Za ile sprzedasz konto? Jak hakerzy kradną Twoje dane?

Za ile sprzedał(a)byś swoje konto na TikToku? 20 zł? 50 zł? Pytanie wydaje się absurdalne, ale uświadamia jedną, kluczową rzecz: Twoje dane to waluta.

Dla Ciebie to „tylko” konto na Instagramie, e-mail czy konto gamingowe w Discordzie. Dla cyberprzestępcy to cenny zasób, który można sprzedać, wykorzystać do oszustw lub szantażu. A najprostsza droga do przejęcia tego zasobu prowadzi przez Twoje hasło.

Zanim jednak przejdziemy do obrony, musisz poznać metody ataku. Żeby wygrać wojnę, musisz znać taktykę przeciwnika.

Możesz też obejrzeć film o Phisingu [reszta informacji pod filmem].

Poznaj wroga: Jak cyberprzestępcy kradną Twoje hasła?

Hakerzy rzadko kiedy „zgadują” hasła. Używają do tego potężnych narzędzi i sprytnych metod, które polują na Twoje słabości.

Ataki „na gotowca” i na siłę

• Credential Stuffing: To plaga internetu i najczęstsza metoda przejęcia konta. Hakerzy biorą gigantyczne bazy loginów i haseł, które wyciekły z JEDNEGO serwisu (np. ze starego forum) i automatycznie testują je na WSZYSTKICH innych (Facebooku, Gmailu, banku…). Liczą na to, że używasz tego samego hasła wszędzie.
• Atak Słownikowy: Program nie sprawdza losowych znaków, ale używa listy popularnych słów, imion, dat i haseł, które wyciekły w przeszłości (np. haslo123, kochamcie, admin).
• Atak Siłowy (Brute-force): Komputer systematycznie sprawdza każdą możliwą kombinację znaków (aaaaa, aaaaa1, aaaaa2…), aż trafi. Przy krótkich hasłach to kwestia sekund.
• Password Spraying: Odwrotność ataku siłowego. Zamiast atakować jedno konto wieloma hasłami, atakujący próbuje użyć JEDNEGO popularnego hasła (np. Wiosna2025) na WIELU różnych kontach.

Inżynieria społeczna: Atak na Twój umysł

To metody, w których przestępca manipuluje Tobą, abyś sam(a) oddał(a) mu swoje dane.

• Phishing (i warianty: Vishing, Smishing): Najpopularniejsza metoda. Otrzymujesz fałszywy e-mail, SMS (smishing) lub telefon (vishing), który podszywa się pod znaną firmę (bank, kurier, Netflix). Wiadomość wywiera presję czasu („Twoja paczka została wstrzymana, dopłać 1,50 zł”, „Twoje konto zostanie zablokowane”) i zawiera link do fałszywej strony logowania. Wpisujesz dane – i właśnie je oddałeś.
• Spear Phishing: To samo, ale spersonalizowane. Atakujący wie, jak masz na imię i gdzie pracujesz, co czyni atak bardziej wiarygodnym.

Złośliwe oprogramowanie (Malware)

• Keyloggery i Spyware: Programy, które po cichu instalują się na Twoim komputerze lub telefonie (np. z zawirusowanego załącznika) i rejestrują wszystko, co piszesz na klawiaturze. Tak, Twoje hasła też.
• Trojany: Złośliwy kod ukryty w pozornie przydatnej aplikacji (np. pirackiej grze), który tworzy „tylne drzwi” do Twojego systemu.

Wycieki Danych i inne metody

Czasem to nie Twoja wina. Serwis, z którego korzystasz, zostaje zhakowany, a baza danych z hasłami trafia do sieci. Możesz sprawdzić, czy Twój e-mail brał udział w znanym wycieku na stronie haveibeenpwned.com.

Do tego dochodzą proste metody, jak atak Man-in-the-Middle (MitM), gdy ktoś podsłuchuje Twoją komunikację w publicznej sieci Wi-Fi, lub Shoulder Surfing (podglądanie przez ramię), gdy ktoś po prostu patrzy, co wpisujesz.

Zadanie publiczne Kliknij bez ryzyka – Żary bezpieczne w sieci sfinansowane jest ze środków Narodowego Instytutu Wolności – Centrum Rozwoju Społeczeństwa Obywatelskiego w ramach Rządowego Programu Wsparcia Organizacji Pozarządowych Moc Małych Społeczności.

W następnej części: Skoro wiesz już, jak łatwo stracić konto, czas na budowę muru obronnego. Pokażemy Ci, dlaczego „Kasia123” to nie hasło i jak w 30 sekund stworzyć takie, którego nie złamie nikt.