Jak wynika z corocznych raportów zespołu CERT Polska, wycieki loginów i haseł zdarzają się różnym serwisom. Cyberprzestępcy zdobywają prywatne dane nie tylko z serwisów społecznościowych, lecz także np. ze sklepów internetowych czy z portali ogłoszeniowych.

W poprzednim artykule wyjaśnialiśmy, jak zabezpieczyć swoje konto przed takim atakiem poprzez ustawienie hasła trudnego do złamania. Zachęcamy do zapoznania się z tym tekstem i do zmiany haseł zgodnie z podanymi wytycznymi.

W tym artykule chcemy pokazać, że oprócz zabezpieczenia swoich najważniejszych kont warto zadbać także o te mniej ważne. Choć serwisy przechowują nasze hasła w postaci zaszyfrowanej (czyli w formie tzw. hasha), nie wszędzie dane są równie skutecznie chronione. Wyciek w jednym miejscu może nas narazić na utratę dostępu do innych kont.

Pozorne bezpieczeństwo

Aby ustalić, jak dobrze zabezpieczyć się przed przejęciem konta, zobaczmy, jaką formę może przybrać cyberatak. Posłużymy się w tym celu fikcyjną historią Basi – jej konta stworzono na potrzeby tego artykułu i usunięto zaraz po zakończeniu pracy nad tekstem. Choć to zmyślona opowieść, przedstawiono w niej prawdziwe metody działań przestępców.

Basia jest świadomą internautką. Wie, jak ważne jest posiadanie silnych haseł do swoich najważniejszych kont. Po przeczytaniu naszego poradnika na temat tworzenia i przechowywania haseł zabezpieczyła konto na Facebooku unikalnym ciągiem 15 znaków, a hasło stworzone w ten sposób przetrzymuje w menedżerze haseł. 

W ustawieniach bezpieczeństwa konta Basia wpisała swój główny adres e-mailowy – na wypadek, gdyby potrzebowała sobie przypomnieć swoje hasło lub je zresetować.

„Centrum kont” Mety daje możliwość zapisania swojego adresu e-mail w sekcji danych osobowych. Służy on m.in. do odzyskiwania utraconego hasła. Źródło: Facebook.com

Basia zmieniła także hasło do swojego konta pocztowego na silniejsze. Popełniła jednak przy tym dwa błędy. Po pierwsze, nie ustawiła weryfikacji wieloetapowej – czyli pozwoliła na logowanie się do swojego konta tylko przy pomocy hasła, bez konieczności podania np. kodu wysyłanego w wiadomości SMS. Po drugie, nie zmieniła hasła do swojej drugiej skrzynki e-mailowej – podanej jako pomocnicza w danych głównej poczty. 

Skrzynki e-mailowe umożliwiają podanie adresów pomocniczych. Również te konta trzeba dobrze zabezpieczyć. Źródło: Wirtualna Polska

Grzechy przeszłości, czyli dlaczego warto dbać o wszystkie swoje konta

W naszym scenariuszu to właśnie konto pomocnicze skrzynki e-mailowej ([email protected]) jest słabym ogniwem w łańcuchu bezpieczeństwa naszej bohaterki. Stworzyła je dawno temu jako studentka. Wtedy był to jej główny adres e-mail, który wykorzystała do założenia konta w jednej z wielu gier online. 

Po jakimś czasie Basia przestała grać w tę grę i po kilku latach zapomniała o swoim koncie użytkownika. Nie wiedziała, że producent gry nie usuwał dawno nieaktywnych kont. Dodatkowo hasła były zaszyfrowane starym algorytmem (MD5) – już w 2010 roku uznanym za złamany i nienadający się do dalszego użytku. 

Tymczasem ówczesne hasło Basi było proste i łatwe do zapamiętania: „basia123”. Po kilku latach od stworzenia konta w grze doszło do wycieku baz użytkowników. Takie sytuacje się zdarzają – przykładowo w czerwcu 2016 roku doszło do wycieku danych ponad 20 milionów unikatowych kont graczy Evony. Wśród danych, jakie zdobyli hackerzy, były adresy e-mail i hasła. Te drugie zabezpieczono słabym hashem MD5.

Na stronie Have I Been Pwned możemy sprawdzić, czy nasz e-mail znalazł się w jednym z wielu wycieków dawnych. Źródło: Have I Been Pwned

Jak wykradzione dane mogą być wykorzystane do przejęcia naszej tożsamości

W naszym scenariuszu początkujący haker natknął się na informacje o wykradzionej bazie użytkowników Evony na jednym z wielu forów w dark webie – sieci ukrytej przed zwykłymi użytkownikami internetu. Czasami za takie dane trzeba zapłacić, a niekiedy przestępcy udostępniają je za darmo.

W 2023 roku portal Zaufana Trzecia Strona opublikował post o wycieku kilku milionów loginów i haseł, które zostały opublikowane na Cebulce, polskojęzycznym forum w dark webie. Tak wyglądał post na tym forum.

W 2023 roku ktoś za darmo udostępnił loginy i hasła do takich serwisów jak Librus, Allegro, Amazon czy Facebook. Źródło: Zaufana Trzecia Strona

W podobny sposób nasz fikcyjny haker mógł uzyskać dostęp do danych Basi z portalu Evony. Najpierw sprawdził, czy może się zalogować na konto e-mailowe [email protected]. Okazało się, że  jest w stanie to zrobić bez problemu – Basia nie zmieniała hasła od lat i nie włączyła weryfikacji wieloetapowej. 

Podczas przeglądania zawartości skrzynki odbiorczej przestępca zauważył wiadomość, z której dowiedział się, że na przejęty adres przychodzą kody umożliwiające odzyskanie dostępu do innego e-maila ([email protected]), będącego obecnie głównym kontem Basi. 

W przejętej skrzynce e-mailowej znalazła się wiadomość, z której wynikało, że adres służy do odzyskiwania dostępu do innej poczty. Źródło: Interia

Nasz haker postanowił sprawdzić, czy uda mu się dostać do głównej skrzynki pocztowej Basi. W tym celu użył opcji przypomnienia hasła. Po jej wybraniu zobaczył komunikat, że kod do odzyskania dostępu został wysłany na skrzynkę, do której ma już dostęp.

Dzięki uzyskaniu dostępu do jednej skrzynki przestępca mógł zdobyć dostęp do drugiej. Źródło: Wirtualna Polska

Po chwili przyszedł e-mail z kodem. Przy jego pomocy haker stworzył nowe hasło do głównego konta Basi i uzyskał do niego dostęp. Tam również znalazł ciekawe wiadomości. Jedna z nich wskazywała, że główny adres e-mail służy do logowania się do Facebooka. Przestępca wykorzystał ten fakt, by tym samym sposobem dostać się także do konta facebookowego Basi.

Dzięki dostępowi do głównej skrzynki e-mailowej przestępca mógł uzyskać również dostęp do konta Basi na Facebooku. Źródło: Facebook

Teraz haker, który podaje się za Basię, może próbować wyłudzić od jej znajomych pieniądze – będzie prosił ich o przelewy BLIK. Nic go nie powstrzyma również od publikowania wpisów zachęcających do skorzystania z ofert, które są zwykłym oszustwem. 

To nie wszystkie możliwości cyberprzestępców

Ta zmyślona historia pokazuje, że w trosce o własne bezpieczeństwo w internecie warto pamiętać o kilku kwestiach, dlatego:

• regularnie sprawdzaj, np. na stronie Have I Been Pwned, czy któryś z twoich starych lub nowych e-maili nie znalazł się w jakimś wycieku,
• wszędzie tam, gdzie masz założone konto, zmień hasło na nowe, mocne, zgodne z naszymi zaleceniami,
• jeśli to możliwe, włącz wieloetapową weryfikację na swoich kontach – dzięki temu ktoś, kto zdobył twoje hasło, będzie miał większy problem z przejęciem konta.

Jednocześnie warto wiedzieć, że opisany fikcyjny scenariusz jest tylko jednym z możliwych. Prawdziwi cyberprzestępcy korzystają z wielu bardziej wyrafinowanych technik – np. wyłudzają dostęp do kont poprzez podszywanie się pod zaufane instytucje. Poza tym dysponują oni narzędziami umożliwiającymi złamanie nawet dobrze zaszyfrowanych haseł. 

O tym, na co jeszcze warto uważać, by uchronić się przed przestępcami działającymi w internecie, napiszemy w kolejnych tekstach z cyklu o cyberbezpieczeństwie.

Projekt dofinansowany ze środków Korpusu Solidarności – Rządowego Programu Wspierania i Rozwoju Wolontariatu Systematycznego na lata 2018–2030.

Kontroluj polityków!

Patrz władzy na ręce i wspieraj niezależność.

Wpłacam