Większość osób prawdopodobnie doskonale zdaje sobie sprawę z faktu, że w każdej chwili mogą stać się ofiarami cyberprzestępców - zwłaszcza jeśli robią zakupy online, korzystają z bankowości elektronicznej (i mobilnej) czy aplikacji do inwestowania środków. Z danych CERT NASK wynika zresztą niestety, że tylko w zeszłym roku odnotowano 103 449 unikalnych incydentów bezpieczeństwa - czyli aż o 29 proc. (!) więcej niż o rok wcześniej.

Warto przy tym zaznaczyć, że ofiarami cyberataków nie padają wyłącznie firmy czy osoby publiczne, ale też - a może nawet przede wszystkim - użytkownicy indywidualni. Ich konta bankowe (nie mówiąc już o kontach maklerskich czy portfelach kryptowalut) stanowią dla przestępców atrakcyjny i często słabo zabezpieczony cel. Czasem wystarczy wręcz jeden moment nieuwagi czy jedno fałszywe kliknięcie, aby stracić dostęp do oszczędności gromadzonych latami. Tymczasem skoro dana osoba poświęciła już swój czas i zasoby na dokonanie inwestycji, to powinna też zadbać o to, by nie stracić inwestowanych środków przez brak odpowiednich zabezpieczeń.

Wielu inwestorów wciąż żyje w przekonaniu, że do ochrony konta wystarczy skomplikowane i unikalne hasło. To jednak niestety błędne założenie - zwłaszcza jeśli weźmiemy pod uwagę metody działania współczesnych cyberprzestępców. Obecnie rzadko kiedy próbują oni „złamać” hasło w sposób siłowy; znacznie częściej posługują się socjotechniką, a w szczególności phishingiem.

Mimo że o phishingu mówi się w przestrzeni publicznej sporo, to warto przypomnieć, na czym polega ten mechanizm. Przestępcy, podszywając się pod zaufane instytucje - zazwyczaj banki, domy maklerskie czy popularne serwisy społecznościowe - wysyłają fałszywe wiadomości e-mail lub SMS z prośbą o pilne zalogowanie się na konto, na przykład w celu potwierdzenia tożsamości lub uniknięcia blokady. Link zawarty w wiadomości prowadzi do podstawionej, łudząco podobnej do oryginalnej strony internetowej. Użytkownik, nieświadomy zagrożenia, sam wpisuje swój login i hasło, przekazując je bezpośrednio w ręce oszustów. W takiej sytuacji nawet najbardziej złożone hasło na świecie nie stanowi żadnej ochrony.

Co gorsze, w wielu przypadkach ataki phishingowe są tak dobrze skonstruowane, że nawet osoby, które na co dzień zachowują czujność, mogą w końcu dać się nabrać. Z tego względu lepiej pomyśleć o silniejszym zabezpieczeniu - w tej roli świetnie sprawdzi się uwierzytelnianie dwuskładnikowe.

Skoro samo hasło nie wystarcza, konieczna jest dodatkowa warstwa zabezpieczeń. Tę funkcję może z powodzeniem pełnić właśnie uwierzytelnianie dwuskładnikowe, znane jako 2FA (Two-Factor Authentication). Jest to metoda autoryzacji, która do zalogowania się na konto wymaga potwierdzenia tożsamości za pomocą dwóch niezależnych od siebie składników. Najczęściej chodzi o wiedzę i konkretne urządzenie - czyli np. o hasło i o smartfona. W praktyce, po wpisaniu loginu i hasła, serwis najczęściej prosi o podanie dodatkowego, jednorazowego kodu, który jest generowany na telefonie (lub innym urządzeniu) użytkownika. Dopiero po poprawnym wprowadzeniu takiego kodu użytkownik może wejść na swoje konto.

Z tego względu uwierzytelnianie dwuskładnikowe to prosta, ale skuteczna blokada - nawet jeśli przestępca zdobędzie hasło danej osoby w wyniku ataku phishingowego, bez fizycznego dostępu do telefonu użytkownika (czyli drugiego składnika uwierzytelniania) nie będzie w stanie zalogować się na konto bankowe czy rachunek maklerski.

Jak włączyć 2FA? Najczęściej nie wymaga to zbyt wielu działań ze strony użytkownika - więc tym bardziej warto o to zadbać. Świetnie to widać na przykładzie aplikacji inwestycyjnej XTB, w której uruchomienie uwierzytelniania dwuskładnikowego ogranicza się do trzech prostych kroków. Co więcej, 2FA można włączyć zarówno za pośrednictwem aplikacji mobilnej, jak i platformy webowej.

Co trzeba zrobić? Wystarczy przejść do Ustawień, następnie wybrać opcję Bezpieczeństwo, a potem - Uwierzytelnianie dwuskładnikowe. W kolejnym kroku należy natomiast wybrać preferowaną metodę uwierzytelniania - SMS lub TOTP.

W przypadku pierwszej metody użytkownik po zalogowaniu się do aplikacji otrzymuje wiadomość z jednorazowym kodem SMS. Druga metoda polega na generowaniu jednorazowych kodów w popularnych aplikacjach do autentykacji, takich jak choćby Google Authenticator czy Apple Passwords. W takim wypadku kod, który należy wpisać, jest generowany na smartfonie (lub innym urządzeniu) co 30 sekund. Wybór metody zależy od preferencji użytkownika - warto jednak podkreślić, że metoda SMS, choć wydaje się łatwiejsza w użyciu, może być też nieco mniej bezpieczna. Obie metody wprawdzie nie chronią stuprocentowo przed phishingiem, ale metoda SMS nie chroni również przed wyrobieniem duplikatu karty SIM i przed przekierowaniem wiadomości tekstowych.

Niezależnie od wybranej metody, uruchomienie 2FA w aplikacji XTB zajmie maksymalnie kilka minut - a dzięki temu można radykalnie zmniejszyć ryzyko stania się ofiarą cyberataku i zabezpieczyć swoje środki finansowe przed przestępcami. XTB zachęca zatem o zadbanie o swoje bezpieczeństwo w sieci.

Uwierzytelnianie dwuskładnikowe to jedno - i warto je włączyć, zwłaszcza że nie wymaga to zbyt wielu działań ze strony użytkownika. Nie zmienia to jednak faktu, że dobrze też wyrobić sobie kilka dodatkowych nawyków, składających się na tzw. cyfrową higienę.

Pierwszy ze wspomnianych nawyków związany jest z zarządzaniem hasłami. Warto stosować długie, skomplikowane i unikalne hasła dla każdego serwisu.

Po drugie, istotne są uważność i pewna doza sceptycyzmu. Należy zawsze weryfikować adres strony logowania, a także sprawdzać nadawcę wiadomości e-mail. Lepiej też nigdy nie klikać w podejrzane linki czy załączniki; instytucje finansowe nigdy nie proszą o podanie pełnego hasła czy danych karty kredytowej w wiadomości e-mail.

Po trzecie, nie może zapominać o aktualizacjach i ogólnemu dbaniu o bezpieczeństwo sieci. Regularne aktualizowanie systemu operacyjnego, przeglądarki internetowej i aplikacji minimalizuje ryzyko wykorzystania przez przestępców znanych luk w oprogramowaniu. Należy również unikać logowania się do serwisów finansowych, korzystając z publicznych, niezabezpieczonych sieci Wi-Fi.

Warto mieć przy tym wszystkim świadomość, że inwestowanie (czy choćby oszczędzanie) i dbałość o cyberbezpieczeństwo to tak naprawdę dwie strony tego samego medalu. Wysiłek włożony w analizę rynków i pomnażanie kapitału może pójść na marne, jeśli ktoś nie poświęci choćby kilku minut na uruchomienie dodatkowych zabezpieczeń. W tym kontekście włączenie uwierzytelniania dwuskładnikowego (które nic nie kosztuje) i przestrzeganie zasad cyfrowej higieny to obecnie absolutne minimum zarówno dla każdego inwestora, jak i każdej osoby, która chce po prostu uchronić się przed atakami cyberprzestępców.
 

Artykuł powstał we współpracą z XTB