Zdjęcia pracujących w trybie zdalnym, publikowane m.in. w mediach społecznościowych, ujawniają cyberprzestępcom więcej niż się wydaje.
Fotografie rodziny, fragmenty dokumentów, przesyłka od kuriera czy szalik ulubionej drużyny piłkarskiej w kadrze mogą ułatwić cyberatak i prowadzić do „wyczyszczenia” konta bankowego, kradzieży poufnych danych, a nawet sparaliżowania działalności firmy.
Haker jak służby wywiadowcze
Cyberprzestępcy coraz częściej personalizują ataki – zamiast wysyłać złośliwe wiadomości losowo do milionów użytkowników, dopasowują je do konkretnej ofiary, aby wzmocnić wiarygodność (tzw. spear-phishing). Działają jak wywiad: zbierają wszelkie ślady obecności użytkownika w sieci, na forach internetowych czy w mediach społecznościowych, a także hasła pochodzące z wycieków danych dużych firm, np. ubezpieczeniowych czy sklepów internetowych.
Tymczasem w dobie pandemii i pracy zdalnej zdobycie prywatnych i firmowych danych pracowników jest jeszcze łatwiejsze. W tle zdjęć domowego biura czy wideokonferencji często pojawiają się członkowie rodziny, zwierzęta, przedmioty wskazujące na zainteresowania. Niektóre dekoracje podpowiadają datę urodzenia czy imię pupila, a etykiety na „zagubionej” w kadrze paczce mogą zdradzić adres i personalia domowników.
Każda z tych informacji jest cenna dla przestępców: Polacy często tworzą hasła nawiązujące do ulubionej drużyny, artystów muzycznych, imion i dat urodzenia dzieci czy zwierząt domowych [1]. Nie zmieniają ich też wystarczająco często w serwisach bankowych (powinno się robić to minimum raz w roku). [2] Zwiększa to szanse przestępców na odgadnięcie hasła na podstawie zebranych w sieci informacji.
Zdjęcie pupila „furtką” do firmowej sieci
Udostępnianie zdjęć związanych z pracą czy nauką zdalną to też zagrożenie dla firmowych danych i systemów. Pracownicy nie zawsze zwracają uwagę, co – poza pupilem śpiącym na biurku, lunchem w domowym biurze czy uczącym się dzieckiem – widać w kadrze. W ten sposób ujawniają wrażliwe informacje: widok służbowych skrzynek, e-maile, nazwiska, prywatne strony internetowe, poufną wewnętrzną korespondencję, oprogramowanie zainstalowane na komputerach i ich numery identyfikacyjne, faktury czy umowy z podwykonawcami.
„Każdy z takich cyfrowych śladów może zostać wykorzystany do ataku na firmę. Ułatwiają one przestępcom podszycie się pod kuriera współpracującego z pracodawcą albo pracownik jest nakłaniany w „imieniu” działu IT do udostępnienia wrażliwych plików lub danych czy pobrania złośliwego oprogramowania, np. w postaci fałszywej aktualizacji oprogramowania. Stąd już tylko krok do zainfekowania całej firmowej sieci, kradzieży wrażliwych biznesowych danych czy paraliżu przedsiębiorstwa. Stosowane przy zdjęciach popularne hashtagi #WorkFromHome, #Pracazdalna, #HomeOffice, #Zoom czy #MSTeams dodatkowo ułatwiają przestępcom wyszukiwanie podobnych informacji w sieci – ostrzega Łukasz Formas, kierownik zespołu inżynierów w firmie Sophos.
Jak dbać o bezpieczeństwo danych?
Gdy zdjęcie zostanie udostępnione w sieci, użytkownik traci wpływ na to kto i jak wykorzysta zawarte na nim informacje. Dlatego zawsze należy zwracać uwagę na to co widać (także w przybliżeniu) w tle publikowanych fotografii z pracy, zdalnej nauki czy wideokonferencji. Jeśli nie ma możliwości odpowiedniego zaaranżowania przestrzeni za sobą podczas wideorozmów, lepiej użyć wirtualnego tła lub efektu rozmycia.
Warto też edukować przyjaciół, członków rodziny i współpracowników o potencjalnych zagrożeniach związanych z udostępnianiem w sieci zdjęć z domowego biura.
1 Badanie National Cybersecurity Centre: https://www.ncsc.gov.uk/blog-post/passwords-passwords-everywhere
2 Raport „Cyberbezpieczny portfel 2020”, https://zbp.pl/getmedia/156b5c44-bfcc-46cb-a5d1-bd0d141e9ed0/ZBP_CyberbezpiecznyPortfel2020
