Atak na termostat. Bez edukacji nie ma cyberbezpieczeństwa [WYWIAD]

Od kilku dni otrzymuję fałszywe SMS-y o tym, że moja paczka jest w drodze, ale po kliknięciu w link, na moim smartfonie próbuje zainstalować się jakaś aplikacja. Po postach udostępnianych w social mediach widzę, że nie jestem jedyny, ale co gorsza – ludzie faktycznie dają się na to nabrać. Złośliwa wykrada z telefonu dane i wysyła SMS-y phishingowe do osób z listy kontaktowej. Jak to się dzieje, że tyle mówi się o cyberbezpieczeństwie, ale wciąż jesteśmy tak nieostrożni?

Czas świąteczny i zwiększona liczba zamówień online, niestety sprzyjają różnego rodzaju zagrożeniom – podobnie zresztą jak inne wydarzenia: start akcji szczepień czy Black Friday. Cyberprzestępcy to wiedzą i wykorzystują. Przed świętami mamy wiele spraw do załatwienia, więc nasza czujność może być uśpiona. CERT Orange Polska co prawda obserwuje takie zagrożenia, jak to, o którym wspomniałeś – mamy sztuczną inteligencję przeglądającą i blokującą złośliwą aktywność w sieci – ale jako operator telekomunikacyjny nie możemy zaglądać do treści SMS-ów, więc mamy utrudnione zadanie i musimy włożyć wiele wysiłku, by taką aktywność wykryć i zablokować.

A co możecie zrobić?

Jeśli już wykryjemy fałszywą stronę (tzw. stronę phishingową) możemy zablokować samą komunikację do niej - czyli nie dopuścić do tego, by nasz klient klikając w taki link połączył się z niebezpieczną stroną służącą np. do wyłudzania danych lub zainfekowania smartfona złośliwym oprogramowaniem. Duża część użytkowników Orange jest zabezpieczona, ale ataków phishingowych i smishingowych (phishing w SMS-ie) jest tak dużo, że nie zawsze możemy od razu zareagować. I rzeczywiście jest tak, że chociaż świadomość się zwiększa, to ataki przestępców nadal są skuteczne.

Na czym dokładnie polega atak z użyciem fałszywego linku?

W ostatnim czasie obserwujemy zmasowany atak na użytkowników telefonów z system Android z użyciem malware (złośliwe oprogramowanie m.in. wykradające dane) o nazwie FluBot. Samo otworzenie strony, do której link zawarty jest w SMS-ie jeszcze nie niesie za sobą negatywnych skutków. Ale jeśli pobierzemy z takiej witryny złośliwe oprogramowanie, to nasz telefon staje się użytecznym narzędziem w rękach przestępców. Po pierwsze atakujący mogą wyciągnąć z niego wszystkie interesujące ich dane – kontakty, SMS-y, zdjęcia – a po drugie, bez wiedzy i zgody właściciela wysyłają z jego telefonu kolejne wiadomości phishingowe. W ten sposób logarytmicznie wzrasta liczba zainfekowanych urządzeń.

Inny przykład z ostatnich dni – otrzymałem fałszywą wiadomość o przesyłce, rzekomo od Inpostu, która normalnie pojawiła się w wątku z poprzednimi, prawdziwymi wiadomościami od firmy.

To oznacza, że jej nagłówek – czyli numer telefonu – jest zgodny z tym, który rzeczywiście jest wykorzystywany przez InPost. Podszycie się pod numer telefonu jest niestety dosyć częstym zjawiskiem i wciąż ewoluuje. Ostatnio głośno jest o vishingu, gdzie osoby dzwoniące z numerów wyglądających jak np. numer telefonu banku, są „słupami” podszywającymi się pod pracowników konkretnej placówki w celu wyłudzenia pieniędzy lub danych. Z technologicznego punktu widzenia, to nie jest żadna „rocket science”.

Pamiętam publikacje dotyczące cyberbezpieczeństwa z początku 2021 roku. Eksperci wieścili, że w 2021 roku liczba ataków znacznie się zwiększy, wizje były wręcz katastroficzne. Rzeczywiście było tak źle w minionych miesiącach?

Niestety tak. Mnóstwo phishingu obserwowaliśmy zwłaszcza w miesiącach wakacyjnych – to były różnego rodzaju ataki, które pojawiały się regularnie i zazwyczaj były związane z fake newsami. Ludzie byli na wakacjach, ale przestępcy tych wakacji nie mieli... Jesteśmy zalewani coraz większą ilością informacji, a nie zawsze mamy czas, żeby je dokładnie weryfikować.

Dlatego tak ważna jest ciągła edukacja, ale mam wrażenie, że zwłaszcza małe i średnie przedsiębiorstwa źle rozumieją konieczność edukacji. Rozmawiałem niedawno z byłym już pracownikiem pewnego przedsiębiorstwa. Został zwolniony tylko dlatego, bo „dał się złapać” na biały atak zaaranżowany przez wynajętą przez pracodawcę firmę zewnętrzną. To bardzo niewłaściwe podejście.

W ramach oferowanej przez nas usługi Cyber Pakiet przeprowadzamy testy socjotechniczne, które polegają właśnie na tzw. białych atakach, czyli uzgodnionych, symulowanych ataków phishingowych na pracowników firmy i weryfikacji czy i kto „dał się złapać”. Wychodzimy z założenia, że celem takiego działania nie jest zwalnianie pracowników, którzy dadzą się nabrać – chcemy po prostu uświadamiać, jak wiele jest możliwości ataków i jak je identyfikować. Po ćwiczeniach zawsze organizujemy szkolenia, radzimy, na co zwracać uwagę. Wielu pracowników przed takim projektem jest przeświadczonych o swojej nieomylności – są pewni, że nie dadzą się oszukać. Podczas ćwiczeń okazuje się, że rzeczywistość jest znacznie brutalniejsza.

Inną kwestią jest fakt, że przedsiębiorcy bardzo często bagatelizują cyberzagrożenia, twierdząc, że cyberataki to coś, co dotyczy innych – w żadnym wypadku nie ich samych.

W małych i średnich przedsiębiorstwach dostrzegam niestety w większości przypadków niską świadomość dotyczącą możliwości zabezpieczenia się – z naszych badań wynika, że nawet 80 proc. przedstawicieli takich firm uważa, że program antywirusowy jest panaceum na wszystko i w zupełności powinien wystarczyć. Mniejsze firmy są paradoksalnie dużo bardziej narażone na ataki, gdyż mają po prostu mniejsze fundusze na rozwiązania z zakresu cyberbezpieczeństwa, jak również nie mają wyspecjalizowanych działów odpowiadających właśnie za ochronę przed atakami hakerskimi. Oczywiście znane są przykłady ataków celowanych na największe przedsiębiorstwa, ale większość ataków to działania na szeroką skalę, które mogą dotknąć każdą firmę.

Z waszych badań wynika również, że coraz więcej ataków na firmy odbywa się poprzez służbowe telefony, tymczasem przedsiębiorcy skupiają się raczej na zabezpieczaniu komputerów. Z czego to wynika?

Jako Orange Polska prowadzimy działania edukacyjne, w ramach których staramy się przekazać jak najwięcej informacji o występujących zagrożeniach, a także jak się tym zagrożeniom przeciwstawiać. Natomiast niestety jest tak, że dopóki nie ma jakichś spektakularnych ataków czy wycieków danych, którymi możemy się w ramach przykładu posłużyć, to wiele firm bagatelizuje problemy. Rzeczywiście jest tak, że telefony komórkowe w mniejszych firmach są bardzo słabo zabezpieczone, bo na dzisiaj nie ma skutecznego antywirusa jeśli chodzi o smartfony, a dziś telefon do zaawansowany komputer w naszej kieszeni ze służbowymi i prywatnymi wiadomościami email, SMS-ami, kontaktami, dokumentami czy zdjęciami. To idealne źródło danych dla przestępców i narzędzie, które można wykorzystać do następnych ataków.

Które z waszych usług są najbardziej przydatne dla małych i średnich przedsiębiorstw?

Dla najmniejszych graczy mamy CyberTarczę. To rozwiązanie, dzięki któremu komunikacja z urządzeń firmy jest chroniona przed dostępem złośliwej zawartości. Ponadto osoby zarządzające mają dostęp do funkcjonalności, dzięki której mogą wyłączać dostęp do innych potencjalnie szkodliwych treści jak na przykład pornografii. Natomiast większym podmiotom proponujemy usługę CyberWatch, która oprócz blokowania zagrożeń, o których wspomniałem wcześniej, raz dziennie udostępnia osobom wskazanym przez klienta informacje o tym ilu użytkowników - i z jakich adresów IP lub numerów telefonów służbowych - mogło połączyć się ze szkodliwą stroną czy wystąpiła np. komunikacja zainstalowanej w telefonie złośliwej aplikacji z serwerami przestępców. Dzięki takim danym, firma może łatwo namierzyć zainfekowany telefon.

W jaki sposób dochodzi do infekcji, skoro CyberWatch działa?

CyberWatch i CyberTarcza działają do czasu, kiedy użytkownik korzysta z naszej sieci. Jeżeli użytkownik wróci do domu i automatycznie przełączy się na WiFi – a dostawcą internetu nie jest Orange – to nasza ochrona już nie działa, więc może pobrać złośliwą zawartość i zainfekować telefon. Ale jeśli wyjdzie z domu i ponownie połączy się z siecią Orange, pojawi się notyfikacja, że doszło do infekcji.

Mamy również usługę MDM, istotną zwłaszcza w kontekście bezpieczeństwa smartfonów, która oprócz tego, że wymusza użycie kodu PIN czy odcisku palca do odblokowania telefonu, to w sytuacji kradzieży pozwala na zdalne wyczyszczenie takiego urządzenia.

Czy posiadacie jakieś narzędzie wspierające pracę zdalną?

Mamy rozwiązanie, które przeciwdziała wyciekowi informacji (np. wysyłaniu przez pracowników danych klientów firmy czy danych firmowych na prywatne skrzynki email, zewnętrzne dyski czy fizyczne czy wirtualne). Pozwala również na monitorowanie aktywności pracowników, czyli weryfikację tego, czy sprzęt służbowy był odpowiednio wykorzystywany w godzinach pracy. Można m.in. weryfikować czy w godzinach pracy pracownik działał w aplikacjach służbowych, czy oglądał filmy na YouTube. Raportowane są aktywne aplikacje, przykład – jeśli mamy na YouTube włączoną muzykę, ale ona działa w tle, to taka aktywność YouTube’a nie jest zliczana.

Czeka nas kolejny trudny rok jeśli chodzi o liczbę cyberataków?

Ataków hakerskich będzie więcej, tym bardziej, że podłączamy do internetu coraz więcej urządzeń – Internet Rzeczy nie jest już ciekawostką czy chwilowym trendem. Instalujemy wszędzie kolejne kamery, w domu ogrzewaniem możemy sterować za pomocą automatycznych termostatów w grzejnikach. Musimy mieć świadomość, że każde takie urządzenie atakujący mogą wykorzystać do swoich niecnych celów.

Co z tego, że ktoś włamie się do termostatu?

Żeby termostat mógł działać w domowym WiFi, to musi mieć jakieś oprogramowanie. Jeśli z zewnątrz uda nam się połączyć z takim urządzeniem, to będziemy w stanie połączyć się z siecią wewnętrzną, domową. W ten sposób można „przedostać” się do smartfonów czy komputerów i wykorzystać ich podatności. Nasze życie staje się coraz bardziej cyfrowe, kolejne procesy przenosimy do internetu, więc ataków będzie, niestety, jeszcze więcej.

Jesteśmy w takim momencie, że potencjalnie niebezpiecznie robi się nawet noszenie smartwatcha?

Tak – smartwatch to kolejne urządzenie, którego oprogramowanie może być celem cyberataku. Na producentach sprzętu spoczywa ogromna odpowiedzialność – one muszą przejść odpowiednie kontrole bezpieczeństwa i weryfikację pod kątem podatności na ataki. Tanie urządzenia, nieodpowiednio zaprogramowane, to najsłabsze ogniwa wielu firm.