Cyberprzestępcy nie mają już żadnych barier – do ataków wykorzystują nawet kontekst wojny
Rafał WiszniewskiDo ilu ataków hakerskich dojdzie podczas naszej rozmowy?
To zależy, co nazywamy atakiem. Jeśli przyjmiemy, że atakiem jest każda próba przejęcia konta np. na portalu społecznościowym lub dotarcia do czegoś, co nie jest autoryzowane w naszej infrastrukturze firmowej czy domowej, to myślę, że do ok. 2000. Ale pamiętajmy, że celem takich ataków nie zawsze jest wejście do czyjegoś komputera bądź telefonu, by ukraść dane lub pieniądze. Wiele z nich to znane od wielu lat ataki DDoS, które mają za zadanie przeciążenie naszych systemów poprzez wysłanie do nich ogromnej ilości danych. W świecie biznesu do takich działań dochodzi np. wtedy, kiedy firma wprowadza nową usługę. Poprzez atak DDoS można negatywnie wpłynąć na reputację przedsiębiorstwa – w końcu wprowadzana usługa po prostu nie działa – przez co potencjalny klient wybiera konkurencję. Phishing i DDoS to zdecydowanie najczęstsze ataki, do jakich dochodziło w ostatnich miesiącach. Zwłaszcza phishing wyrasta wręcz na króla wszystkich ataków. Trzeba jednak zaznaczyć, że to jedynie wstęp do właściwych, bardziej niebezpiecznych działań, których celem jest np. przejęcie dostępu do konta bankowego lub po prostu – dostanie się do infrastruktury firmy i rozpoczęcie równolegle „wielkiego skoku”.
Niedawno otrzymałem maila; nadawca przekonywał, że szybko może poprawić pozycjonowanie naszego serwisu w wyszukiwarkach. Dosłownie 15 sekund wystarczyło, by zweryfikować wiadomość – firma, którą rzekomo reprezentował, nie istnieje, podejrzewam, że nazwisko również zostało zmyślone. Sprawdzenie takich wiadomości to naprawdę nie jest jakaś tajemna wiedza, jednak do skutecznych ataków dochodzi coraz częściej. Dlaczego?
Zakładam, że jesteś świadomym odbiorcą – jako dziennikarz rozmawiasz z wieloma ludźmi, docierasz do różnych informacji, interesujesz się tą tematyką, więc wysłanie ci SMS-a z zachętą o dopłacenie do rachunku za prąd nie będzie tak samo skuteczne, jak wysłanie jej do przeciętnego internauty. Z phishingiem rozumianym jako kradzież tożsamości mamy do czynienia od dawna! Nie chcę, żeby brzmiało to histerycznie, ale od kilku lat takich ataków odnotowujemy naprawdę mnóstwo. Jeśli cofniemy się o pięć lat i przeanalizujemy, jak wtedy atakowano infrastrukturę naszych klientów czy internautów, to mowa była przede wszystkim o wykorzystywaniu jakichś luk bezpieczeństwa. Technika jednak szybko poszła do przodu – pojawiły się chociażby nowoczesne firewalle – a cyberprzestępcy zdali sobie sprawę, że potrzebują naprawdę sporo czasu, aby przełamać innowacyjne techniczne zabezpieczenia. Stwierdzili więc, że skoro socjotechnika „sprawdza się” na tak wielu polach, można ją wykorzystać również podczas cyberataków. Codziennie stykamy się z ogromem informacji, jesteśmy w ciągłym pędzie, więc nie dziwi mnie, że tym bardziej stajemy się podatni na różnego rodzaju ataki phishingowe. Choć oczywiście są pewne zachowania, które weszły nam w nawyk.
Na przykład?
Wiemy, że kiedy dzwoni numer z jakiegoś odległego kraju – Egiptu czy dalekiego Wschodu – to nie należy odbierać takiego połączenia. Natomiast SMS-y z Polski, w dodatku zawierające informacje, na które się czeka, nie wzbudzają aż takich podejrzeń. Dla użytkownika zapłacenie pięcu złotych za to, żeby „nie wyłączono prądu” nie jest dużym wydatkiem, ale w połączeniu z fałszywą bramką płatności i przechwyceniem naszych danych, cyberprzestępcy mogą liczyć na naprawdę niezły zysk i to w krótkim czasie.
Czasy, kiedy cyberprzestępcy tworzyli systemy w domach, minęły bezpowrotnie. Obecnie mają do dyspozycji najróżniejsze portale – wykorzystujące chociażby dane z serwisów społecznościowych - dzięki którym za niewielką opłatą mogą automatycznie wygenerować właściwie dowolną kampanię.
Jak mogą być wykorzystane dane z serwisów społecznościowych?
Nie jest żadną tajemnicą, że w internecie tworzony jest pewnego rodzaju cyfrowy profil tożsamościowy użytkownika. Haker może to wykorzystać i ma dostęp do informacji, że np. szukasz w sieci konkretnego modelu obuwia, więc może podesłać ci zainfekowaną reklamę informującą, że w danym sklepie takie buty są najtańsze. Co najgorsze, cyberprzestępcy nie mają już żadnych barier, nie ma mowy o jakichkolwiek granicach mentalnych.
Takie bariery w ogóle kiedyś istniały?
Wydaje mi się, że jeszcze kilka lat temu cyberataki kręciły się głównie wokół pieniędzy. Hakerzy zachęcali nas do odblokowania karty kredytowej czy do dopłaty do zaległego rachunku. Obecnie do ataków wykorzystuje się kontekst pandemii, wojny czy nawet drastyczne historie dotyczące dzieci. Tak jak pospolitych przestępców dzielimy na tych, co okradają ludzi i na tych, co mordują, tak samo działania hakerów różnią się drastycznością.
Czy w takim razie pracodawca ma w ogóle jakiś wpływ na to najsłabsze ogniwo firmy, jakim zdaniem ekspertów jest czynnik ludzki? Rozumiem, że można zainstalować nowoczesne zabezpieczenia, jednak na mentalność pracowników trudno wpłynąć.
Niestety względem ludzi nie da się stworzyć uniwersalnego algorytmu – każdy z nas myśli inaczej, ma własną wrażliwość. Najgorzej, kiedy pracodawca nie robi nic, by uświadamiać pracowników. Bardzo ważne są szkolenia oraz dawanie dostępu do wartościowych, edukacyjnych materiałów, a także informacji. Świadomość można budować także poprzez kontrolowane ataki, które my jako Orange również przeprowadzamy na życzenie klienta. Na podstawie zachowań pracowników podczas takich ćwiczeń buduje się pewien model, który można wykorzystać do poprawy bezpieczeństwa firmy.
To świetnie brzmi w teorii, ale w praktyce bywa różnie. Pracodawcy często zwalniają pracowników, którzy – kolokwialnie mówiąc – dali się nabrać podczas kontrolowanego ataku. Co jest raczej dużym błędem, bo moim zdaniem taki pracownik będzie w przyszłości dużo uważniejszy, niż jego współpracownicy. Dopiero kiedy ktoś napadnie na nasz dom, to decydujemy się na wymianę zamków na te lepszej jakości, niż od dewelopera.
W przypadku wycieku danych bądź utraty pieniędzy na skutek cyberataku, niestety winnych najczęściej szuka się wśród szeregowych pracowników. Przez większość życia każe nam się klikać, bo to przecież naturalna rzecz, a później w przypadku ataku wmawia się nam, że to my jesteśmy winni, bo przecież kliknęliśmy... A to bardzo często wina chociażby braku odpowiednich narzędzi lub przygotowania nas na zagrożenie. Musimy być świadomi, że każdy jest podatny na atak – jedni mniej, inni bardziej, ale nie ma ludzi nieomylnych i w pełni odpornych na phishing. Człowiek rzeczywiście jest najsłabszym ogniwem, ale jednocześnie nieuniknionym. Pracodawca musi być świadomy ryzyka!
W jaki sposób Orange wspiera przedsiębiorców w dbaniu o cyberbezpieczeństwo?
Usługą, o której warto wspomnieć jest z pewnością CyberTarcza, która błyskawicznie blokuje w sieci dostęp do kampanii związanych ze złośliwym oprogramowaniem, phishingiem lub odcina komunikację zainfekowanego urządzenia od przestępcy. Analizujemy wiele kampanii w polskiej sieci oraz zgłoszenia naszych klientów, dzięki czemu stale udoskonalamy nasz flagowy produkt. Co ważne w tym kontekście, musimy mieć świadomość, że pracownicy otrzymują fałszywe maile i SMS-y również na prywatne urządzenia – na takim sprzęcie firmowe dane często nie są należycie zabezpieczone.
I jeszcze jedno. Phishing to nie tylko ataki cyfrowe. Jakiś czas temu głośno było o pewnej dużej sieci sklepów spożywczych, której pracowniczka działu księgowości otrzymała pocztą list do złudzenia przypominający korespondencję od największego dostawcy mięsa dla sieci. Nadawca informował, że wkrótce zmieni się rachunek bankowy, na który należy kierować rozliczenia za dostawy. Księgowa uwzględniła zmiany i choć prawdziwy dostawca mięsa szybko poinformował sieć o braku wpłat, kilka przelewów poszło na konto cyberprzestępców. Jak widać, phishing wykorzystujący socjotechnikę wcale nie musi być elektroniczny, a dezinformacja to wyjątkowo niebezpieczna broń.
Zastanawiam się, czy sami sobie nie zawiązujemy sznura. Owszem, szkodliwą dezinformację szerzą choćby anonimowe konta antyszczepionkowe czy tzw. „ruscy trolle”, ale moim zdaniem przykład nie idzie z góry. Dzień przed naszą rozmową jeden z czołowych polskich portali informacyjnych opublikował w mediach społecznościowych post – okraszony oczywiście hasłem „pilne” – którego nagłówek brzmiał: „Atak na polską ambasadę w Rosji!”. Po kliknięciu w link okazało się, że atak polegał na tym, że czerwoną farbą oblano jedną z tablic na budynku ambasady... W mojej opinii to również jest dezinformacja, niepotrzebne sianie paniki.
W „Opowieściach o pilocie Pirxie” Stanisława Lema pada takie zdanie, że lepiej mieć zero informacji, niż być zdezinformowanym, bo to oznacza informację ujemną. Niestety media bardzo często manipulują informacjami, by bardziej przyciągały uwagę, stały się jeszcze mocniejsze, bo to gwarantuje kliki. Ale takie rzeczy dzieją się nawet w naszych domach, kiedy specjalnie zmieniamy akcenty w rozmowach z małżonką czy dzieckiem, aby coś wyolbrzymić. Phishing czy dezinformacja – jeszcze raz podkreślę – to zazwyczaj początek większych kampanii. Zobacz, co się dzieje przy okazji wojny w Ukrainie – fake newsy pojawiają się coraz częściej, gdyż w taki sposób Rosja może szerzyć swoją kłamliwą propagandę. Natomiast wykupiony hejt może prowadzić nawet do takich dramatów jak samobójstwa, zwłaszcza wśród młodych ludzi.
Statystyki od dłuższego czasu są pesymistyczne – eksperci podkreślają, że liczba cyberataków rośnie w zasadzie z miesiąca na miesiąc. Czy w niedalekiej przyszłości jest szansa na odwrócenie tego trendu czy będzie już tylko gorzej?
O cyberbezpieczeństwie mówi się od lat, nastała swego rodzaju moda na cyberbezpieczeństwo – bez tej kwestii nie może odbyć się żadna branżowa konferencja, portale internetowe regularnie piszą o cyberbezpieczeństwie. Nie oznacza to jednak, że jest coraz bezpieczniej, wręcz przeciwnie. Tworzymy nowe zabezpieczenia, ale z drugiej strony hakerzy wymyślają nowe sposoby na ich obejście, codziennie zaskakują nas czymś nowym. Trochę błędne koło. Lek na wszystkie cyberzagrożenia nigdy nie powstanie, dlatego nieustannie musimy być czujni. Minimalizujmy ryzyko jak najczęściej, jak najskuteczniej, ale pamiętajmy, że nigdy nie nadejdzie taki dzień, kiedy z pełnym przekonaniem będziemy mogli powiedzieć, że rzeczywiście jest całkowicie bezpiecznie.