Influencerzy, youtuberzy i cyberprzestępcy. Urzędy biorą ich pod lupę

Jak wynika z danych opublikowanych przez KNF w lutym bieżącego roku, skala ataków na sektor finansowy w sieci jest obecnie ogromna. Cyberbezpieczeństwo staję się więc kluczowym aspektem właściwego funkcjonowania przedsiębiorstw oraz instytucji finansowych. Tego typu zagadnienia znalazły się również na agendzie ważnych urzędów – takich jak UOKiK, czy UKNF.

Jędrzej Szymula

Opublikowano 21 marca 2022, 09:46

Zanim zaczniemy, należy podkreślić, że w sieci każdy jest zagrożony. Zarówno pojedynczy klient, lokalne przedsiębiorstwo jak i międzynarodowa korporacja. Zagrożenia potrafią płynąć z każdej strony, czy to w ramach ataku hackerskiego czy nieuczciwych praktyk w świecie marketingu. Właśnie dlatego tak istotnym jest aby znać i rozumieć zagrożenia w sieci.

UOKiK bierze pod lupę youtuberów

Prezes UOKiK Tomasz Chróstny wszczął niedawno postępowanie wyjaśniające, którego celem jest zbadanie rynku influencerskiego. Odpłatna promocja produktów lub usług bez wyraźnego oznaczenia, że są to treści sponsorowane, narusza zakaz kryptoreklamy i może stanowić nieuczciwą praktykę rynkową. W niektórych przypadkach może być mowa nawet o nieuczciwej konkurencji. Dotyczy to nie tylko tradycyjnych mediów, ale także wszystkich innych platform, w tym coraz bardziej popularnych portali społecznościowych.

– Z przeprowadzonego przez nas rozeznania wynika, że wiele treści o charakterze handlowym na profilach influencerów nie jest w ogóle oznaczanych jako reklama. Inne są oznaczane niewystarczająco, np. jedynie poprzez hasztag #ad, który dla polskiego internauty może być niezrozumiały – komentował Tomasz Chróstny, Prezes Urzędu Ochrony Konkurencji i Konsumentów.

Postępowanie wyjaśniające ma zbadać relacje gwiazd Internetu z agencjami reklamowymi i reklamodawcami. Analizie zostaną poddane social media i profile najpopularniejszych influencerów. UOKiK chce m.in. sprawdzać, czy treści reklamowe są w ogóle oznaczane. Co więcej urząd chce weryfikować, z czego wynikają zaniedbania influencerów. Istnieją bowiem obawy, że tego typu praktyki mogą wynikać z nacisków sponsora. Badanie obejmie wiele podmiotów z branży. W najbliższym czasie mogą się one spodziewać wezwań z Urzędu.

KNF ostrzega przed fininfluenserami

Na braku świadomości konsumenta w sieci żerują także tzw. fininfluenserzy. Są to liderzy opinii w social mediach, którzy swoim autorytetem wpływają na decyzje co najmniej kilkuset osób. Ostrzegał przed nimi ostatnio Urząd Komisji Nadzoru Finansowego.

Niektórzy z nich działają na zamkniętych forach i realizują webinary. Inni tworzą sesje Q&A dla wybranych uczestników lub działają w płatnych formatach video-premium. W trakcie takich spotkań prowadzący bardzo często namawiają do inwestycji lub zakupu wybranego produktu. Przekazywane wtedy informacje są tylko pozornie neutralne i obiektywne – zwraca uwagę KNF. Należy zatem zachować w ich trakcie szczególną ostrożność.

Fininfluenserzy często kierują się także własnym interesem. Za publikowane treści mogą pobierać wynagrodzenie czy innego rodzaju profity jednocześnie nie dbając lub nie weryfikując promowanego produktu lub usługi. Fininfluenserzy mogą więc stanowić pewnego rodzaju narzędzie w rękach machin marketingowych.

Warto pamiętać, że aby legalnie móc doradzać w zakresie instrumentów finansowych należy posiadać odpowiednie zezwolenie KNF i spełniać określone wymogi prawne. Brak zezwolenia oznacza w prostej linii, że działalność fininfluensera jest prowadzona nielegalnie.

– Nie sposób oceniać powyższych działań ze strony Komisji Nadzoru Finansowego oraz Urzędu Ochrony Konkurencji i Konsumentów inaczej niż pozytywnie. Organy te dostrzegają, że w XXI wieku media społecznościowe i sieć Internet mają ogromny wpływ na naszą codzienność, w tym na zachowania konsumentów. Obecnie występowanie w przestrzeni publicznej „influencerów” jest zjawiskiem codziennym, osoby te zaczynają mieć coraz większy wpływ na sposób myślenia, zachowania i przede wszystkim decyzje konsumentów, w tym ich decyzje finansowe – komentuje Mec. Maciej Raczyński, radca prawny i partner zarządzający w Raczyński Skalski & Partners Radcowie Prawni Adwokaci Sp.p.

– Najczęściej są to osoby, które nie mają wystarczającej wiedzy, doświadczenia czy uprawnień do tego, aby rekomendować nabycie przez konsumentów określonego produktu, a robią to – co gorsza poprzez lokowanie produktu bez oznaczenia czy też wystarczającego oznaczenia, że jest to reklama z ich strony. W ten sposób przyczyniają się do podejmowania często nietrafionych decyzji zakupowych ze strony konsumentów. Dobrze więc, że Urząd Ochrony Konkurencji i Konsumentów oraz KNF aktywnie podejmują działania mające przeciwdziałać tego rodzaju negatywnym zjawiskom na szeroko rozumianym rynku finansowym – dodaje Mec. Maciej Raczyński.

KNF ostrzega przed atakami DDoS

Niestety w Internecie nie tylko naiwni padają łupem wilczego apetytu wirtualnych drapieżników. Przedsiębiorstwa również stanowią łakomy kąsek. Ataki DDoS są częstym elementem oferowanego przez przestępców modelu CaaS (Cybercrime as a Service). Takie usługi są już dostępne nie tylko w DarkNecie, ale również bezpośrednio w sieci.

Niemal 80% wszystkich ataków DDoS na świecie to tzw.: SYN-Floods. Są to działania przeciążające serwery naszego przedsiębiorstwa poprzez sztuczne wymuszanie przesyłu dużych ilości danych. Zgodnie z przewidywaniami firm analizujących ataki DDoS w skali globalnej, będzie ich tylko przybywać.

Ma to bezpośredni związek z galopującym postępem technologicznym. Mowa tu m.in. o wdrażaniu technologii 5G, popularyzacji tzw. internetu rzeczy (ang. Internet of Things, IoT), rozwoju sieci światłowodowych, czy ogólnym wzroście liczby i przepustowości łączy internetowych.

Zgodnie ze statystykami zawartymi w raporcie ENISA2 z 2019 r., łączna liczba ataków DDoS w III kwartale 2019 r. wzrosła o ponad 240% r/r, a najdłuższy atak DDoS trwał ponad 500 godzin.

Czym są ataki DDoS i jak się przed nimi chronić?

Odpowiedni poziom bezpieczeństwa to w dzisiejszych czasach podstawa. KNF co do zasady zaleca zarówno współpracę z większymi przedsiębiorstwami jak i działalność w zakresie „własnego podwórka”. W zasadzie, z bezpieczeństwem w sieci jest jak z odpornością – warto ją wzmacniać. Nie chcemy przecież niczego ułatwiać cyberprzestępcom, prawda?

Ataki DDoS (ang. Denial of Service, DoS) można najprościej scharakteryzować jako działania powodujące czasową niedostępność systemów online przedsiębiorstw. Może to doprowadzić do pojawienia się szeregu istotnych problemów w tym np.: prawnych roszczeń klientów czy zewnętrznych dostawców, poważnych strat wizerunkowych lub naruszeń przepisów prawa. Często takie ataki mają na celu wyłudzanie danych osobowych, generując tym samym wysokie straty.

Według KNF rozwiązaniem będzie przede wszystkim posiadanie mechanizmów kontroli przepływu danych w naszej sieci. Dla każdego przedsiębiorstwa trasy dostępu do Internetu wyglądają nieco inaczej, dlatego koniecznym jest świadome organizowanie wymiany oraz przesyłu danych. Według KNF, właściwie opracowana i zaimplementowana architektura dostępu do Internetu jest najistotniejszym elementem odporności na ataki typu DDoS.

Oczywistym staje się więc, że każda Organizacja powinna przeprowadzić analizę ryzyka ataków DDoS na własną infrastrukturę teleinformatyczną. Następnie, dzięki uzyskanym wynikom, dobrać optymalny model ochrony przed atakami typu: „odmowa usługi”.

Jak bronić się na „własnym podwórku”?

Po naszej stronie, łącze do Internetu powinno być przede wszystkim organizowane przez protokół BGP. Jest to nic innego jak zdefiniowana i opisana polityka wymiany ruchu sieciowego IP (peeringowa). Taki protokół zapewni m.in. obniżenie kosztów operacyjnych, a co najważniejsze szereg mechanizmów reakcji na zagrożenia przekraczające pojemność naszych systemów.

Posiadanie własnych elementów infrastruktury ochronnej pozwala na wczesne wykrycie i ochronę infrastruktury naszej organizacji m.in. przed jej wykorzystaniem do generowania kolejnych ataków DDoS na inne instytucje (np. z wykorzystaniem DNS Amplification).

Bardzo często, bezpośrednim celem ataków będą także urządzenia w naszej firmie. Dlatego równie ważne będzie wymiarowanie sprzętowe urządzeń sieciowych transmitujących dane. Parametry urządzeń powinny być dobrane w taki sposób, aby zapewniały możliwość obsługi ruchu sieciowego o co najmniej rząd wielkości większego niż przewidywany.

KNF zaleca również, aby nasza Organizacja dążyła do automatyzacji mechanizmów ochronnych. Mowa tu np. o scenariuszach, które w przypadku wykrycia ataku, pozwoliłyby na natychmiastowe wdrożenie ustalonych z góry mechanizmów ochrony. W długiej perspektywie takie podejście ograniczać będzie negatywne skutki ataku. Realizacja tego scenariusza wymaga jednak wdrożenia infrastruktury out-of-band management oraz przygotowania i przetestowania stosownych scenariuszy oraz umieszczenia ich w planach BCP. Należy mieć również na uwadze ryzyka związane z automatyzacją procesów, które w przypadku błędnej implementacji mogą w skrajnym przypadku doprowadzić do niedostępności usług Organizacji.

Jakie narzędzia ochronią firmę od zewnątrz?

Najprościej jest odciąć dostęp. W przypadku zmasowanego ataku DDoS istnieje możliwość zablokowania ruchu przychodzącego poprzez skierowanie go do tzw. black hole. Jest to opcja przekierowania natłoku danych do nieistniejącego interfejsu (/dev/null). Rozwiązanie to daje możliwość skutecznego i szybkiego zablokowania niepożądanego ruchu przy minimalnej konsumpcji zasobów urządzeń. Nie jest to jednak rozwiązanie które opłaca się używać za każdym razem.

Główną metodą ochrony przed atakami jest jednak rozproszona architektura serwisu DNS. Bardzo trudno jest wykonać atak DDoS, który zablokuje jednocześnie dużą liczbę rozproszonych geograficznie serwerów. Warto więc rozważyć tego typu usługi bo w praktyce zdają się one wyczerpywać zarówno wymogi techniczne związane z bezpieczeństwem, jak i wymogi prawne związane z przetwarzaniem danych na terenie UE.

Kolejnym elementem zewnętrznej tarczy ochronnej naszego przedsiębiorstwa mogą być np. rozwiązania typu CDN (Content Delivery Network). Operatorzy telekomunikacyjni często stosują takie rozwiązania w celu poprawy szybkości dostępu do oferowanych treści (np. Youtube, Netflix, Google) oraz odciążenia łączy tranzytowych.

Obecnie szacuje się, że 60% ruchu w Internecie zamyka się właśnie w sieciach CDN. W praktyce wydajność sieci CDN wielokrotnie przekracza swoją objętością wolumeny nawet największych ataków DDoS, co wydaje się być wystarczającym zabezpieczeniem przed atakami.

Warto rozważyć takie rozwiązanie jeśli nasza oferta nam na to pozwala. Przy wyborze metody dostarczania zawartości przedsiębiorstwo powinno wziąć pod uwagę zasięg geograficzny sieci CDN oraz lokalizację swoich użytkowników. Nie ma bowiem żadnego sensu udostępnianie oferty dla polskiego rynku poprzez międzynarodowych graczy CDN. Organizacja powinna uwzględnić również rekomendacje KNF i regulacje prawne UE związane z chmurowym udostępnianiem usług oraz ich lokalizacją na terenie UE.

W celu ochrony przed atakami DDoS możliwe jest także wykupienie od operatora telekomunikacyjnego usługi „95 (lub 98) percentyl”. Jest to usługa polegająca na posiadaniu dużo szerszego pasma ruchu niż zakontraktowane z opłatą za ruch po przekroczeniu danego kontraktu. Jeżeli generowany w naszym systemie ruch przekroczy zakontraktowaną objętość pasma, to operator telekomunikacyjny automatycznie przydzieli nam dodatkowe. Wygodnie, prawda?

Klient również narażony jest na cyberataki. Jak zatem go chronić?

Najważniejsze jest propagowanie właściwych postaw i promowanie odpowiedniego zachowania. Warto podkreślać, że właśnie na wypadek czasowej niedostępności bankowości elektronicznej, podmioty rynku finansowego posiadają profesjonalne i wyspecjalizowane zespoły reagowania na tego rodzaju incydenty.

Anonimowe opinie czy komentarze np. z mediów społecznościowych lub forów internetowych nie są rzetelnym źródłem informacji. Należy upewniać się, że informacje pochodzą z wiarygodnego źródła i nie są „fake newsami”.

Co jeszcze można doradzić klientowi?

Na każdym kroku warto przypominać o tym, by nigdy nie podawać swoich danych osobowych, loginów czy haseł. Oszuści mogą je wykorzystać do kradzieży środków. Równie niebezpieczne jest pobieranie oprogramowania lub aplikacji pochodzących z nieznanych źródeł. Szczególnie w sytuacji jeżeli ktoś Cię do tego namawia.

Nawet jeśli osoba dzwoniąca oznajmia, że jest przedstawicielem banku i zna niektóre dane np. imię i nazwisko, numer karty bankomatowej, czy pesel niczego nie zmienia. Oszuści bardzo często podszywają się pod pracowników banku.

Szczególną uwagę należy zwracać na maile oraz smsy. Skala wyłudzania danych właśnie tą formą jest bardzo duża, choć z czasem coraz mniej skuteczna. Klienci coraz rzadziej dają się na to nabrać.

Najważniejsze by weryfikować nadawcę wiadomości – nawet jeśli adres e-mail jest nam znany. Oszuści potrafią podszywać się pod dowolnego nadawcę.

Fałszywe strony często zawierają błędy, należy więc zwracać uwagę na poprawność językową witryny na której przekazujemy swoje dane. Warto zwrócić uwagę, czy nie została czasem zamieniona kolejność liter lub dodane nadprogramowo znaki w adresie strony lub logotypie witryny.

Przezorny zawsze ubezpieczony

Ciężko nie zgodzić się z wnioskami Komisji Nadzoru Finansowego. Nie istnieją dziś gotowe, kompleksowe lub uniwersalne metody ochrony przed atakami typu DDoS. Budowanie infrastruktury odpornej na ataki nie może być sprowadzone wyłącznie do kupienia gotowego produktu czy usługi. Klasyczne antywirusy dziś już nie wystarczają.

Z bezpieczeństwem w sieci jest po prostu jak z odpornością organizmu. Jeśli nie dbamy o nią na co dzień, nie ćwiczymy jej i nie wspomagamy odpowiednimi elementami, zawsze będziemy narażeni na atak. Faktyczna, wypadkowa odporność organizacji na atak jest sumą zastosowanych rozwiązań i technik przeciwdziałania atakom.

Internet to dziś bardzo zdradliwe miejsce, pełne nieprzewidywalnych zagrożeń i niebezpiecznych zjawisk. Warto więc mieć na uwadze bezpieczeństwo zarówno swoje jak i naszych klientów.