozwala im ominąć dwuetapową weryfikację. Ponadto w raporcie Identity Exposure Report możemy przeczytać, że odnotowano 72% wskaźnik ponownego użycia hasła w przypadku użytkowników narażonych na dwa lub więcej naruszeń w zeszłym roku, co oznacza wzrost aż o 8 p.p. względem poprzedniego roku. To znaczy, że od poprzedniego wycieku danych takie osoby nie zmieniły hasła.

SpyCloud odkryło też, że popkultura ma duży wpływ na to, jakie hasło ustawiają użytkownicy internetu. W 2022 roku popularnymi inspiracjami były… Taylor Swift i Królowa Elżbieta II, ale również Elon Musk, Harry Styles i Bad Bunny, a także Stranger Things i Yellowstone. Ponadto często spotykano hasło związane z Ukrainą i Rosją.

popkulturowa inspiracja dla haseł w 2022 roku
źródło: SpyCloud

Do tej pory SpyCloud udało się wyciągnąć z darknetu 60 mld danych osobowych, a w samym 2022 roku 8,6 mld. Kategorie, zawierające najwięcej rekordów, to numer telefonu (1,8 mld), imię i nazwisko (1,4 mld), adres (802 mln) i data urodzenia (416 mln). Jak zauważono, są to informacje, umożliwiające stworzenie „sztucznej tożsamości”, którą następnie można wykorzystać do kradzieży tożsamości i popełnienia przestępstwa z jej wykorzystaniem (na przykład kradzieży pieniędzy).

Według raportu Surfshark Polska w 2022 roku była na 19. miejscu na świecie w liczbie skompromitowanych kont, mając 38. populację na świecie pod względem liczby mieszkańców. Jednocześnie firma zauważa, że osoby z Europy są narażone 3 razy bardziej na wycieki danych z kont niż reszta świata – aż 29,8% naruszeń to wycieki danych w Europie!

Jak zadbać o swoje bezpieczeństwo w internecie?

Jak zostało wspomniane, choć nie istnieje metoda, która zagwarantuje Wam 100% bezpieczeństwo w internecie, to mimo wszystko możecie o nie bardziej zadbać. Przede wszystkim do każdego serwisu internetowego powinniście ustawiać unikalne hasło, składające się z małych i wielkich liter oraz cyfr i znaków specjalnych. Jeżeli obawiacie się, że będziecie mieli problem z zapamiętaniem go – zapiszcie go w Menedżerze Haseł Google lub Pęku kluczy Apple, ewentualnie skorzystajcie z menadżera haseł renomowanej firmy trzeciej, choć po ostatnim incydencie z LastPass zaufanie do nich zostało nadszarpnięte.

Ponadto wszędzie, gdzie to tylko możliwe, włączajcie weryfikację dwuetapową, najlepiej z wykorzystaniem aplikacji autoryzującej, takiej jak Google Authenticator lub Microsoft Authenticator, albo fizycznego klucza na USB/NFC. Hasła SMS nie są bowiem tak bezpieczne – przestępcy mogą je w prosty sposób przejąć. Do tego korzystajcie z programów antywirusowych na swoich komputerach, a na urządzeniach mobilnych nie instalujcie oprogramowania z niezaufanych źródeł (domyślnie jest to zablokowane na Androidzie).

I najważniejsze: zawsze zachowajcie czujność i zdrowy rozsądek – przestępcy internetowi wykorzystują mnóstwo różnych mechanizmów i sztuczek. W przypadku wątpliwości od razu skontaktujcie się z osobą lub firmą, od której otrzymaliście podejrzany SMS lub połączenie.

Jeżeli chcecie sprawdzić, czy Wasze dane (adres e-mail lub numer telefonu) wyciekły do sieci, możecie to zrobić bezpłatnie na stronie haveibeenpwned.com. Na tej stronie widnieje informacja, że do tej pory wyciekło już 12484891833 (ponad 12 mld!) kont.