Jak już pisałem w poprzednim numerze przedstawię cykl artykułów mających na celu zwrócenie uwagi na fakt, że ofiarą ataku hackerskiego może paść każdy z nas, zarówno indywidualna osoba, firma jak i instytucja publiczna. Edukacja, a co za tym idzie podnoszenie świadomości odgrywają role prewencyjną i są o wiele tańsze niż usuwanie późniejszych skutków ataków hackerskich. 21 lutego br. NASK na twiterze opublikował listę przykładowych fałszywych i niebezpiecznych SMSów – uważam, że warto się z tym zaznajomić, ponieważ ukazują one pewien schemat działania przestępców.
Z inicjatywy Komisji Europejskiej od 2004 roku w pierwszej połowie lutego obchodzony jest „Dzień Bezpiecznego Internetu”. W tym roku przypadł on na 10 lutego. W jego obchody włączyły się zarówno firmy prywatne, fundacje i stowarzyszenia oraz instytucje państwowe publikując wiele wskazówek mających na celu podniesienie świadomości użytkowników na temat zagrożeń płynących z internetu.
Liczba przestępstw w cyberprzestrzeni z roku na rok jest coraz większa. Hakerzy bardzo szybko odkrywają nowe podatności, prowadząc swojego rodzaju analizę ryzyka. Zupełnie inaczej wygląda atak na „kowalskiego” a inaczej na dużą organizację. W świadomość większości ludzi jest wizerunek hakera siedzącego w kapturze nad klawiaturą, który włamuje się do naszego komputera i kradnie środki z konta. Jest to wielkie uproszczenie. Inną motywację będzie miał nastolatek piszący pierwsze kody jako haker, inną organizacje hackerskie wspierane przez różne instytucje, a jeszcze inną fanatyk. W rzeczywistości atak jest starannie przygotowany, przeanalizowany pod kątem podatności, zasobów i szkód dla organizacji, wysokości zysku jaki może przynieść oraz prawdopodobieństwa ujęcia sprawców. Hakerzy wyszukują słabych punktów prowadząc rozpoznanie i analizę podatności wykorzystując wiele technik. Dzięki tym działaniom mogą zainstalować w sieci komputerowej ofiary jakieś urządzenie czy specjalistyczne oprogramowanie szpiegujące, które w odpowiednim momencie uaktywni się i wykona zaprogramowane działanie.
Zapewne zadajecie sobie Państwo pytanie jak zainstalować urządzenie w organizacji? A ilu z Państwa sprawdza, co pracownik wnosi do firmy? Co pracownik robi z pamięcią USB, którą dostał na konferencji? Czy taki pendrive przechodzi przez dział IT? Czy od razu pracownik wkłada go do komputera służbowego? Latem 2019 roku miał miejsce atak metodą „na pizzę”. Celem była filia znanej międzynarodowej korporacji. Na firmowe adresy email pracowników, (które dość łatwo zdobyć) przyszła informacja o nowo otwartej pizzerii w okolicy. W mailu było menu, adres stronny WWW z zamieszczonym telefonem i informacją, że dla pierwszych 10 osób pizzeria przygotowała niespodziankę. Pracownicy szybko dokonali zamówienia 8 pudełek i w ciągu 50 minut pojawił się dostarczyciel pizzy z zamówieniem i niespodzianką – gadżetem w postaci wiatraczków na USB dodawanym do każdego pudełka pizzy. Następnie wszystkie wiatraczki w gorący letni dzień zostały podłączone do komputerów. Poza przyjemnym uczuciem chłodzenia urządzenia te posiadały złośliwe oprogramowanie pozwalające hakerom sparaliżować firmę. Całe szczęście sytuacja ta była kontrolowanym audytem zamówionym przez ową korporację. Jak wiele firm prywatnych zamawia takie audyty? Czy poza firmami prywatnymi instytucje państwowe przeprowadzają podobne testy?
Cechą dobrego hackera poza wiedzą z zakresu m.in. informatyki, socjotechniki, jest także analiza zmieniających się przepisów. Przykład: od 1 stycznia br. obowiązuje Indywidualny Rachunek Podatkowy (IRP). Już 22 stycznia na stronie www. gov.pl ukazał się komunikat: „Ostrzegamy przed fałszywymi SMSami z informacją o zadłużeniu na indywidualnym rachunku podatkowym, tzw. mikro rachunku podatkowym.” Cytuje Państwu treść fałszywego SMSa z pisownią oryginalną: „Twój indywidualny rachunek podatkowy wykazuje obciazenie w kwocie 6.18 PLN.
Prosimy splacic zadluzenie, aby uniknac egzekucji”. Oczywiście do wiadomości dołączony jest link do „łatwej wpłaty”. Haker posiadając kilka tysięcy numerów telefonu ofiar wysyła SMSy z taką informacją – dużo osób woli zapewne zapłacić niż mieć problemy z fiskusem. W praktyce wiadomo, że Urzędy Skarbowe wysyłają korespondencję listami poleconymi a nie SMSami.
Jak bronić się przed atakiem? Przede wszystkim stale podnosić świadomość zarówno szeregowych pracowników jak i kadry zarządzającej. Pamiętając, że przykład powinien iść z góry. Zastanowić się, kto może być dla nas zagrożeniem (atak zewnętrzny – hacker czy wewnętrzny – nieuczciwy, sfrustrowany pracownik). Następnie zidentyfikować nasze zasoby w kontekście wartość dla atakującego. Ocenić, jakie są możliwości obronne naszej organizacji (edukacja, sprzęt, procedury, możliwości, budżety, kadra informatyczna). Jednocześnie pamiętać należy o zachowaniu zdrowego rozsądku.
Przypomnę, że 22 stycznia 2020 roku po 10 latach funkcjonowania Microsoft zakończył wsparcie dla systemów Windows Server 2008 i Windows 7. W praktyce oznacza to, że w przypadku odnalezienia nowych błędów w tych systemach nie będzie możliwe zainstalowanie łatki. W związku z powyższym hakerzy po odnalezieniu luki będą mogli dokonywać infiltracji na skale masową w/w systemach. Trzeba zastanowić się czy w Państwa korporacjach lub instytucjach mamy jakieś siódemki lub serwer 8? Czy nie warto zaktualizować ich do wersji wyższej. Uważam, że na pewno warto uwzględnić tą informację w analizie ryzyka organizacji odbierając odpowiednie środki ochrony oraz akceptując ryzyko z tym związane.
Cyberprzestępcy bardzo szybko dostosują się do zmiany trendów biznesowych lub społecznych. Świadczy o tym fakt sprytnego wykorzystywania przez nich sytuacji związanej z COVID19. W ostatnim czasie powstało wiele oszustw, przed którymi ostrzega m.in. UOKiK. Zaczynając od złodziei podszywających się pod pracowników sanepidu, którzy pod pretekstem odkażenia mieszkania okradają je, przez rożnego rodzaju okazyjne inwestycje finansowe na ciężkie czasy, piramidy finansowe, fałszywe zbiórki pieniędzy na szczytne cele, skuteczne leki na nową chorobę, fake newsy siejące panikę oraz oszustwa komputerowe wykorzystujące złośliwe kody. Jak pisałem wcześniej przestępcy bazują na braku wiedzy oraz wysokich emocjach związanych ze zdrowiem naszym lub naszych najbliższych. Bądźmy uważni i czujni, nie wierzmy w obietnice i zapewnienia, nie podejmujmy decyzji pod wpływem chwili, zawsze starajmy się zweryfikować źródło informacji. Ostrzeżenia zamieszczają m.in.: UOKIK https://www.uokik.gov.pl , NASK https://www.nask.pl , CERT https://www. cert.pl , Serwis Rzeczypospolitej Polskiej https://www.gov.pl.
W marcu CERT na swojej stronie zamieścił ostrzeżenie przed niebezpiecznymi stronami i domenami. Można także zgłaszać podejrzane witryny. Lista WWW jest możliwa do pobrania w różnych formatach TXT, TSV, JSON, XLM, przez co można ją łatwo zaimportować do systemów monitorujących ruch internetowy. Dodam, że rejestr jest na bieżąco weryfikowany i bezpiecznie rozbudowywany przez pracowników CERT.
Na stronie Ministerstwa Finansów znajduje się ostrzeżenie przed fałszywymi SMSami dotyczącymi wprowadzenia Tarczy Antykryzysowej o treści: „Ostrzegamy przed podejrzanymi SMSami, które dotyczą Tarczy Antykryzysowej związanej z epidemią koronawirusa. Fałszywa wiadomość SMS informuje o przeterminowanym zadłużeniu w urzędzie skarbowym w związku z wprowadzeniem Tarczy Antykryzysowej od 1 kwietnia 2020 r. W treści znajduje się odnośnik, który prowadzi do strony z informacją o rzekomym zadłużeniu i ostrzeżeniu o zmniejszeniu wynagrodzenia o 60 proc. w przypadku braku reakcji na wezwanie. Tego typu wiadomości są fałszywe i nie zostały wysłane przez organy Krajowej Administracji Skarbowej. Należy je traktować jako niebezpieczne i usuwać.” Jak widać hakerzy działają niezwykle szybko.
W ostatnim czasie powstaje bardzo dużo stron na temat koronawirusa. Niestety wiele z nich pomimo wiarygodnych danych w nich zawartych jest wprowadzanych przez hakerów i służy m.in. wyłudzaniu danych osobowych oraz danych uwierzytelniających użytkowników. Podstawą działania jest zaciekawienie użytkownika, oswojenie go i uwiarygodnienie witryny. Podczas poruszania użytkownik może pobrać bezpłatnie i niezobowiązująco mapę koronawirusa na komputer lub telefon. Jak się łatwo domyślić poza mapą instaluje się złośliwe oprogramowanie typu AZORult, które zakłada tajne konto administratora systemu. Tego typu oprogramowanie służy do przeprowadzania zdalnych ataków oraz kradzieży danych.
Dlatego należy stosować się do wytycznych publikowanych przez UODO dotyczących ochrony danych osobowych, ponieważ zdalna praca nie zwalnia z nieprzestrzegania rozporządzenia RODO.
W kolejnym artykule zajmę się tematem „pracy zdalnej” i „nauki zdalnej” – zagrożeniach i problemach z tym związanych. Co to jest cyberprzestrzeń i jak szybko się w niej znaleźliśmy. Oczywiście nie zabraknie ciekawych przykładów ataków hackerskich zawiązanych z COVID19 i nie tylko. Niestety cyberprzestępcy nieustannie dostarczają nowych przykładów. Proszę o tym pamiętać.
Życzę Państwu zdrowia i rozwagi w tym trudny okresie.
Piotr Słupczyński
