1.

Zrozum strukturę Dark Webu i zagrożenia

Dlaczego: Wiedza o tym, jak działają rynki danych, pozwala lepiej ocenić ryzyko.

Jak:

Dark Web to ukryta część internetu dostępna przez sieć Tor, gdzie handluje się bazami danych z wycieków.
Twoje dane (e-mail, hasła, PESEL) trafiają tam po atakach na serwery sklepów, forów czy aplikacji.
Największym zagrożeniem jest 'credential stuffing' – używanie Twojego starego hasła do włamań na inne konta.

Gotowe, gdy: Rozróżniasz Surface Web od Dark Webu i znasz główne ryzyka.

2.

Przeskanuj adresy e-mail w Have I Been Pwned

Dlaczego: To najwiarygodniejsza baza danych o publicznych wyciekach na świecie.

Jak:

Wejdź na stronę haveibeenpwned.com.
Wpisz swój główny adres e-mail oraz adresy pomocnicze.
Przeanalizuj wyniki: czerwony kolor oznacza wyciek. Sprawdź sekcję 'Compromised data', aby zobaczyć, czy wyciekły hasła, czy tylko adresy.

Gotowe, gdy: Masz pełną listę serwisów, z których wyciekły Twoje dane.

3.

Uruchom Raport o Dark Webie w Google One

Dlaczego: Google monitoruje Dark Web pod kątem Twojego adresu Gmail oraz (w wersji płatnej) numeru telefonu i PESEL.

Jak:

Zaloguj się na swoje konto Google i przejdź do sekcji 'Bezpieczeństwo'.
Znajdź 'Raport o Dark Webie' i kliknij 'Uruchom skanowanie'.
Sprawdź, czy Twoje dane pojawiają się w wynikach monitoringu.

Gotowe, gdy: Otrzymasz raport podsumowujący obecność Twoich danych w bazach hakerskich monitorowanych przez Google.

4.

Sprawdź bezpieczeństwo numeru telefonu

Dlaczego: Wyciek numeru telefonu naraża Cię na ataki typu SIM-swapping oraz phishing SMS-owy (smishing).

Jak:

Użyj funkcji wyszukiwania numeru w Have I Been Pwned (jeśli dostępna dla Twojego regionu).
Sprawdź w Google, czy Twój numer nie widnieje na listach 'spamowych' lub w publicznych katalogach, które mogły zostać zeskrobane (scraped).

Gotowe, gdy: Wiesz, czy Twój numer telefonu jest powiązany z jakimkolwiek znanym wyciekiem.

5.

Wdróż menedżer haseł Bitwarden

Dlaczego: Używanie unikalnych, skomplikowanych haseł jest niemożliwe bez menedżera, a to klucz do bezpieczeństwa.

Jak:

Zainstaluj Bitwarden (otwartoźródłowy, darmowy menedżer).
Stwórz silne hasło główne (min. 15 znaków, np. zdanie z cyframi).
Skonfiguruj rozszerzenie do przeglądarki i aplikację mobilną.

Gotowe, gdy: Masz działający menedżer haseł z ustawionym bezpiecznym dostępem.

6.

Zmień hasła na skompromitowanych kontach

Dlaczego: Stare hasła, które wyciekły, są bezużyteczne i niebezpieczne.

Jak:

Przejrzyj listę z Have I Been Pwned.
Dla każdego serwisu wygeneruj w Bitwardenie nowe, losowe hasło (min. 20 znaków).
Priorytetyzuj: najpierw e-mail, bankowość, media społecznościowe.

Gotowe, gdy: Wszystkie konta zidentyfikowane jako 'wycieknięte' mają nowe, unikalne hasła.

7.

Aktywuj 2FA (TOTP) na kluczowych kontach

Dlaczego: Weryfikacja dwuetapowa sprawia, że samo hasło nie wystarczy do włamania.

Jak:

Zainstaluj aplikację do autoryzacji (np. Aegis na Android lub Ente Auth na iOS).
Włącz 2FA w ustawieniach Google, Facebooka, Microsoftu.
Zeskanuj kod QR aplikacją i koniecznie zapisz kody zapasowe (recovery codes) w bezpiecznym miejscu (np. wydrukowane).

Gotowe, gdy: Twoje najważniejsze konta są chronione kodami czasowymi (TOTP).

8.

Zabezpiecz dostęp do poczty e-mail

Dlaczego: E-mail to 'klucz do królestwa' – pozwala zresetować hasła do wszystkich innych usług.

Jak:

Sprawdź w ustawieniach poczty, czy nie ma ustawionych nieznanych reguł przekazywania wiadomości.
Wyloguj wszystkie aktywne sesje poza obecną.
Upewnij się, że numer telefonu do odzyskiwania jest aktualny.

Gotowe, gdy: Masz pewność, że tylko Ty masz dostęp do swojej skrzynki odbiorczej.

9.

Skonfiguruj aliasy e-mail (SimpleLogin)

Dlaczego: Podawanie prawdziwego e-maila w każdym sklepie to proszenie się o wyciek. Aliasy chronią Twój główny adres.

Jak:

Załóż konto w usłudze SimpleLogin lub Addy.io.
Twórz unikalny alias dla każdej nowej usługi (np. sklep-xyz@twojalias.com).
Wiadomości będą przekierowywane na Twój prawdziwy e-mail, ale serwis go nie pozna.

Gotowe, gdy: Używasz aliasów do rejestracji w nowych, mniej istotnych serwisach.

10.

Zainstaluj Tor Browser do bezpiecznej eksploracji

Dlaczego: Jeśli chcesz sprawdzić Dark Web osobiście, musisz to robić bezpiecznie.

Jak:

Pobierz Tor Browser wyłącznie z torproject.org.
Nie instaluj dodatkowych wtyczek i nie zmieniaj rozmiaru okna (ochrona przed fingerprintingiem).
Używaj wyszukiwarek takich jak DuckDuckGo (wersja .onion) lub Ahmia do znajdowania treści.

Gotowe, gdy: Potrafisz bezpiecznie połączyć się z siecią Tor bez ujawniania swojego IP.

11.

Włącz filtrowanie DNS (NextDNS)

Dlaczego: Blokowanie złośliwych domen na poziomie zapytań DNS chroni przed phishingiem i trackerami.

Jak:

Skonfiguruj darmowe konto na NextDNS.io.
Dodaj listy blokowania (np. 'Security' i 'Privacy').
Ustaw DNS w ustawieniach routera lub bezpośrednio w systemie operacyjnym/telefonie.

Gotowe, gdy: Twoje urządzenie korzysta z bezpiecznego, filtrowanego protokołu DNS.

12.

Usuń nieużywane konta (Digital Decluttering)

Dlaczego: Mniejsza liczba kont to mniejsza 'powierzchnia ataku'.

Jak:

Przejrzyj menedżer haseł pod kątem serwisów, z których nie korzystasz od roku.
Zaloguj się i usuń konto (skorzystaj ze strony saymineapp.com lub deseat.me, aby je znaleźć).
Jeśli nie da się usunąć, zmień dane na fałszywe i ustaw losowe hasło.

Gotowe, gdy: Liczba Twoich aktywnych kont została zredukowana o min. 20%.

13.

Zaplanuj kwartalny przegląd bezpieczeństwa

Dlaczego: Bezpieczeństwo to proces, a nowe wycieki zdarzają się codziennie.

Jak:

Dodaj do kalendarza powtarzające się zadanie co 3 miesiące.
Punkty kontrolne: 1. Sprawdź HIBP, 2. Zaktualizuj systemy i aplikacje, 3. Przejrzyj uprawnienia aplikacji w telefonie.

Gotowe, gdy: W kalendarzu widnieje przypomnienie o kolejnym audycie.

Dark web i bezpieczeństwo

Projekt-Plan