Paczka z OLX, żołnierz na misji, zapisy na szczepienie. Jak hakerzy wykorzystują emocje do ataków?
Fot. Orange PolskaJak się wymyśla wirusy?
Słowo „podziwiam” jest w tym kontekście niewłaściwe, ale czasami naprawdę jestem pod wrażeniem wyobraźni cyberprzestępców. Zachowania ludzkie same podsuwają nowe scenariusze, bo hakerzy wykorzystują przede wszystkim nasze emocje. Często jest też tak, że jeśli jakiś sposób ataku się sprawdza, to przenosi się go na inne obszary.
Ostatnio na Tinderze (aplikacja randkowa - red.) już w pierwszej wiadomości poproszono mnie o przejście na WhatsApp. Numer telefonu był dziwnie podejrzany.
Tu prawdopodobnie chodzi o rodzaj oszustwa nazywanego przekrętem nigeryjskim. Przestępca spróbuje zdobyć twoje zaufanie, by wyłudzić pieniądze. Czyli przykładowo „znajoma” z Tindera zaproponuje, że do ciebie przyjedzie, pod warunkiem, że prześlesz jej 1000 euro na bilet. Dopóki nie ma złośliwych linków - tak to zwykle wygląda. Swego czasu głośno było też o „amerykańskim żołnierzu” na misji, który chciał wrócić do domu. Również w Polsce ludzie tracą w ten sposób oszczędności życia.
Aż tak?
Każdy atak ma swoją grupę docelową. W CERT Orange Polska otrzymujemy nieraz zadziwiające wiadomości od internautów. Ostatnio napisała do nas pewna osoba, która poprosiła o odblokowanie jednej strony www, bo chciała odebrać swoje pieniądze za przesyłkę z OLX, a my jej to uniemożliwiamy, wyświetlając stronę CyberTarczy z informacją, że ktoś próbuje ją oszukać…
Zaskoczyła cię ostatnio jakaś forma ataku?
Moje zainteresowanie wzbudziło generowanie domen przez przestępców. Oni są w stanie produkować nawet kilka tysięcy fałszywych domen tygodniowo! To bardzo dobrze zorganizowany proces, jeśli już rozpracujemy jakiś scenariusz, to od razu pojawia się nowy.
Jak rozpoznać szkodliwego SMS-a?
Najlepszym lekarstwem jest pauza, chwila zastanowienia nad otrzymaną wiadomością. Zastanówmy się, czy taki SMS w ogóle może być zasadny – czy zamawialiśmy coś przez internet, braliśmy udział w jakimś konkursie. Z danych CERT Orange Polska wynika, że na 80 proc. wiadomości odpowiadamy do 2 minut od ich odczytania, dlatego ta chwila oddechu jest taka ważna. Najgorsze jest to, że jeśli przestępca wpasuje się w dany nadpis, czyli nazwę nadawcy, jaka wyświetla się w SMS-ie, np. od InPostu, to złośliwą wiadomość odbierzemy wśród tych prawdziwych i bezpiecznych. W takiej sytuacji łatwo o uśpienie czujności.
Rozumiem, że z punktu widzenia zaatakowanego użytkownika dużo groźniejsze jest wykradnięcie danych niż pieniędzy?
Jeśli przestępca posiada dane, to jego możliwości działań są praktycznie nieograniczone: czyszczenie kont bankowych, branie pożyczek, kupowanie najnowszych modeli smartfonów... A mając nasz login do Facebooka, może atakować naszych znajomych.
Technologia to jedno, ale chyba kluczowe w przypadku hakerów jest czytanie nastrojów społecznych. Cyberprzestępca ma dużo z psychologa?
Podzieliłbym to środowisko na kilka grup. Są osoby stricte techniczne, które potrafią zbudować odpowiednią infrastrukturę. Ale są też ludzie tworzący konkretne scenariusze, znający ludzką psychikę. W ostatnich miesiącach wykorzystywano np. obawy związane z koronawirusem: były wiadomości o dezynfekcji przesyłek, o zapisach na szczepienie. Socjotechnika wciąż działa.
W trakcie pandemii odnotowano większą liczbę ataków. To miało związek właśnie z tymi obawami czy jednak spowodowało je przeniesienie dużej części naszego życia do Internetu?
Nie jestem psychologiem, jednak wydaje mi się, że przejście na model zdalny mocno się do tego przyczyniło. Przez pierwsze miesiące epidemii w wielu firmach kwestie związane z pracą zdalną nie były jeszcze uporządkowane. Oszuści wykorzystywali też szum informacyjny np. związany z pojawieniem się fałszywych map zakażeń. Poza tym wielu konsumentów przekonało się do sklepów internetowych. Trudno się dziwić, że człowiek, który pierwszy raz zamawia online produkty spożywcze, może nie być w stanie odróżnić prawdziwej strony od złośliwej. W 2019 jako CERT Orange Polska zablokowaliśmy ok. 10 tys. stron phishingowych. W zeszłym roku było ich już trzy razy więcej. Istotną rolę odegrało też przeniesienie życia towarzyskiego do mediów społecznościowych. Z naszych badań wynika, że to na Facebooku dochodzi do 90 proc. ataków phishingowych.
Liczby, które przytaczasz nie są jakąś tajemną wiedzą. Tyle się mówi o cyberzagrożeniach, a przedsiębiorcy nadal nie przykładają należytej wagi do ochrony przed nimi. Dlaczego?
Z moich obserwacji wynika, że często jeśli ludzie chcą na czymś zaoszczędzić, to oszczędzają właśnie na bezpieczeństwie. To jest tak jak z ubezpieczeniem – jeśli wszystko działa i jest dobrze, to nikt o nim nie myśli. Tymczasem rosnąca liczba udanych ataków pokazuje, że jest duże zapotrzebowanie na działania ochronne.
Jak przedsiębiorcy mogą zadbać o bezpieczeństwo swoich firm? Bo zainstalowanie programu antywirusowego raczej nie wystarczy – moim zdaniem to jak odwiedzenie lekarza pierwszego kontaktu, zabranie recepty i zażycie tabletek bez późniejszych kontroli.
Zdecydowanie. Żeby skutecznie zadbać o cyberbezpieczeństwo, musimy być przygotowani na cały proces: regularną weryfikację, zarządzanie infrastrukturą, testy rozwiązań, szkolenie pracowników. Nie wystarczy zrobić audyt tylko po to, by dostać „kartkę” z odpowiednim potwierdzeniem.
To szkolenie pracowników jest chyba kluczowe, biorąc pod uwagę, że zawsze najbardziej zawodzi czynnik ludzki. Czy – w kontekście tego, co powiedziałeś o liczbie ataków phishingowych na Facebooku – blokowanie mediów społecznościowych w miejscach pracy może być skutecznym działaniem ochronnym?
Jeśli chodzi o korporacje to jak najbardziej. Pytanie czy pracownicy niezajmujący się mediami czy PR, muszą mieć na służbowym smartfonie dostęp do Facebooka. Moim zdaniem to zbędne, zwłaszcza jeśli weźmiemy pod uwagę, że już praktycznie każdy ma aplikacje społecznościowe w swoim smartfonie. Polityka filtracji powinna być szczelna.
CERT Orange Polska poinformował, że w ostatnich miesiącach odparliście ataki o sile powyżej 400Gb/s. Jaka to skala?
Największe ataki na świecie były o sile powyżej 1000Gb/s (np. 1,3Tb/s na serwis github.com). Najszybsze domowe łącza w Polsce to obecnie światłowody 1Gb/s, największe łącza firmowe to zazwyczaj rząd kilkudziesięciu Gb/s. Powstrzymanie ataku o sile kilkuset Gb/s jest możliwe jedynie w obrębie kluczowej infrastruktury operatora.
Jakie ataki będą dominować w najbliższych miesiącach?
Na pewno nie zmniejszy się liczba ataków typu „przesyłka z OLX”. Takich wyłudzeń będzie coraz więcej, a przestępcy będą podszywać się pod kolejne serwisy – ostatnio wiadomości phishingowe zaczęły przychodzić nawet od użytkowników BlaBlaCar. Ataki są międzynarodowe, na ogromną skalę, przynoszące nieprawdopodobne dochody. Niemal ze stuprocentową pewnością mogę też stwierdzić, że w 2021 roku pojawią się jeszcze nowe formy ataku, choć trudno dziś przewidzieć jakie konkretnie.
Jakie masz rady dla przedsiębiorców, którzy chcą zadbać o swoje cyberbezpieczeństwo?
Warto przeanalizować ryzyko, zabezpieczyć najcenniejsze zasoby. Konieczne będzie przeznaczenie jakiejś części firmowego budżetu na zapewnienie bezpieczeństwa – zarówno firmy, jak i pracowników. Bez dokładnej, rzetelnej analizy skuteczna ochrona jest praktycznie niemożliwa. Zachęcam także do zapoznania się z najnowszym raportem CERT Orange Polska za 2020 rok. Zainteresowani znajdą w nim podsumowanie zagrożeń, z którymi mieliśmy do czynienia w Internecie w minionym roku, ciekawe prognozy i podpowiedzi, jak pozostać bezpiecznym w sieci.
Raport można pobrać TUTAJ.