Sve smo mi, prije ili poslije, u virtualne sandučiće dobile čudne upite i suviše velikodušne ponude. Možda smo tu i tamo otvorile poveznice koje nisu izgledale baš pouzdano, a možda smo, nažalost, čak i iskusile kako je to biti žrtva online prevare. Ja znam da ja jesam – samo zato što stvari koje znam u teoriji nisam primijenila u praksi. Mislila sam da se neće dogoditi baš meni, ali ne mislimo li svi tako?
Nakon što sam u službenoj Facebook grupi u svega par dana uočila nekoliko situacija u kojima su poduzetnice bile meta online prevara, odlučila sam na jednom mjestu sažeti savjete koji pomažu u prevenciji. S obzirom na to da sam studentica računarstva po danu, a poduzetnica po noći (nekad obrnuto), ova tema i meni je osobno jako bitna.
Prije no što s vama podijelim savjete, moram dati mali disclaimer — usluga WWW koja nam omogućava surfanje samo je jedan dio Interneta kao globalne mreže. U igri je ogroman broj slojevitih protokola i usluga, što znači da je nemoguće u potpunosti se zaštiti. Ipak, bolje spriječiti nego liječiti – to će vam reći svaka žrtva online kriminala.
- Birajte dugačke i nasumične lozinke.
Kako bi osoba ušla u vaš profil, mora znati vašu lozinku. Osim što iznenađujuć broj ljudi ima vrlo jednostavne i kratke lozinke, mnogi koriste iste lozinke za razne usluge – this is a big no-no. Svaka usluga trebala bi biti zaštićena jedinstvenom lozinkom koja je dugačka, nasumična kombinacija velikih i malih slova, brojeva i simbola. Za pamćenje i generiranje tih lozinki danas postoje mnogi sigurni alati (primjer je BitWarden).
Za one koje zanima kojom se metodom često provaljuju lozinke, kratko ću objasniti što je brute force pogađanje. Naime, računala imaju veliku procesorsku moć i jako su brza u permutiranju i kombiniranju raznih kombinacija slova i simbola. Što je lozinka kraća i što je monotonija (nema simbola ili brojeva), to je veća šansa da će računalo nasumičnim kombiniranjem zaista “ubosti” vašu lozinku u procesu prijave u profil. Naravno, ako je već otkrivena još neka informacija (hash lozinke, recimo), hakiranje je daleko lakše.
- Ne spremajte lozinke u preglednike.
Nekoć sam bila osoba koja rado sprema lozinke u preglednik (browser) kako bih bila brža u radu. Iako preglednici sami po sebi čak i nisu toliki sigurnosni problem (iako i tu zna biti raznih sigurnosnih rupa), zaboravljamo koliko u svoje preglednike instaliramo pluginove, odnosno dodatke koji su najčešće 3rd party dodaci – nemamo pojma tko su im točno autori. Predlažem da lozinke povezane s Google profilom izbrišete iz preglednikovog upravitelja za lozinke i dodatno provjerite lokalnu pohranu preglednika.
- Dvofaktorska autentifikacija kraljica je sigurnosti.
Mnogi ne vole dvofaktorsku autentifikaciju jer je ponekad vremenski zahtjevno ubaciti lozinku i onda još tražiti mobilni uređaj da putem SMS-a ili aplikacije kao što je Authy potvrdimo neki kod. Ipak, kolika je šansa da će netko tko ima vašu lozinku imati i vaš mobitel? Male, zar ne? Dakle, gdje god imate priliku uključiti dvofaktorsku autentifikaciju ili koristiti dodatne sigurnosne kodove, odnosno adrese za oporavak, napravite to.
- Oprezno pri povezivanju usluga s Google profilom.
Danas svi želimo brže odraditi onaj tehnički dio poslovanja pa se nerijetko poslužimo gumbom “sign in with Google account” umjesto da se ručno registriramo adresom elektroničke pošte i novom lozinkom. Problem s velikim digitalnim ekosustavima (Google ima ekosustav u kojem su preko Google profila spojeni Drive, Meet, Gmail, YouTube…) jest da međusobno dijele puno informacija.
Tehnički je dovoljno da osoba upadne samo u Google profil i može dobiti ogromnu količinu informacija o drugim uslugama, a sami te iste informacije možete i pregledati i ukloniti u nadzornoj ploči profila. Ne ignorirajte sigurnosna upozorenja koja dobivate u sklopu elektroničke pošte, već ih ozbiljno shvatite svaki put.
- Ažurirajte softver.
Znam da je ažuriranje operacijskog sustava (ili bilo kojeg drugog softvera, odnosno aplikacije) dosadno i da traje te se obično javi u najgorem mogućem trenutku, ali ažuriranja su potrebna s razlogom. Programeri konstantno pokušavaju naći i zakrpati sigurnosne propuste te smanjiti broj ranjivih točaka (vulnerabilities) koje bi korisnik s malignim namjerama mogao iskoristiti.
- Budite svjesni opasnosti javnih mreža.
Koliko god smo svi sretni kad u stranoj državi, dobrom kafiću ili centru grada naiđemo na besplatnu pristupnu točku, ono što svi zovemo “free Wi-Fi”, budimo oprezni kad god se “prijavljujemo” na njih. Kad pristupite takvom tipu mreže, budite sigurni da vaši podaci postaju daleko ranjiviji i podložni onome što u računarstvu zovemo “man in the middle” napad. Rješenje bi bilo ili koristiti VPN ili računalo spojiti na pristupnu točku mobitela (ono što često zovemo “dijeliti vlastite gige”).
- Trgujte samo karticama koje su za to namijenjene.
Iako se banke danas trude pri svakoj online kupovini tražiti potvrdu od kupca putem push obavijesti, meni se nekoliko puta dogodilo da mi obavijest uopće ne iskoči. Ovo je često slučaj ako se radi o uslugama koje ne traže informacije od kartice svaki put, nego su kartice jednom ubačene i tako se iznova koriste (tako funkcionira AliExpress, recimo). Dakle, koristite kartice namijenjene za online kupovinu (pitajte svog osobnog bankara, obično kartice spojene na neki sekundarni žiro račun) ili jednokratne virtualne kartice.
- Ne pohranjujte kartice u aplikacijama i/ili preglednicima.
Trgovina Play, AliExpress i razne aplikacije koje bi vam trebale ubrzati proces plaćanja tako što već imaju pohranjene podatke često su jako ranjiva točka i odlično polazište za korisnike s malignim namjerama. Kupite što ste kupiti htjeli, ali nemojte karticu u aplikaciji pohraniti trajno – kada bi netko ukrao vaš mobitel, potencijalno bi mogao vidjeti i podatke vaše kartice ako u sustavu nisu dobro zaštićeni (otiskom prsta, recimo).
- Ne nasjedajte na phishing i scamming.
Savjeti iznad jesu korisni, ali nisu dovoljni. Danas se na Internetu jako lako lažno predstaviti (scammeri imitiraju korisničke službe, podršku i prodajne predstavnike) te zatražiti od osobe da “samo” klikne neku poveznicu, pošalje podatke, promijeni postavke, slika karticu… Opcija je stvarno jako puno. Phishing se referira upravo na ta lažna predstavljanja (često putem elektroničke pošte), a scamming je više generalni termin za online varalice.
Kako se zaštititi? Kad posjećujete neku web stranicu, pogledajte ima li stranica važeći SSL certifikat (dodatno pogledajte postoji li onaj mali lokot lijevo od URL adrese), kako izgleda Privacy Policy na dnu stranice, postoje li tipfeleri u sadržaju (ili još gore, u URL adresi – faceb0ok.com, recimo) i koje su adrese elektroničke pošte ponuđene kao kontakt (korisnicka-sluzba-tvrtka@gmail.com ne izgleda pouzdano, ali korisnicka-sluzba@tvrtka.com već ulijeva više povjerenja).
Što se tiče elektroničke pošte, pretjerano stilizirana pošta (puno fontova, simbola, slika i slično) često je veliki red flag, isto kao i prethodno spomenuta fora s adresama elektroničke pošte. Generički pozdravi (“Hi dear”, “Greetings, Facebook user”), nepotrebna komunikacija na engleskom i poveznice koje počinju protokolom http umjesto https (secure) još su neke stvari na koje valja obratiti pozornost.
- Sigurnosna pohrana na vanjski disk.
Razmislite o sigurnosnoj pohrani na vanjski disk (preferabilno SSD, ne HDD, čisto zbog brzine prijenosa i dugotrajnosti) umjesto pohrane na online diskovima (Google Drive i slično). Osim što ćete svoje podatke imati uz sebe i u slučaju kvara na računalu, bit ćete potpuni vlasnici svih svojih bitova i bajtova.
Zaključak
Kad biste tri različite osobe iz polja računalne sigurnosti ili komunikacijskih mreža pitali postoji li zaista način da se zaštitimo na Internetu, dobili biste tri različita odgovora. Radi se o kompliciranom zadatku, ali često je dovoljno i samo proći kroz osnove – ogroman broj ljudi zna tek jednu ili dvije navedene mjere opreza.
Znam da je implementiranje ovih savjeta dosta posla, ali trud se isplati – to vam može potvrditi bilo koja osoba koja je na svojoj koži iskusila online kriminal. Vjerujte mi na riječ, stres koji osjetite u borbi s vremenom i osobom koja neautorizirano koristi vaše resurse nije vrijedan tih par sati u kojima možete zaštititi sve svoje online posjede. Stay safe!
O autorici:
Lana je poduzetnica, studentica računarstva i osoba s puno previše interesa (i puno premalo vremena). Baš se zbog toga od 2014. godine s ljubavlju bavi planiranjem i organizacijom u svim oblicima, a danas u sklopu Instagram profila @reneplansa (i istoimenog brenda) kombinira računarstvo, neuroznanost i intuiciju u svrhu educiranja i mentoriranja. I da, klasična je horoskopska djevica.
