BIG STORIES

Czy rzeczywiście nikt nie jest bezpieczny? Hakerzy biją rekordy włamań, coraz więcej ataków i poszkodowanych

 

Żyjemy w niespokojnych czasach. Fake newsy, dezinformacja, szerzona przez boty i fałszywe konta w mediach społecznościowych, ale też wykradanie na dużą skalę danych użytkowników różnych firm czy serwisów czy niezmiennie popularny phishing – to wszystko z czym na co dzień mierzymy się jako użytkownicy sieci. Manipulacja stała się narzędziem numer 1 w rękach cyberprzestępców – tanim i niezwykle skutecznym. Może być wykorzystana zarówno do wywołania niepokoju, wpływania na opinię publiczną, destabilizacji, ale też do „standardowych” celów, czyli wyłudzania danych i pieniędzy.
Krytyczne myślenie, nieuleganie emocjom, weryfikowanie informacji, sprawdzanie źródeł – to podstawowy zestaw ochronny – przekonuje Robert Grabowski, szef CERT Orange Polska
 

W ostatnim czasie towarzyszą nam wydarzenia, które wywołują mnóstwo emocji. To niestety świetny grunt dla szerzenia dezinformacji — mówi Robert Grabowski, szef CERT Orange Polska. Trudno nie przyznać mu racji. Powszechność internetu i serwisów społecznościowych sprawiają, że zasięg wiadomości, zarówno tych prawdziwych, jak i nieco zmanipulowanych lub zupełnie fałszywych, jest bardzo duży.

Co możemy zrobić, aby nie dać się oszukać? Jak odróżniać treści wiarygodne od tych, które chcą wpłynąć na naszą opinię za pomocą kłamstw? Szef CERT Orange Polska przekonuje, że każdy z nas powinien nauczyć się weryfikowania faktów, by później umieć odróżnić nieprawdziwe informacje od tych wiarygodnych.

— Jako użytkownicy musimy potrafić poddawać informacje krytycznej ocenie, weryfikować fakty, sprawdzać w wielu źródłach, a co równie ważne – nie przekazywać dalej niesprawdzonych treści.

To dziś podstawowe umiejętności — zauważa. Nie oznacza to, że zweryfikujemy 100% docierających do nas informacji, bo to niestety niemożliwe, ale wyrobimy dobre nawyki i nie poddamy się łatwo manipulacji.

Wystarczy prześledzić wydarzenia z ostatnich miesięcy, które opisano w raporcie CERT Orange Polska za rok 2021 i łatwo dojdziemy do wniosku, że nie można ignorować kwestii cyberbezpieczeństwa. I to niezależnie od tego, czy prowadzimy dużą firmę generującą wielomilionowe przychody, czy po prostu chcemy korzystać z sieci jako użytkownik indywidualny.

Przykładów nie brakuje. Styczeń 2021: duża kampania phishingowa SMS na klientów InPost, gdzie w przesyłanych wiadomościach zachęcano odbiorców do instalacji aplikacji zawierającej złośliwy kod trojana Cerberus. Maj: atak wymierzony w kupujących w serwisie Allegro Lokalnie. Oszuści zamieszczali na portalu aukcyjnym korzystne oferty, a w trakcie rozmowy z potencjalnym klientem wysyłali mu link, który kierował do podstawionej strony, starającej się wyłudzać dane karty płatniczej. Sierpień: atak na konta użytkowników Profilu Zaufanego. Funkcjonariusze Wydziału do Walki z Cyberprzestępczością Komendy Stołecznej Policji wspólnie z CERT Polska zatrzymali mężczyznę, który włamał się na konta Profilu Zaufanego 239 użytkowników bez ich wiedzy i zgody, oraz udostępniał innym osobom dane do logowania.

Często możemy obronić się sami

Fake newsy to jedno z najpopularniejszych cyberzagrożeń obecnych czasów. — Służą nie tylko dezinformacji, wywoływaniu podziałów czy dezorganizacji – bywają także nośnikiem ataków pishingowych, wyłudzających dane — zauważa Robert Grabowski. — Krzykliwy, emocjonalny nagłówek wiadomości zachęca do kliknięcia w link i zalogowania się np. na portalu społecznościowym, by przeczytać więcej. To często pułapka, a wpisanie danych na fałszywej stronie, do której kieruje link, powoduje przekazanie konta w ręce atakujących, którzy mogą je wykorzystać do dalszych oszustw czy szerzenia dezinformacji — dodaje.

Fake newsy służą dezinformacji, ale bywają także nośnikiem ataków phishingowych

Twórcy fake newsów działają często w ten sam sposób: tworzą treści, które wpisują się w preferencje konkretnej grupy, a następnie promują je w serwisach społecznościowych. To zawsze informacje zgodne ze światopoglądem danego grona, które ma tendencję do życia w "bańce informacyjnej". Chodzi tutaj o osoby, które czerpią informacje zwykle tylko z jednego czy paru ulubionych źródeł, ignorując to, co ma do powiedzenia druga strona.

W tym miejscu wyjaśniamy, jak chronić się przed fake newsami.

Idąc dalej, równie popularnym, jeśli nie popularniejszym cyberzagrożeniem jest phishing. To plaga ostatnich lat. Takie ataki polegają na wyłudzaniu danych od indywidualnych osób (wystarczy, by korzystały z telefonu komórkowego lub portalu społecznościowego). Cele hakerów mogą być tutaj różne – od próby zachęcenia do pobrania programu, który zainfekuje komputer, po wysłanie linka w SMS-ie, aby następnie wejść na stronę i podać poufne dane. Są też bardziej oryginalne przykłady, jak zachęcanie do instalowania aplikacji, która ma zapewnić dostęp do poufnej wiadomości czy darmowego dodatku do ulubionej gry, podczas gdy w rzeczywistości jest to złośliwe oprogramowanie do szpiegowania. Ale uwaga! — Przed phishingiem w bardzo dużym stopniu możemy się obronić my sami — przekonuje Robert Grabowski. — Jako operator robimy bardzo dużo, by już na poziomie sieci wychwycić ataki phishingowe i zdecydowaną ich większość blokujemy zanim dotrą na komputery czy smartfony internautów. Natomiast jeśli już SMS czy e-mail z linkiem kierującym do fałszywej strony wyłudzającej dane trafi do nas, to właśnie od naszej świadomości i czujności zależy, czy atak będzie skuteczny, czy nie — dodaje szef CERT Orange Polska.

Wyjaśnijmy: phishing nie polega na łamaniu zabezpieczeń. Tu narzędziem jest manipulacja, wykorzystywanie emocji, nieuwagi, ludzkiej słabości.

Dlatego w przypadku phishingu trzeba przede wszystkim postawić na edukację i budowanie odporności na wszelkiego rodzaju przestępcze sztuczki, które przecież zdarzają się nie tylko w sieci, ale też w "analogowym" świecie. Krytyczne myślenie, nieuleganie emocjom, weryfikowanie informacji, sprawdzanie źródeł – to podstawowy zestaw ochronny. Dotyczy to także firm, gdzie wyłudzanie danych od pojedynczych pracowników służy oszustom, by dostać się "do środka" organizacji. — To jeden z najbardziej skutecznych sposobów ataku na firmy — mówi ekspert. — Oprócz zabezpieczeń technologicznych, które są niezwykle istotne, firmy powinny też inwestować w edukację pracowników, np. poprzez regularne szkolenia czy symulowane ataki phishingowe. Takie ćwiczenia bywają bardzo dobrą lekcją i pomagają uodpornić organizacje na rzeczywiste ataki — zaleca Robert Grabowski.

 

Wyłudzanie danych od pojedynczych pracowników to jeden z najbardziej skutecznych sposobów ataku na firmy. Warto inwestować w ich edukację.

Wystarczy nie otwierać drzwi

Wspólną cechą większości zagrożeń dotykających obecnie indywidualnych użytkowników jest to, że to my sami "otwieramy drzwi" przestępcom. Weźmy atak z lipca ubiegłego roku, gdzie cyberprzestępcy zachęcali użytkowników do instalowania aplikacji działającej na komputerach PC, która miała być nową grą firmy Konami - Contra Returns, a w rzeczywistości okazała się narzędziem typu kryptominer do kopania kryptowalut, które później mogli sprzedawać atakujący. Hakerzy nie musieli tutaj łamać żadnych zabezpieczeń czy haseł. To użytkownik naiwnie klikał w linka i instalował aplikację niewiadomego pochodzenia.

Tak samo było w przypadku akcji rozpowszechniania fałszywej aplikacji mobilnej mObywatel. Fałszywa aplikacja była w rzeczywistości złośliwym oprogramowaniem malware o nazwie Alien. Potrafiła podszywać się pod ekrany logowania innych aplikacji, m.in. bankowych, wykradała listy kontaktów, wysyłała wiadomości SMS zachęcając do instalowania innych aplikacji, przeglądała powiadomienia, zbierała dane geolokalizacyjne i informacje o zainstalowanych aplikacjach. Dystrybucja tego złośliwego oprogramowania odbywała się za pośrednictwem fałszywego sklepu Google Play. Jeśli użytkownik zachowałby więcej ostrożności, zauważyłby, że ma do czynienia z podróbką Google Play, działającą na adresie innym niż oficjalny sklep.

Cyberprzestępcy wykorzystują emocje, nawyk odruchowego klikania w linki

Sposobów wykradania danych jest mnóstwo i bardzo często wpisują się one w bieżącą sytuację, kontekst aktualnych wydarzeń, czy tematykę interesującą konkretną grupę osób. Zwykle mają wspólną cechę: link do podstawionej strony, graficznie przypominającą witrynę znanego nam banku czy firmy obsługującej płatności online, pod którą podszywają się oszuści. Wpisanie na tej stronie danych logowania do konta czy podanie danych karty płatniczej grozi utratą wszystkich pieniędzy.

I ponownie: wystarczy  świadomość i wtedy nie uda się nas oszukać

Dowiedz się gdzie wpisywać hasło do banku, a gdzie zdecydowanie nie należy. A dodatkowo sprawdź jak realizowane są ataki smishingowe, czyli takie, gdzie wiadomości SMS są nośnikiem oszukańczych treści. Kiedy następnym razem otrzymasz wiadomość o treści "BLIK. Ktoś wysłał ci przelew na telefon 450 zł, skorzystaj z poniższego linku do odbioru środków", będziesz wiedział, że to oszustwo i ktoś próbuje wyłudzić twoje dane.

Zawsze starajmy się zachowywać ostrożność i pamiętać, że często wiadomości phishingowe są "zbyt piękne, by były prawdziwe" (np. o wygranej w konkursie czy loterii pieniężnej), albo zbyt straszne (np. pilna konieczność zapłaty zaległej raty, bo inaczej stracimy mieszkanie). Cyberprzestępcy wykorzystują emocje, nawyki odruchowego klikania i otwierania linków, chęci sprawdzenia szczegółów. SMS-y przypominają o "pilnej dopłacie", informują o tym, że ktoś przesłał nam pieniądze i wystarczy kliknąć w link, by je odebrać. Uważajmy na takie wiadomości.

Firmy również na celowniku

Ataki odmowy dostępu do usługi (Distributed Denial of Service – DDoS) to jedne z najprostszych i zarazem najpopularniejszych ataków na sieć lub system komputerowy. Są też bardzo niebezpieczne i groźne w skutkach. Ich głównym celem jest utrudnienie bądź uniemożliwienie korzystania z oferowanych przez zaatakowany system usług sieciowych, co sprawia, że następuje paraliż infrastruktury danej firmy poprzez masowe wysyłanie zapytań do zaatakowanej usługi. Nagle okazuje się, że klient chce wejść np. na stronę z dokumentami, albo zamierza odtwarzać film w platformie streamingowej, ale nie może. Usługa jest "przeładowana" i nie działa.

W zeszłym roku padły rekordy, jeśli chodzi o ataki DDoS. Najpierw w styczniu przeprowadzono atak o wolumenie na poziomie 400,8 Gbps, który trwał ok. 16 minut. Atak został przeprowadzony na sieć mobilną, nie spowodował jej niedostępności i użytkownicy go nie odczuli – został zablokowany na poziomie sieci operatora. Później, w marcu, przeprowadzono kolejny atak, tym razem o wolumenie 476,2 Gbps. Podobnie jak poprzednio, atak nie spowodował niedostępności sieci, za to był w tamtym czasie największym zaobserwowanym atakiem wolumetrycznym w polskim internecie.

Jak przewidują eksperci, ataków będzie coraz więcej, tym bardziej, że nowe technologie są coraz bardziej obecne w biznesie.

Chmura czy Internet Rzeczy to świetne rozwiązania, a firmy przeprowadzają dalsze transformacje, by sprawnie funkcjonować w dobie cyfrowej. Kiedy jednak stawiamy na technologie, nie możemy pomijać kwestii bezpieczeństwa. Robert Grabowski, szef CERT Orange Polska, zapytany o to, o czym firmy najczęściej zapominają, jeśli chodzi o cyberbezpieczeństwo, odpowiada: — Właśnie o tym. O bezpieczeństwie. O jego uwzględnieniu już na etapie projektu czy migracji do tego typu rozwiązań jak chmura.

Internet Rzeczy: urządzenia bezpieczne dziś mogą być podatne na ataki jutro

Ekspert tłumaczy, że pominięcie bezpieczeństwa we wcześniejszych etapach projektu może okazać się zgubne i niełatwe do nadrobienia.Świetnie zaprojektowane i zabezpieczone rozwiązania często są przenoszone do chmury bez zapewnienia odpowiednich środków ochrony. Myśląc o internecie rzeczy natomiast trzeba pamiętać, że urządzenia te bezpieczne dziś, mogą być podatne na ataki w przyszłości i nie można o nich zapominać, podobnie jak ufać, że wyjęte z pudełka są od razu skonfigurowane do bezpiecznej pracy — dodaje Robert Grabowski.

Pamiętajmy, że tu chodzi o zapewnienie ciągłości biznesu, odpowiedniej ochrony przetwarzanych danych w chmurze, często także o odpowiednie zabezpieczenie naszego zdrowia oraz domu. Mówi się, że mądry Polak po szkodzie, ale w przypadku cyberbezpieczeństwa raczej nikt z nas nie chciałby powiedzieć tak o sobie.