Close
Cyberprzestępczość to nie tylko skomplikowane ataki hakerskie, wymierzone w wielkie korporacje czy publiczne instytucje. To także zwykłe oszustwa, takie jak podszywanie się pod inną osobę czy kradzież sesji. I co najgorsze – są one bardzo skuteczne. Wiele użytkowników zapomina o tym, że nigdy nie wiemy kto siedzi po drugiej stronie ekranu. Czy faktycznie jest to pracownik banku lub pracownik firmy Microsoft? Nie możemy mieć pewności tylko dlatego, że w taki sposób się przedstawił.
Kilkanaście lat temu bardzo medialnym wydarzeniem była promocja kampanii “Nigdy nie wiadomo, kto jest po drugiej stronie”. Był to pierwszy projekt zrealizowany w ramach kampanii „Dziecko w Sieci”. Wiele osób z pewnością kojarzy spot, w którym starszy mężczyzna przedstawiał się nowopoznanej w sieci nastolatce jako 12-letni Wojtek. Choć świadomość społeczna znacząco wzrosła od czasu startu kampanii, to jednak bezpieczeństwo w sieci nadal jest aspektem często bagatelizowanym przez zwykłego użytkownika – zarówno dzieci, jak i dorosłych.
My skupimy się dziś na osobach dorosłych. A w zasadzie na ich kontach bankowych i danych, które ze względu na zaniedbania bezpieczeństwa są narażone na ataki hakerskie. Zasada “nigdy nie wiadomo, kto jest po drugiej stronie” nie dotyczy tylko dzieci – choć im w internecie grozi szczególne niebezpieczeństwo, przez co wymagają dodatkowej ochrony. Ale Ty jako dorosły i odpowiedzialny użytkownik nie możesz zapominać, że osoba podająca się w mailu jako pracownik banku wcale nie musi nim być.
Jak więc weryfikować, kto siedzi po drugiej stronie ekranu? Nie zawsze jest to możliwe, ale klucz do sukcesu to racjonalność. Pamiętaj, że jeśli dana oferta jest zbyt piękna, aby była prawdziwa – to z pewnością nie jest prawdziwa. Z kolei maile ponaglające do pilnej zapłaty niewielkiej kwoty, aby nie zostały naliczone odsetki, także najprawdopodobniej nie są wysyłane przez bank.
Stosowanie do tej zasady może jednak nie wystarczyć. Z tego powodu warto rozważyć wdrożenie rozwiązania, które gwarantuje niemal 100% skuteczność – czyli weryfikacji behawioralnej. Precyzyjnie rozpoznaje ona, kto jest (a kto nie) uprawniony do korzystania z danego konta czy systemu. Nasze zachowania pośrednio definiują nas samych – ruchy myszką czy tempo pisania na klawiaturze każdego człowieka jest inne. Nawet minimalne różnice bez problemów wychwytuje jednak algorytm weryfikacji behawioralnej.
Weryfikacja behawioralna jest składnikiem MFA, czyli uwierzytelniania wieloetapowego. Jej działanie opiera się na budowaniu modeli behawioralnych dla danego użytkownika. Każdy z nich może mieć do dwóch modeli, które definiują jego standardowe zachowania. W trakcie korzystania z konta czy systemu chronionego przez weryfikację behawioralną, algorytm analizuje zgodność zmiennych z aktualnymi czynnościami podejmowanymi przez użytkownika. Jeśli wykryje niezgodność – natychmiast przerywa sesję.
Innym technicznych sposobem na zdefiniowanie danego użytkownika jest analiza urządzeń, z których korzysta. Tak właśnie działa Device Fingerprinting, czyli rodzaj biblioteki danych, która działa na wszystkich przeglądarkach internetowych i analizuje każde urządzenie podpięte do danego systemu. Jeśli dostrzeże anomalię, natychmiast reaguje zgodnie z zaimplementowaną logiką alertową.
Posłużymy się przykładem: Pani Aleksandra zawsze loguje się do konta w systemie CRM swojej firmy z laptopa marki Dell. Nagle następuje próba logowania z zupełnie innego urządzenia, które nie jest zapisane w bibliotece Device Fingerprinting. System wysyła wtedy sygnał do działu bezpieczeństwa lub samodzielnie blokuje dostęp – zależnie od preferencji użytkowników. Wdrożenie Device Fingerprinting znacząco redukuje zagrożenie zewnętrznych ataków.
Nigdy nie wiesz, kim jest osoba po drugiej stronie ekranu – ale możesz dowiedzieć się, kim nie jest. Połączenie weryfikacji behawioralnej z Device Fingerprinting zapewnia niemal stuprocentowe bezpieczeństwo i ochronę przed cyberprzestępczością ze względu na ciągłe uwierzytelnianie zachowań oraz urządzeń, z których korzysta dany użytkownik. Lepiej zapobiegać, niż leczyć – a szczególnie w kontekście fraudów czy kradzieży danych.
Digital Fingerprints S.A. ul. Gliwicka 2, 40-079 Katowice. KRS: 0000543443, Sąd Rejonowy Katowice-Wschód, VIII Wydział Gospodarczy, Kapitał zakładowy: 4 528 828,76 zł – opłacony w całości, NIP: 525-260-93-29
Biuro Informacji Kredytowej S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000110015, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 15.550.000 zł opłacony w całości, NIP: 951-177-86-33, REGON: 012845863.
Biuro Informacji Gospodarczej InfoMonitor S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000201192, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 7.105.000 zł opłacony w całości, NIP: 526-274-43-07, REGON: 015625240.
