Na czym polega przedsiębiorczość?
Na zaradności w każdej dziedzinie życia, byciu na bieżąco, unikaniu niepotrzebnego ryzyka, dobrym gospodarowaniu własnymi zasobami i majątkiem?

Jeżeli tak, to ten termin jest bardzo mocno i coraz mocniej związany z technologią, sieciami społecznościowymi i ogólnie Internetem. Podkreślanie jak dużą częścią naszego życia jest ta wirtualna byłoby już banałem, ale skoro wchodzimy do sieci z coraz większą liczbą życiowych spraw, to tym więcej poprzez sieć możemy stracić – z powodu nieostrożności, braku czujności lub braku wiedzy. Ten artykuł ma na celu głównie pobudzenie czujności i podreperowanie wiedzy, która pomoże tę czujność podtrzymać na przyzwoitym poziomie. ;) A impulsem do tego niech będzie uświadomienie sobie, że żyjemy w erze danych. I to nic, że większość danych „krąży” mimo nas i my, prosty lud, nie wyciągniemy z nich żadnej konkretnej korzyści. To wcale nie znaczy, że te dane są bezwartościowe. Przeciwnie.

Nie oglądałem filmu „Dylemat społeczny”, ale znam z niego jedno charakterystyczne zdanie, powtarzane przez prawie wszystkich znajomych, którzy go oglądali: „Jeśli nie płacisz za produkt, sam nim jesteś”. Jesteśmy sprzedawani przez reklamodawców, niewątpliwie. A co jeśli płacimy za produkt? Nie wykorzystuje się nas w żaden sposób? Weźmy jakiś przykład, zupełnie przypadkowo… to może Netflix. Płacimy? Płacimy. Dostajemy rekomendacje następnych filmów do obejrzenia? Dostajemy. Trochę blefuję, nie mam Netflixa, ale to oczywiste, że stosuje silnik rekomendacji. Takie rekomendacje nie są nigdy zawieszone w powietrzu, algorytm rekomendacyjny przykładowo odszukuje profile najbardziej podobne do Twojego (pod względem najwyżej ocenianych gatunków, twórców, a może zupełnie nieoczywistych tagów opisujących film – w stylu “wielkie bogactwo”) i podsuwa to czego jeszcze nie oglądaliście, a co było przez najbardziej podobne profile najlepiej oceniane. Jest to przypadek użycia jednej najprostszych metod z dziedziny uczenia maszynowego – tzw. algorytmu k najbliższych sąsiadów. Być może tak naprawdę silnik rekomendacji działa w znacznie bardziej zaawansowany sposób, ale chodzi o to, że tego typu systemy bazujące na algorytmach uczących – rekomendujących, prognozujących, segregujących itp. – używane przez wszystkie firmy BigTechowe (i nieustannie przez nie rozwijane), działają najczęściej tym trafniej, im więcej danych przetworzą. Dane są ich surowcem, w tym Twoje i moje dane, co prawda traktowane nie detalicznie i pojedynczo, ale towar sprzedawany tylko hurtowo nie przestaje przecież być towarem. Tak, nasze dane w sieci są towarem. Zobaczmy więc, które dane o nas można przeliczyć na pieniądze i w jaki sposób.

Na sporo własnych danych masz wpływ…


Najbardziej bezpośrednim sposobem sprawdzenia ile warte są niektóre nasze dane, jest przeliczenie środków na koncie. Tyle możemy stracić, jeśli ktoś otrzyma dostęp do naszych bankowych danych uwierzytelniających. Skąd miałby je uzyskać? Najczęściej od nas samych. Słowo-klucz: phishing. Phishing, czyli wyłudzenie poufnych danych najczęściej poprzez kierowanie na fałszywe strony internetowe za pomocą fałszywych maili lub smsów – wszyscy prawdopodobnie znamy tę definicję i mniej więcej kojarzymy, że takie niebezpieczeństwo istnieje. Większość z nas zapewne nie jest jednak świadoma skali tego zjawiska. Według danych Kaspersky’ego, w 2020 roku oprogramowanie anty-phishingowe tej firmy wykryło ponad 180 milionów złośliwych załączników oraz zablokowało ok. 435 milionów prób wejścia na fałszywe strony. W raporcie firmy F5 Labs oszacowano, że ataki phishingowe stanowią ponad 30% wszystkich zgłaszanych incydentów naruszenia bezpieczeństwa.

Pewna część z nas być może w tej chwili uśmiechnęła się z politowaniem. “Jak można się nabrać na te koszmarnie preparowane maile od księcia Nigerii napisane quasi-polszczyzną, to przecież bardziej żenujące niż metoda na wnuczka”. Ale phishing niejedno ma imię. Szacuje się, że 97% użytkowników nie potrafi rozpoznać dobrze spreparowanego fałszywego maila. Zwłaszcza gdy przyjdzie on od WHO albo CDC, a w polskim przypadku np. od Ministerstwa Zdrowia – wspomniany raport F5 Labs wskazuje, że napastnicy skrzętnie wykorzystywali w 2020 roku emocjonalne podejście ludzi do tematu pandemii i lockdownu, tytułując emaile np. “Covid-19 in your area? Please confirm your address” albo “Message from Local hospital – Need patient data for COVID-19 testing”.

Oto dowód, że phishing niejedno ma imię – kilka najgłośniejszych akcji, kampanii, a nawet całych przedsięwzięć phishingowych ostatnich miesięcy w Polsce:

  • marzec 2021: atak zaczyna się od prawdziwego OLX-a, odzywa się do nas potencjalny kupiec naszego przedmiotu i prosi o adres email, na który przesyła wiadomość podszywającą się pod OLX, kierującą nas na nieźle przygotowaną fałszywą stronę OLX lub firmy kurierskiej (albo też odzywa się przez WhatsAppa – na OLX widnieje przecież nasz nr telefonu – i od razu przesyła fałszywy link), na której mamy potwierdzić odbiór pieniędzy poprzez… podanie danych karty płatniczej i innych danych uwierzytelniających wymaganych przez banki, łącznie z kodem z SMSa, co prowadzi najczęściej do błyskawicznego oczyszczenia konta z pieniędzy – liczba ofiar tej akcji idzie wg Niebezpiecznika w setki osób i wciąż rośnie.
  • grudzień 2020: fałszywa zbiórka na “chorego Franka” – w tym przedsięwzięciu nie ma fałszywych przekierowań, nie ma sprytnych literówek, bramka płatności (choć sama spreparowana tak, by wyglądała na Przelewy24) prowadzi do prawdziwych stron banków, pieniądze przesyłamy rzeczywiście na podane konto – ale sama zbiórka jest nieprawdziwa, Franek nie istnieje, a właściciel zbiórki, po głębszym researchu, okazuje się prowadzić kilka takich zbiórek oraz kilka “informacyjnych” portali, które je uwiarygodniają
  • czerwiec 2020: atak polegający na założeniu fałszywych stron imitujących witryny banków należących do Getin Holding, a następnie… wykupienie reklam w Google tak, by fałszywe strony pojawiały się jako pierwsze w wynikach wyszukiwania – analogiczna akcja z fałszywym Allegro miała miejsce 3 lata temu
  • maj 2020: masowo rozsyłane smsy od INP0STu (nie INPOSTu), zachęcające do pobrania, w rzeczywistości szkodliwej, aplikacji w celu “odbioru paczki”

Jak się nie dać, jak być uważnym? W przypadku firm – np. na wszelki wypadek skorzystać z darmowej usługi https://igotphished.abuse.ch/, która pozwala przynajmniej po fakcie dowiedzieć się, że któryś z użytkowników firmowej domeny dał się podejść. A poza tym rady są pewnie takie jak zawsze, najprostsze: czytać (nie tylko o pojedynczych akcjach, również np. streszczenia corocznych raportów), sprawdzać, zwiększać swoją świadomość. Kto wie, czy kiedyś odwiedzanie Niebezpiecznika, Sekuraka czy Zaufanej Trzeciej Strony nie będzie tak oczywiste jak sprawdzanie pogody przed wyjściem z domu. Właściwie chyba już teraz powinno takie być.

…na inne dane mniejszy…

 

Od czasu do czasu dostaję od znajomych osób pytanie pod tytułem “czy to jest bezpieczne”. Ostatnio to pytanie dotyczyło płatności kartą debetową podpiętą do prywatnego konta bankowego za aplikację w sklepie Google Play. Moja pierwsza odpowiedź miała być odbiciem piłeczki: “czy to jest konieczne”. A potem zacząłem się zastanawiać nad czym się zastanawiam, bo ogólnie rzecz biorąc, owszem, jestem niechętny płatnościom kartą przez Internet, ale przecież trudno sobie wyobrazić firmę bardziej wiarygodną w kwestii płatności oraz bezpieczeństwa danych niż Google, sam Google Play też jest totalnie zaufaną aplikacją, wycieków danych z Google’a też oficjalnie zbyt dużo nie było (choć zdarzyły się) [informacja o wycieku danych dot. ponad 500 mln użytkowników Facebooka, równie renomowanego podmiotu, pojawiła się już po napisaniu artykułu – przyp. red.]. Nie da się przecież bez końca unikać płatności kartą przez Internet ani w ogóle wszystkich czynności, które budzą niechęć lub podejrzenia. Skąd więc wynikała moja wątpliwość? Chyba z tego, że da się bezpieczniej. Wyobraźmy sobie totalną katastrofę, wyciek danych z Google Play akurat o kartach płatniczych. Znów powołam się na raport F5 Labs – w 2017 roku wyciekło 2,3 miliarda rekordów z poufnymi danymi, pół żartem pół serio – statystycznie kiedyś musi paść na nas (btw. możemy sprawdzić czy już nie padło, na stronie https://haveibeenpwned.com/). Czy nie mielibyśmy mniej stresu, gdybyśmy zamiast kartą podpiętą do naszego konta – na które m.in. otrzymujemy pensję czy zwrot podatku – zapłacili np. kartą Revoluta albo innego neobanku, której stan jest w 100% zależny od nas? 

Z tym, że problem chyba jednak nie jest w metodzie, tylko w nas. Istnieje mnóstwo metod płatności i większość jest bezpieczna, bezpieczna do czasu. Przypadków oszustw za pomocą BLIKa też odnotowuje się niemało (jak tu, tu, czy tu) . Czyli co, kryptowaluty? Brzmi dobrze, chociaż operowanie kryptowalutami również wiąże się z ryzykiem, dość specyficznym dla tej dziedziny, np. zamykającymi się giełdami . Co więcej kryptowaluty wcale nie są w 100% anonimowe (a czasem się tak słyszy), dowodem jest choćby likwidacja w 2019 roku pedofilskiego serwisu i aresztowanie jego operatora, czego udało się dokonać właśnie dzięki analizie transakcji blockchain . Problem nie tkwi więc do końca w metodzie, w każdej znajdziemy minusy, a niektórych po prostu nie ominiemy, sedno jest w naszej czujności, naszej rozwadze i w naszej świadomości, że “trwa nieustanny wyścig pancerza z pociskiem”, popartej stałym poszerzaniem naszej wiedzy o tym wyścigu. Zapewne prędzej czy później dojdziemy do wniosku, że tych danych, na które nasz wpływ jest ograniczony, najrozsądniej po prostu zostawiać w sieci jak najmniej.

…a o niektórych własnych danych nawet nie wiesz


Warto wspomnieć jeszcze o jednym fakcie, który właściwie możemy tylko obserwować, jedząc popcorn, na zmianę śmiejąc się i płacząc. Mianowicie towarem są także te nasze dane, których istnienia bezpośrednio nawet my nie jesteśmy świadomi, a są to dane najbardziej indywidualne, unikalne i intymne. Bardziej prywatne niż hasło do konta – dane, dzięki którym można robić na nas pieniądze, i to zupełnie bez naszej świadomości, bo nasze saldo pozostanie nienaruszone (i to jest jedyny plus).

Po pierwsze, ślad pozostawiony w sieci to nie tylko mniej lub bardziej poufne dane wpisywane w formularze. Być może najbardziej niebezpieczne jest to, czego można się o nas dowiedzieć na podstawie naszej działalności w sieciach społecznościowych. Profesor Michał Kosinski z Uniwersytetu Stanforda stwierdził kilka lat temu, że “wystarczy przeanalizować 70 polubień na Facebooku, aby zrozumieć charakter człowieka lepiej niż jego przyjaciel, 150 – lepiej niż rodzice, 300 – lepiej niż partner”. W publikacji “Facebook and Privacy: The Balancing Act of Personality, Gender, and Relationship Currency” z 2012 roku, Kosinski i jego współpracownicy wykazali jak bazując na modelu OCEAN, składającym się z 5 kryteriów (Openness, Conscientiousness, Extraversion, Agreeableness, Neuroticism), można na podstawie facebookowego profilu, a dokładnie 68 polubień, z bardzo dużą trafnością określić kolor skóry, orientację seksualną, wyznanie, inteligencję i poglądy polityczne. “Nie zbudowałem bomby, pokazałem tylko, że ona istnieje”, stwierdził Kosinski, gdy wyszło na jaw, że firma Cambridge Analytica rzeczywiście takie algorytmy wykorzystywała w kampanii Donalda Trumpa. Sporo warta ta bomba – wg Federalnej Komisji Wyborczej, komitet Trumpa zapłacił CA za tę usługę ok. 6 mln dolarów.

Po drugie w ostatnich latach (a zwłaszcza w koronawirusowym okresie) dochodzi do kradzieży – na gigantyczną skalę – danych biologicznych. Na podstawie amerykańskich ustaleń szacuje się, że Chińczycy posiadają dane 80% amerykańskich obywateli, uzyskane głównie dzięki cyberatakom na firmy ubezpieczeniowe czy sieci hoteli. Ale w koronawirusowym roku chińskie firmy medyczne, a właściwie wszystkie powiązane z rządem, dostarczyły zestawy testowe do większości krajów na świecie, w wielu otworzyły również laboratoria do badania próbek, dzięki czemu, jak twierdzi amerykański kontrwywiad, chiński rząd pośrednio otrzymał informacje o stanie zdrowotnym wielu społeczeństw. Niezależnie czy wierzymy Amerykanom czy nie, Pekin nie ukrywa, że inwestuje ogromne pieniądze w biotechnologię, a zróżnicowane dane biologiczne są kluczowe w rozwoju metod sztucznej inteligencji bezpośrednio w procesie leczenia, jak również w medycynie precyzyjnej/spersonalizowanej. A więc istnieje coś takiego jak popyt na dane.


W takim razie: jak żyć?


Na sam koniec podsumujmy jak sobie poradzić w tym okrutnym świecie czyhającym na nasze dane:

  1. stay tuned – zapisz się na newsletter któregoś z “bezpiecznikowskich” portali i czytaj lub choćby zaglądaj, bądź na bieżąco, zobaczysz, że to nie tylko pożyteczne ale i przyjemne, zawsze miło jest zobaczyć, że ktoś dał się nabrać a Ty nie ;)
  2. nie udostępniaj informacji o sobie, jeśli nie musisz i korzystaj z możliwie najbezpieczniejszej w danym przypadku formy płatności czy udostępnienia danych
  3. jeśli otrzymujesz nieoczekiwaną wiadomość od firmy czy nieznajomej osoby lub wiadomość od znajomego, której byś się po nim nie spodziewał (i on mógł przecież nieświadomie upublicznić swoje poufne dane) – zanim uczynisz jakiekolwiek inne kroki – weryfikuj jej prawdziwość innym kanałem (jeśli np. przyszła dziwna wiadomość od znajomego na messengerze, zadzwoń do niego by to potwierdził)
  4. dbaj o poufność swoich danych uwierzytelniających do wszystkich kont – jeśli już koniecznie musisz komuś zaufanemu je udostępnić, zrób to dwukanałowo, np. login (lub login i kawałek hasła) smsem, a hasło (lub jego reszta) Skypem
  5. tylko Ty możesz trzymać swoją kartę płatniczą, nie wypuszczaj jej z rąk, nie rób też zdjęć, na których mogłyby być widoczne jej dane
  6. zachowuj czujność podczas wypłacania gotówki, skoncentruj się na tym w danym momencie, rzuć okiem, czy bankomat nie ma jakiegoś dziwnego detalu w rodzaju “grubszej” klawiatury lub dodatkowej kamery
  7. taką samą czujność zachowaj na stronach internetowych, na których podajesz swoje dane lub dokonujesz płatności, każdy nietypowy, niewidziany wcześniej detal powinien wzbudzić Twoją podejrzliwość

I najważniejsze: niefrasobliwość nie jest dobra, ale ciągłe poczucie zagrożenia też zdecydowanie nie. A właśnie świadomość, wiedza i wyrobienie sobie dobrych zwyczajów pozwalają ograniczyć stres :D 



Maks Marcinowski – informatyk, analityk bezpieczeństwa systemów w PCSS, doktorant na Politechnice Poznańskiej, zawodowo i naukowo (hobbystycznie też) związany z zastosowaniem inteligentnych metod – w cyberbezpieczeństwie i analizie mediów społecznościowych, prywatnie bardziej offline: górołaz, fan nienowych samochodów, niecodziennych rowerów i muzyki.