Socjotechnika, malware i ransomware. Co to jest i jak się przed tym chronić?

Bezpieczeństwo w sieci jest nieustannie jednym z przewodnich tematów branży IT. Nic dziwnego, ponieważ ataki hakerskie to w internecie codzienność. Na czym polegają najgroźniejsze z nich oraz jak się przed nimi chronić?

Hakerskie ataki socjotechniczne

Z elementami socjotechniki możemy spotkać się na co dzień — podczas codziennych relacji z innymi, słuchając wypowiedzi polityków czy oglądając reklamy. To każda forma manipulacji, która ma na celu skłonienie nas do podjęcia określonych działań. 

Socjotechnikę wykorzystują także hakerzy, którzy od początków swojej działalności nie byli jedynie specjalistami od oprogramowania. I to często metody niewymagające od nich napisania nawet linijki kodu są najbardziej skuteczne. Kevin Mitnick, jeden z najsłynniejszych hakerów, w swojej najbardziej znanej książce, “Sztuka podstępu” przyznaje, że przede wszystkim “łamał ludzi, a nie hasła”.

Atak socjotechniczny może rozpocząć się od mailowego, telefonicznego (a w rzadkich przypadkach nawet osobistego) kontaktu z przypadkową osobą lub pracownikiem wybranej przez hakerów firmy. Potrafią oni podawać się np. za administratorów systemów lub ankieterów, a wszystko po to, by wyłudzić kluczowe dla przeprowadzenia ataku informacje. Mogą to być np. dane dostępowe do konta bankowego, numer CVC karty kredytowej, dane osobowe czy też hasła dostępu do systemów organizacji.

Najczęstszą metodą socjotechniczną stosowaną przez hakerów jest phishing mailowy. Dawniej, popularnymi jego formami było wysyłanie do użytkownika e-maila z prośbą o przesłanie danych dostępowych do banków lub numerów kart kredytowych, podszywając się pod osoby upoważnione do otrzymania takich informacji. Obecnie, komunikaty przekazywane przez atakujących przyjmują coraz bardziej wyrafinowaną formę. W celu ukrycia ataku, w początkowej fazie informacje wymieniane z hakerem nie muszą wcale dotyczyć potrzebnych mu danych, ale służyć budowaniu relacji zaufania. Najczęstszą formą pozyskania danych przez hakerów jest przesyłanie linków, kierujących na fałszywe stron internetowe, które podszywają się np. pod strony banków, aby skłonić użytkowników do wprowadzenia danych logowania lub zainfekować komputer ofiary wrogim oprogramowaniem.

Jak się chronić przed atakami socjotechnicznymi?

Jako że hakerzy stosujący socjotechnikę bazują na ludzkiej niewiedzy i łatwowierności, najlepszą metodą, aby zapobiec skutecznym atakom, jest uświadamianie i podnoszenie kwalifikacji pracowników.

Podczas szkoleń pracownicy nie tylko nabywają świadomość o zagrożeniach czyhających ze strony hakerów, ale także wypracowują odpowiednie nawyki codziennej pracy. Bardzo dobrym narzędziem szkoleniowym jest wcześniejsze przeprowadzenie kontrolowanego ataku socjotechnicznego i wykorzystanie pozyskanego materiału podczas kursu. W ten sposób uczestnicy szkolenia na własnym przykładzie mogą przekonać się o skuteczności socjotechniki.

Istotne jest też właściwe funkcjonowanie działu odpowiedzialnego za cyberbezpieczeństwo w firmie. Jednak, wiele organizacji nie może pozwolić sobie na zatrudnienie i przeszkolenie pracowników w tej dziedzinie, nie mając przy tym 100% pewności czy zrekrutowane osoby zapewnią firmie odpowiednią ochronę przed zagrożeniami.

Rozwiązaniem tego problemu jest outsourcing IT. Powierzając firmie zewnętrznej zadanie ochrony naszej organizacji, będziemy mieli do dyspozycji jej specjalistów i ich doświadczenie, poparte rekomendacjami klientów. Zaproponują oni i dostarczą niezbędne rozwiązania technologiczne i organizacyjne.

PRZECZYTAJ TAKŻE:

Co to jest malware?

Malware to inaczej „złośliwe oprogramowanie”, z reguły działające nie w interesie użytkownika, ale osób atakujących jego system. Celem takich aplikacji jest wykonywanie operacji niepożądanych i najczęściej szkodzących systemowi. Zazwyczaj malware udaje, że realizuje przydatne funkcje lub “przy okazji” ich uruchamiania wykonuje złośliwe działania.

Aplikacja malware może bezpośrednio wykonywać funkcje zamierzone przez swych twórców lub instalować kolejne oprogramowanie, o już bardziej zaawansowanych możliwościach. Działania realizowane przez “złośliwy kod” często dotyczą śledzenia czynności użytkownika w celu np. wyłudzenia danych lub włączenia jego urządzenia do sieci tzw. „komputerów-zombie”, służących do wysyłania SPAM-u lub wydobywania kryptowaluty.

Malware jest zjawiskiem powszechnym. Zdarza się nawet, że jest ukryty w budzących zaufanie aplikacjach. Zdarzyło się to niezwykle popularnemu programowi na urządzenia mobilne służącemu konserwacji urządzenia — CCleaner (dowiedz się więcej). Wg Piriform (twórcy CCleanera), malware przemycony do kodu aplikacji został wtedy ściągnięty ponad 2 miliony razy, a narażonych było ponad 130 milionów użytkowników! 

Złośliwe oprogramowanie może dostać się do naszego komputera poprzez „podejrzane”, często nielegalne strony, które kusząc niektórych użytkowników swoją treścią, są tak naprawdę narzędziem do rozprzestrzeniania malware.

Inną metodą hakerów jest rozprzestrzenianie zainfekowanych wiadomości e-mail z dołączonymi załącznikami lub linkami. Otwarcie załącznika lub kliknięcie linka (do czego treść maila sugestywnie zachęca) może prowadzić do zainstalowania złośliwego oprogramowania. Źródłem infekcji mogą być także atrakcyjne reklamy, informujące np. o zniżkach czy rabatach.

Jak chronić się przed malware

Podstawową metodą ochrony przed malware jest korzystanie z aktualnego oprogramowania antywirusowego. Bardzo ważne dla zabezpieczenia się przed malware jest regularne aktualizowanie systemu operacyjnego komputera i oprogramowania. Nie wolno również instalować niesprawdzonego oprogramowania, w szczególności pochodzącego z niezaufanych źródeł.

Należy także zachować zwyczajną ostrożność, unikając klikania podejrzanie wyglądających linków (szczególnie w wiadomościach e-mail) czy otwierania ewentualnych programów załączanych w e-mailach. Prywatni użytkownicy mogą stosować bezpłatne wtyczki do przeglądarek internetowych jak np. Avira Browser Safety lub Avast Online Security dla Chrome’a i Firefoksa. W organizacjach, o użycie właściwego oprogramowania zabezpieczającego powinni zadbać informatycy.

W większych firmach o bezpieczeństwo systemów może zadbać system SIEM (ang. Security Information and Event Management). SIEM jest systemem monitorowania zdarzeń w sieci komputerowej organizacji, aby wykryć nietypowe i potencjalnie niebezpieczne zdarzenia. System częściowo wyręcza w tym analityków, którzy z dziesiątek Gb przepływających często dziennie przez sieć firmy, otrzymują informacje jedynie o zdarzeniach naprawdę wymagających ich uwagi. SIEM monitoruje także ataki malware, których organizacja może przeżywać nawet dziesiątki tysięcy w miesiącu.

WIĘCEJ O SIEM:

Co to jest ransomware?

Ransomware jest rodzajem złośliwego oprogramowania, które uniemożliwia użytkownikowi korzystanie z komputera w celu wymuszenia od niego okupu. Działa na zasadzie szyfrowania plików przechowywanych w zaatakowanym urządzeniu. Dostęp do nich możemy odzyskać, dopiero gdy przelejemy odpowiednią kwotę (najczęściej w Bitcoinach) na konto cyberprzestępcy. Oczywiście, jak w przypadku każdego wymuszenia okupu, nie możemy mieć pewności, że przestępca spełni swoją obietnicę i pliki zostaną odszyfrowane. 

W przypadku ataku na firmę w grę wchodzą zawsze większe kwoty okupu, ponieważ często taki atak jest związany z dużymi stratami organizacji. Rosną one z każdym dniem trwania sytuacji, ponieważ firma nie ma dostępu do kluczowych danych i nie może normalnie funkcjonować. Dlatego też zapłacenie okupu może być bardziej opłacalne dla organizacji niż codzienne ponoszenie strat. Sprawia to, że firmy są dla hakerów szczególnie łakomym kąskiem.

W 2019 roku ataki ransomware “weszły na wyższy poziom”. Twórcy oprogramowania MAZE Ransomware zaczęli nie tylko szyfrować dane, ale również grozić opublikowaniem informacji wykradzionych w przypadku niezapłacenia okupu i swoje groźby rzeczywiście zaczęli spełniać. Ewentualna publikacja wykradzionych materiałów nie tylko narusza bezpieczeństwo informacji zaatakowanej firmy, ale może również prowadzić do złamania przepisów dotyczących ochrony danych osobowych regulowanych przez RODO

Jak chronić się przed ransomware

Absolutne minimum ochrony przed ransomware, tak jak w przypadku każdego malware, to posiadanie i aktualizowanie oprogramowania antywirusowego. W firmach, także tutaj pomocny będzie system SIEM, który na bieżąco monitoruje ewentualność pojawienia się ataku i może uruchomić działania blokujące. 

Kolejną bardzo istotną kwestią jest przechowywanie danych także poza własnym komputerem, czyli regularne wykonywanie backupu. Nie ma wtedy konieczności płacenia okupu za przywrócenie dostępu do plików, ponieważ można je po prostu skopiować z zewnętrznego serwera. 

Haker-ataki-socjotechnika-atacks-hacking

W celu właściwej ochrony kopii zapasowych właściwym jest wykonywanie backup (lub jego replikacja) do zewnętrznej chmury obliczeniowej. Jest to rozwiązanie znacznie tańsze od zakupu własnych, dodatkowych serwerów i przestrzeni danych. Ponadto, gwarantuje większe bezpieczeństwo, ponieważ dane przechowywane są poza fizyczną siedzibą organizacji. Chroni to zatem przed utratą danych nie tylko w wyniku działania ransomware, ale także spowodowanej innymi zdarzeniami losowymi, jak pożar czy powódź. 

W przypadku żądania przez atakujących zapłacenia okupu z groźbą opublikowania wykradzionych danych, konieczne jest podjęcie odpowiednich działań antykryzysowych. Najlepiej, gdyby działania te były wcześniej przygotowane w ramach scenariuszów awaryjnych BCP (ang. Business Continuity Plan). Odpowiednie przygotowanie znacząco ułatwi postępowanie w sytuacji wystąpienia ataku. Plan działania powie nie tylko co trzeba robić, ale również jak. Ponadto, zdefiniuje kto i o czym musi być informowany, nie tylko wewnątrz firmy, ale też na zewnątrz (np. Urząd Ochrony Danych Osobowych). W sytuacjach kryzysowych można też skorzystać z usług firm zewnętrznych, które mają duże doświadczenie we właściwym postępowaniu i zarządzaniu.

POZNAJ OFERTĘ WDROŻENIA BCP PRZEZ ESKOM

Hakerzy nie śpią

Brak dbałości o bezpieczeństwo w sieci może prowadzić do poważnych konsekwencji. Najmniej groźną z nich jest ta, że nasze urządzenie stanie się częścią sieci komputerów-zombie rozsyłających SPAM. Może się też jednak zdarzyć, że padniemy ofiarą próby wymuszenia okupu i stracimy przez to pieniądze lub dostęp do swoich danych.

Szczególnie ważne jest, by troszczyć się o cyberbezpieczeństwo w firmach, ponieważ każdy atak może narazić organizację na przerwę w funkcjonowaniu a przez to duże straty oraz uszczerbek na wizerunku. Warto inwestować w tę dziedzinę, ponieważ zjawisko cyberprzestępczości nie słabnie, a wręcz się nasila.