czwartek, 4 czerwca 2015

Nic o nas bez Nas - Ostrożnie z danymi osobowymi



Handel danymi osobowymi to coraz potężniejsza gałąź gospodarki. Zapotrzebowanie firm na odpowiednio sprofilowane dane (np. według wieku, zainteresowań, wykonywanych zawodów itp.) jest bardzo duże. Dostęp do takich danych pozwala precyzyjnie dotrzeć z komunikatem reklamowym do grupy odbiorców, dlatego przedsiębiorcy chętnie takie bazy kupują. Dane osobowe pozyskiwane są najczęściej od samych zainteresowanych. Popularną metodą jest organizacja konkursu z wartościowymi nagrodami. Wystarczy zaoferować możliwość wygrania telefonu, by pozyskać całkiem pokaźny zbiór danych. Tego typu konkursy regularnie organizuje kilka firm, których działalność polega na tworzeniu zbiorów danych osobowych, a następnie świadczeniu usług telemarketingowych na zlecenie swoich kontrahentów lub udostępnianiu tych zbiorów firmom pragnącym dotrzeć do nowych klientów..
          Wzięcie udziału w konkursie to oczywiście nic złego, ale przed podaniem swoich danych osobowych należy dokładnie przestudiować regulamin konkursu. Na co zwrócić uwagę? Przede wszystkim na te postanowienia, które regulują kwestie przetwarzania danych osobowych. Regulamin powinien wskazywać w szczególności kto jest administratorem danych (tj. kto je przetwarza i kto ponosi za to odpowiedzialność) oraz cel i zakres przetwarzania danych (tj. do jakich celów i w jaki sposób Wasze dane zostaną wykorzystane– np. wyłącznie w celu realizacji konkursu a nie jak to często bywa również do celów marketingowych .
          Warto pamiętać, że rejestrując się do konkursu powinniśmy mieć możliwość czynnego wyrażenia zgody w szczególności na przetwarzanie danych osobowych w określonych celach oraz odrębnej zgody na otrzymywanie informacji handlowych drogą elektroniczną. Czynne wyrażenie zgody odbywa się poprzez świadome kliknięcie pola zgody przy klauzuli zawierającej odpowiednie oświadczenie. Pamiętajmy, że zgoda wyrażona w ten sposób jest prawnie wiążąca, więc róbmy to rozważnie. Natomiast brak możliwości czynnego wyrażenia zgody na przetwarzanie danych osobowych lub na otrzymywanie wiadomości drogą elektroniczną powoduje, że administrator nielegalnie przetwarza nasze dane osobowe i nielegalnie przesyła nam wiadomości handlowe.  A to już jest sankcjonowane prawnie. Jeśli organizator konkursu próbuje na Was wymusić zgodę (np. odpowiednie pole jest już automatycznie zaznaczone) lub w ogóle brak możliwości czynnego wyrażenia zgody, narusza przepisy ustawy o ochronie danych osobowych. W takiej sytuacji zrezygnujcie z udziału w konkursie.
          Warto również pamiętać, że w każdej chwili możemy wyrażoną wcześniej zgodę odwołać. Wystarczy napisać pismo do administratora danych, że nie życzymy sobie na dalsze przetwarzanie przez niego naszych danych osobowych. W takim przypadku administrator ma obowiązek nasze dane usunąć ze zbioru.
          Na koniec mała rada: wystrzegajcie się brania udziału w konkursach i ankietach, w których warunkiem udziału jest zgoda na przetwarzanie i udostępnienie danych osobowych osobom trzecim dla celów marketingowych. Nagrody w konkursie prawdopodobnie i tak nie wygracie, za to telefony od namolnych sprzedawców macie pewne jak w banku.
          Organizatorom konkursów i administratorom danych osobowych radzimy, aby udzielali uczestnikom rzetelnych, zgodnych z przepisami ustawy, informacji dotyczących celu i zakresu przetwarzania danych osobowych. Dzięki temu pozyskane przez Was dane będą bardziej wartościowe i unikniecie kłopotów z GIODO, a nawet z prokuraturą. W razie wątpliwości, czy stosowane przez Was regulaminy konkursów są zgodne z prawem, zachęcamy do kontaktu z Fundacją CyberEtyka.

czwartek, 14 maja 2015

Uwaga na fałszywe maile podszywające się pod Pocztę Polską!



Jakiś czas temu opisywaliśmy tzw. zjawisko „ransomware” - wymuszania cyber-haraczy. Ransomware najczęściej występuje w postaci zainfekowanego maila złośliwym oprogramowaniem, które szyfruje nam dysk odcinając nas od naszych danych, jednocześnie informując o sposobach zapłaty okupu  za przywrócenie dostępu do nich. Fantazja cyberprzestępców nie zna granic a ich akcje przeciwko nam bywają naprawdę coraz bardziej wymyślne i przekonujące. Ostatnio głośno było o fałszywych mailach od Poczty Polskiej, które szyfrowały ludziom dyski i zasoby sieciowe.
Niestety i do nas dotarł przypadek użytkownika, który otrzymał maila wraz z linkiem do śledzenia rzekomo opóźnionej paczki. Link do śledzenia przesyłek wyglądał tak:



 Zwróćcie uwagę na adres w przeglądarce „poczta-sledzenie.com”
Sprawdziliśmy jaki ma adres IP:

I do kogo należy:

Jak widzicie adres "poczta-sledzenie.com" z pewnością nie należy do Poczty Polskiej :(
Niestety wiadomość była na tyle sugestywna, że użytkownik  kliknął w link by sprawdzić o jaką przesyłkę chodzi i co się z nią dzieje a po jakimś czasie jego oczom ukazał się taki oto komunikat:


I dokładna instrukcja jak postąpić by po wpłaceniu haraczu odzyskać pliki:

Na szczęście użytkownik miał zrobiony backup i był w „plecy z robotą” wyłącznie jeden dzień. Jest to dowód na to, że akcje uświadamiające robią tzw. grę i pozwalają uchronić nas od totalnego kataklizmu.

Mając na uwadze powyższy incydent przypominamy ponownie:
  1. Róbcie kopie zapasowe
  2. nie otwierajcie maili z nieznanych źródeł.
  3. Przypatrujcie się uważnie adresom URL
  4. Analizujcie treści wiadomości – sprawdzajcie czy nie ma w nich błędów stylistycznych
  5. wykorzystujcie darmowe skanery złośliwego oprogramowania np. WWW.virustotal.com a jest duża szansa, że wykryją one pewne nieprawidłowości zanim zainfekujecie sobie komputer

wtorek, 28 kwietnia 2015

Wiadomość na rybkę





Internet przypomina duże jezioro pełne ryb. Pływają w nim płocie, uklejki i karpie, jak i wiele drapieżników. Dziś jednak o tym, jak uniknąć „wędkarzy”. W sieci funkcjonuje zjawisko znane jako „spear phishing” lub swojsko nazywane „wiadomość na rybkę”. To próba oszustwa w formie sprofilowanego e-maila do konkretnej osoby, grupy osób lub organizacji.
Celem jest uzyskanie dostępu do poufnych danych. Przestępcy internetowi przed złowieniem ofiary wkładają sporo „serca” i pracy w znalezienie informacji o niej. Niestety z pomocą oszustom najczęściej przychodzimy sami za pośrednictwem portali społecznościowych. Zamieszczone tam materiały stanowią doskonały wkład do stworzenia wiadomości o formie tak sugestywnej, że odbiorca zakłada jej pochodzenie od osoby znajomej lub od firmy, z którą mamy regularne kontakty. Informacje, jakie mają uprawdopodobnić tę próbę kradzieży, to m.in. Twoje imię i nazwisko, adres e-mail, dane osobowe lub odwołanie do wspólnego znajomego. Wstęp wiadomości często może być spersonalizowany lub odejść od typowej formy grzecznościowej na rzecz zwykłego „Cześć”, by wzbudzić zaufanie. W treści wiadomości proszeni jesteśmy o przesłanie swoich danych takich jak login, hasło, PIN lub numer karty kredytowej. Może też zdarzyć się prośba o otwarcie załącznika lub kliknięcie w niebezpieczny link.
Jak może to wyglądać w praktyce? Dostajecie mail od pozornie znanej osoby z pytaniem o hasło do serwisu, gdzie publikujecie swoje zdjęcia zrobione nowo kupionym aparatem fotograficznym. Uzasadnieniem może być np. chęć sprawdzenia funkcjonowania takiego serwisu zanim „fałszywy” znajomy założy na nim konto. Jeśli taka informacja zostanie przestępcy przekazana, przetestuje on hasło i różne jego odmiany, by zyskać dostęp do innych usług, przejąć konta w różnych serwisach lub zrobić zakupy w sklepach, z których korzystamy przez Internet. Jako to możliwe, że tyle informacji znajdzie się w wysłanym „na rybkę” e-mailu? Wystarczy wpis na profilu społecznościowym o treści: „Kapitalne zdjęcie moim nowym aparatem”. Posty takie zalewają codziennie sieć.
Innym przykładem może być wiadomość łudząco podobna do korespondencji otrzymywanej z banku lub innej instytucji finansowej z prośbą o podanie hasła celem odblokowania konta, które rzekomo zostało zablokowane ze względów bezpieczeństwa. Na marginesie: żadna szanująca się instytucja finansowa nie powinna Was nigdy prosić mailowo o podanie PIN-u, hasła czy loginu do konta.
O skali zjawiska może świadczyć to, że nie tylko indywidualni użytkownicy sieci są narażeni na takie ataki. Nawet dużym firmom zdarza się przelać ogromne sumy na podane „nowe” konto w sfałszowanej fakturze z podmienionymi danymi do przelewu dostawcy lub podwykonawcy. Przestępcy są specjalistami w swoim fachu i potrafią kamuflować nieszczere intencje.
Przed takimi próbami oszustwa ochronić nas może jedynie przestrzeganie zasad higieny pracy i użytkowania urządzeń z dostępem do sieci. Nie należy otwierać załączników w e-mailach, jeśli mamy cień wątpliwości odnośnie do ich pochodzenia. Linki w tego typu wiadomościach również powinny wzmagać czujność. Zasada ograniczonego zaufania też znajduje tu zastosowanie. Zastanówcie się zawsze, czy osoba, od której otrzymujecie wiadomość, ma powód, by prosić o Wasze dane. Zawsze można to potwierdzić telefonicznie. Ważną rzeczą jest też dbanie o jakość haseł do różnych usług lub stron. Ich uproszczenie lub powtarzalność są zaproszeniem dla oszustów. Ale o tym więcej za miesiąc.

Zapraszamy na stronę www.cyberetyka.pl, by dowiedzieć się więcej.

środa, 11 marca 2015

JAK NIE NEGOCJOWAĆ Z TERRORYSTAMI?



Dane to nieodłączna już część naszego życia. Danymi stały się zdjęcia z wakacji, urzędowe pisma, przepisy kuchenne. Cała masa wykonywanej przez nas pracy to dane. Przyzwyczailiśmy się do dobrodziejstw wynikających z codziennego używania komputerów, tabletów i telefonów. Nie zdajemy sobie jednak sprawy, że nasze dane, każda trzymana na twardym dysku informacja może stać się celem ataku cyber przestępców I nie dlatego, że trzymamy na domowym laptopie rzeczy cenne dla złodziei ale dlatego, że nasze dane stanowią bezcenną dla nas wartość. Jesteśmy w stanie wiele dać by je odzyskać. Ale o przykładach za moment.

Ransomware to niebezpieczny typ złośliwego oprogramowania zagnieżdżający się w systemie i uniemożliwiający nam dostęp do danych, które przechowujemy w swoim urządzeniu. W zamian za odzyskanie dostępu do nich przestępcy rozsiewający tego typu oprogramowanie żądają okupu. Jeśli zapłacimy, nasze bezcenne dokumenty zostaną nam z powrotem udostępnione. Nikt z nas nie chciałby się chyba przekonać jaką cenę  (niestety najczęściej w USD, Euro, PL czy Bitcoin) ma dla niego zawartość katalogów, plików i danych gromadzonych latami.

Istnieją różne odmiany oprogramowania ransomware. Jednym z najbardziej popularnych i groźniejszych jest Cryptolocker. Jak się chronić przed nim i jemu podobnymi? Najważniejsza jest profilaktyka. Program taki wymaga naszego czynnego udziału w instalacji. Jeśli więc zachowujemy ostrożność i nie otwieramy maili z nieznanych źródeł, które kryją załączniki (o rozszerzeniach typu: 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx.) to już jest wielki krok w kierunku bezpieczeństwa naszych danych. Jeśli mail wydaje się być podejrzany, a mamy potrzebę go otworzyć to proponujemy go sprawdzić jednym z darmowych, dostępnych w sieci skanerów złośliwego oprogramowania np. sprawdzić link czy pliki z tego typu maili  na https://www.virustotal.com.

Czasami jednak zdarzyć się może, że zrobimy coś niechcący. Zwłaszcza w czasach wszechobecnych ekranów dotykowych. Ten, kto nigdy nie trafił palcem nie w tę ikonkę, co chciał, niech pierwszy rzuci myszką. W takiej sytuacji musimy zmierzyć się z groźbą, już nie potencjalną, a jak najbardziej realną. Tu wracając do poruszonej na początku kwestii przykładów chciałem streścić niezwykle zajmująca historię… Departamentu Policji z miejscowości Swansea w stanie Massachusets. Nawet stróżom prawa zdarzyć się może niewprawny krok na krętych ścieżkach Internetu. Któremuś z pracowników musiało zdarzyć się kliknięcie w niewłaściwy link na służbowym komputerze i chwilę później musieli zmierzyć się z żądaniem okupu w wysokości 2BTC (Bitcoinów) czyli około 750$ za odszyfrowanie danych, do których utracili dostęp. Dano im 100 godzin czasu, a na ekranach komputerów uruchomiła się aplikacja odmierzająca czas upływający do momentu całkowitej utraty danych. Przedstawiciele prawa musieli ugiąć się przed przestępcami, których na co dzień ścigają i zapłacić, a to z tej przyczyny, że odzyskanie danych zaatakowanych przez Cryptlockera jest właściwie niewykonalne ze względu na zastosowane szyfrowanie asymetryczne. Dane w ten sposób zaatakowane można jedynie odzyskać,  odszyfrowując je, tyle, że klucz do takiej operacji posiadają  cyber przestępcy. Wybór jest zatem pomiędzy opcją złą i gorszą.

Uchronić nas przed podobnymi sytuacjami mogą  dobre, codzienne praktyki związane z higieną pracy przy komputerze lub innym urządzeniu z dostępem do sieci. Wiem jak wiele osób reaguje alergicznie na słowo backup. Tak naprawdę jednak nie jest to nic uciążliwego ani strasznego. Wystarczy raz na jakiś czas kopiować wszystkie lub najważniejsze dla siebie dane na nośniki zewnętrzne (pendrive, CD, dysk zewnętrzny). Na marginesie nie polecamy wykonywania kopii danych wyłącznie w chmurze (Dropbox, Google Drive itp.) ponieważ w przypadku opisywanego złośliwego oprogramowania może to nic nie dać – zaszyfrowane pliki zostaną zreplikowane/zduplikowane do chmury L. Wykonanie kopi zapasowej zajmuje, w zależności od ilości danych kilka minut do godziny w tygodniu. Dużo? Może. Ale czy postawieni przed groźbą utraty gromadzonych często przez całe życie zdjęć, filmów i dokumentów nie chcielibyśmy mieć możliwości powiedzenia z uśmiechem: „Nie negocjuję z terrorystami”?.

W przypadku potrzeby uzyskania dalszych informacji lub porad zapraszamy do kontaktu przez stronę www.cyberetyka.pl.



środa, 11 lutego 2015

[CyberEtyka] news42day – SMS od Pani Ani


Jeden z naszych subskrybentów, Mateusz, podesłał nam ostatnio dość ciekawego sms’a jakiego otrzymał, z prośbą o radę co ma z tym zrobić? SMS był od pani Ani o następującej treści: „Witam, Na wstępie przepraszam za klopot ale podczas rejestracji w serwisie internetowym przez moja nieuwage moje dziecko wpisalo nieprawidłowy numer telefonu i SMS dotyczący rejestracji zamiast do nas zostal wyslany na Pani/Pana numer. Czy jest możliwość odeslania mi tresci tego SMSa pod mój numer jeśli już dotarl lub dopiero dojdzie? Jeżeli nie sprawi to kłopotu będę bardzo wdzieczna za pomoc, z gory dziekuje. Anna.”

Naszemu czytelnikowi ale i wam radzimy aby nie ulegać tej socjotechnicznej sztuczce i po prostu zignorować taką wiadomość. Odesłanie sms’a Pani Ani może was drogo kosztować, gdyż najprawdopodobniej, na otrzymany od was numer telefonu oszustka Anna zarejestruje się do jednego z płatnych usług online lub co gorsza serwisu pożyczkowego.

Pani Annie i jej gapowatej pociesze możemy natomiast zaproponować konsultacje (płatne) z zakresu bezpiecznego i etycznego poruszania się w cyberprzestrzeni by w przyszłości nie dochodziło u niej do podobnych incydentów z niewłaściwą rejestracją ;)

piątek, 14 listopada 2014

Social Campaign against cyberbullying got english subtitles

For all those who do not speak Polish or would like to share our material with foreigners, we have added English subtitles to our social campaign's spot against cyberbullying. Let cybercrime's victims know that they are not alone. We support them:
Social Campaign against cyberbullying
www.cyberetyka.org

poniedziałek, 3 listopada 2014

[*] Pamięci ofiar cyberprzemocy [*]


Równo rok temu wraz z bratem i grupką przyjaciół pod wpływem coraz częściej obserwowanych niewłaściwych zachowań w sieci rozpoczęliśmy projekt mający w swym założeniu służyć wszystkim tym, którzy chcą ochronić siebie i swoich bliskich przed rosnącą w sieci cyberprzestępczością i cyber-przemocą. Na dzień dzisiejszy wystarczy przejrzeć pierwszą, lepszą gazetę,czy portal internetowy a w mig dowiemy się, że ktoś padł ofiarą oszustwa internetowego, z jakiejś organizacji wyciekły dane dot. kart kredytowych, z internetowego konta bankowego zniknęły pieniądze, czy wreszcie magiczna szata, którą wyszarpano z rąk wielkiego, potężnego Bossa jakiejś tam Wirtulandi została skradziona. Przykłady nadużyć i przestępstw Internetowych można mnożyć a ktoś prędzej czy później i tak stwierdzi:
- " To tylko rzeczy nabyte, a kradzieże zdarzają się i w realu"
- " Karta napewno była ubezpieczona, przestępcę schwytają a bank zwróci pieniądze"
- "Eeee szata? jaka szata? komuś skradziono wystawione futro na portalu aukcyjnym? Oddadzą pieniądzeeeee"

Problem zaczyna się wtedy, kiedy zaczniemy się zastanawiać, że za tymi wszystkimi przypadkami stoją żywi ludzie i ich prawdziwe emocje.Ten komu kiedykolwiek okradziono chatę wie na pewno jak trudno jest wrócić do takiego domu? Jak ciężka jest ta pierwsza noc, kiedy każde cyknięcie zegara w pokoju obok gdzie schnie tynk przy dopiero co wstawionym nowym oknie brzmi jak pośmiertny dzwon, a w piątkowy wieczór  przy pierwszym lepszym wyjściu sąsiada z progu na klatce schodowej serce zamiera i przypaca się paszka.

Czara goryczy przelała nam się w chwili kiedy usłyszeliśmy o pierwszej chyba ofierze w Polsce - 14 letniej Ani z Gdańska, która popełniła samobójstwo po tym jak jej koledzy na oczach klasy rozebrali ją, nagrali całe zdarzenie telefonem komórkowym a następnie udostępnili materiał w sieci. Wtedy doszliśmy do wniosku, że cyberprzemoc nie jest wyłącznie wirtualna, że naprawdę boli, a my musimy coś z tym zrobić.
Pamięci Ani i innym ofiarom cyberprzemocy dedykujemy naszą pierwszą kampanię społeczną: