Kradzież tożsamości – mnie to nie dotyczy!
Kradzież tożsamości – mnie to nie dotyczy!
Dawid Kaźmierski
Kradzież tożsamości, jeśli wybrzmiewa to hasło, to zazwyczaj w naszych głowach pojawia się informacja „mnie to nie dotyczy”. Ale, ale… Czy masz pewność, że jesteś naprawdę bezpieczny?
Na czym polega kradzież tożsamości?
Zacznijmy od wyjaśnienia, co oznacza to pojęcie. Wg definicji kradzież tożsamości, inaczej nazywana fałszerstwem tożsamości to intencjonalne używanie danych osobowych innej osoby (adresu zameldowania, numeru PESEL) lub danych konta internetowego (nicku i hasła) w celu osiągnięcia korzyści majątkowej. Kradzież tożsamości zwana jest również defraudacją tożsamości, gdyż nie chodzi o “usunięcie” danych poszkodowanego, a bardziej o podszywanie się pod kogoś.
Phishing
Najczęstszą metodą pozyskania tożsamości jest Phishing. Metoda, która wykorzystuje najsłabsze ogniwo jakim jest człowiek i jego zaufanie. W metodzie tej przestępcy wykorzystują środki takie jak poczta elektroniczna, wiadomości SMS czy media społecznościowe do przekazywania złośliwych linków pod przykrywką różnego rodzaju próśb, informacji, wezwania do zapłaty zaległych opłat, fałszywych stron producentów, uczestnictwa w akcjach charytatywnych itp. Linki takie zazwyczaj kierują na fałszywe strony lub instalują złośliwe oprogramowanie, dzięki czemu przestępcy mogą pozyskać nasze hasła, dane osobowe czy też dane kont i kart bankowych.
Uwierzytelnianie dwuskładnikowe (2FA)
Uwierzytelnianie dwuskładnikowe, które wspiera dostęp online, wymagając dwóch metod udowodnienia, kim jesteś, zanim będziesz mógł się zalogować. Te dwa czynniki mogą obejmować coś, co znasz – na przykład nazwę użytkownika i hasło oraz najczęściej spotykany kod SMS.
Słabości 2FA
W metodzie 2FA zazwyczaj drugim składnikiem logowania jest numer telefonu, na który przychodzą kody dostępowe do naszych kont. Jest ona obarczona sporym ryzykiem ze względu na możliwość uzyskania duplikatu karty SIM. Metoda wymaga od przestępcy posiadania wiedzy o tożsamości ofiary. Sposób pozyskania takich danych umożliwia na przykład kupno bazy danych tożsamości w ciemnej sieci czy też przy pomocy np. Phishingu. Gdy już przestępca posiada takie dane może posłużyć się metodami socjotechniki i wymusić na operatorze wymianę karty SIM przy użyciu infolinii.
Usługa zmiany karty SIM jest dostępna u operatorów z prozaicznych przyczyn takich jak wymiana telefonu na nowy, w którym już obecna karta SIM nie działa, lub nowe urządzenie wymaga karty e-sim. Dzięki takim zabiegom przestępca może uzyskać dostęp do naszych zasobów firmowych, finansowych itp.
Multi-factor Authentication
A co, jeśli zgubiłeś telefon lub jesteś w podróży i nie masz dostępu do Internetu? Drugim czynnikiem niekoniecznie musi być Twoje urządzenie mobilne — zarówno w scenariuszach konsumenckich, jak i korporacyjnych, można wykorzystać wiele innych czynników, takich jak Yubikey, U2F lub czynniki biometryczne, takie jak Windows Hello i TouchID. W tym miejscu w grę wchodzi koncepcja uwierzytelniania wieloskładnikowego (lub MFA). Uwierzytelnianie wieloskładnikowe jest najczęściej przedstawiane jako połączenie tego, co wiesz, co masz i kim jesteś. 2FA to tylko podzbiór uwierzytelniania wieloskładnikowego — przy włączonym uwierzytelnianiu wieloskładnikowym użytkownicy muszą podać swoje hasło i drugi czynnik zdefiniowany przez administratora. Uwierzytelnianie wieloskładnikowe zapewnia dostęp do aplikacji firmowych w oparciu o wiele punktów danych i czynników pochodzących z próby logowania użytkownika końcowego. Dlatego MFA jest łatwą odpowiedzią na egzekwowanie bezpieczeństwa w całym przedsiębiorstwie.
Uwierzytelnianie wieloskładnikowe Okta
Adaptacyjne uwierzytelnianie wieloskładnikowe Okta integruje się z aplikacjami i zasobami Twojej firmy — za każdym razem, gdy użytkownik loguje się do aplikacji zarządzanej przez Okta, jesteśmy w stanie przeanalizować to żądanie logowania i określić, jak przyznać (lub odmówić) dostępu. Na przykład, jeśli masz pracownika, który zazwyczaj codziennie loguje się do Okta z tego samego laptopa i tej samej lokalizacji sieciowej, ale pewnego dnia loguje się z zupełnie nowego urządzenia i lokalizacji, Okta może podejmować różne działania na podstawie tego logowania. Po pierwsze, mechanizm wykrywania behawioralnego Okta może zidentyfikować nowe urządzenie, lokalizację i adresy IP uzyskujące dostęp do usługi Okta i poprosić o przystąpienie (lub MFA) przy tym nowym logowaniu. Dodatkowo, gdy użytkownik końcowy loguje się z nowego urządzenia, otrzymuje wiadomość e-mail z informacjami identyfikującymi, takimi jak przeglądarka, system operacyjny, data/godzina logowania i lokalizacja sieciowa. Pomaga to użytkownikom końcowym samodzielnie zarządzać bezpiecznym dostępem do swojego konta — jeśli otrzymają wiadomość e-mail identyfikującą login, którego nie zainicjowali, mogą następnie powiadomić administratora Okta.
Wskazówki bezpieczeństwa na co dzień
Warto wdrożyć zasady, które pozwolą zwiększyć nasze bezpieczeństwo:
- Bądź czujnym i świadomym użytkownikiem, uważaj na mechanizmy socjotechniki.
Stosuj hasła skomplikowane i nie posiadające fraz słownikowych, składające się z minimum 12 znaków w tym znaków specjalnych, cyfr, wielkich i małych liter. Długie i silne hasło powinno być jedną z kilku metod logowania. - Zastanów się nad wdrożeniem i używaniem rozwiązań MFA takich jak OKTA, dzięki czemu dostęp zabezpieczysz więcej niż dwoma mechanizmami logowania.
- Używaj do autoryzacji aplikacji mobilnych jak OKTA Verify, które wymagają użycia biometrii.
- Jeśli to możliwe używaj rozwiązań logowania z mechanizmami geolokalizacji, takich jak w OKTA, które dodatkowo zabezpieczą dostępy.
Podsumowując warto pomyśleć o wdrożeniu rozwiązań MFA w swojej organizacji, które opierają się na kilku środkach bezpieczeństwa jak również wdrożyć powyższe zasady bezpieczeństwa wśród pracowników.
Więcej o rozwiązaniu można przeczytać na stronie:
Uwierzytelnianie wieloskładnikowe (MFA) – Multi-factor Autentication
Zapraszamy do zapisania się na nasz WEBINAR ONLINE już 23 września 2022 o godzinie 11:00:
Dostawcy oprogramowania
