TOP 5 metod cyberataków – czyli na co uważać

Piotr BergerPodstawowe kierunki ataków, mających na celu pozyskanie wrażliwych i strategicznych danych osób prywatnych, firm i korporacji.

– Wszystkie ataki, które obecnie są przeprowadzane ukierunkowane są na osoby prywatne, a następnie pozyskane w ten sposób dane wykorzystuje się do zdobycia informacji strategicznych firm – mówi Piotr Berger, pełnomocnik dyrektora PIT ds. bezpieczeństwa. – Zawsze najsłabszym ogniwem w systemach bezpieczeństwa są ludzie, a nie systemy. Nawet słabo zabezpieczony system może sprawić duże kłopoty przestępcom, gdy nie posiadają oni krytycznych danych dostępowych do tychże systemów. Dzieje się tak, iż nawet źle zabezpieczony czy niewłaściwie skonfigurowany system odbiega od ogólnie przyjętych standardów, co w konsekwencji może sprawiać grupom przestępczym problemy z dostaniem się do infrastruktury wewnętrznej. Pamiętajmy jednak, iż źle zabezpieczony system posiada więcej luk wewnątrz niż na zewnątrz, co może skutkować działaniami niezamierzonymi przez użytkowników, które naruszą integralność poszczególnych elementów lub całej infrastruktury.

TOP 5

We wszystkie powyższe działania wpisuje się pięć podstawowych metod ataków ukierunkowanych na pozyskanie wrażliwych danych, które łączy jeden element – inżynieria społeczna. Tymi zagrożeniami są:

Ataki przy wykorzystaniu inżynierii społecznej w połączeniu ze złośliwym/szkodliwym oprogramowaniem.

Phishing ukierunkowany na zdobycie haseł i nie tylko.

Atak przy wykorzystaniu znanych błędów w nieuaktualnionym oprogramowaniu.

Ataki przeprowadzane przy wykorzystaniu mediów społecznościowych.

Ataki typu APT – Advanced Persistent Threats – bardzo zaawansowane i złożone ataki.

1. Ataki przy wykorzystaniu inżynierii społecznej w połączeniu ze złośliwym/szkodliwym oprogramowaniem.

Przestępcy tworząc dedykowane oprogramowanie mają na celu zamaskowanie swoich działań. Funkcjonalność takiego oprogramowania jest bardzo szeroka lecz przede wszystkim naśladuje działania systemów, tak aby administrator miał wrażenie prawidłowo funkcjonującego systemu. W tle oprogramowanie wysyła do przestępców zastrzeżone informacje. Działania tych programów mogą być różne, ale przeważnie są one ukryte w tle, tak aby użytkownik nie zauważy niczego niepokojącego na swoim komputerze. Obecnie najczęściej infekowane złośliwym kodem są strony internetowe dużych zaufanych firm. Kody instalują się bez wiedzy użytkowników, wykorzystując lukę w przeglądarkach, w celu kopania krypto walut. Szacuje się, iż z takiej działalności przestępcy uzyskują setki milionów dolarów rocznie i z każdym rokiem ich zyski zwiększają się o około 20-30%.

Środki zaradcze wobec opisanego zagrożenia:

– Budowanie i kształtowanie świadomości użytkowników, pracowników firm.
– Ostrzeganie użytkowników o potencjalnych zagrożeniach i uczulanie na zwracanie szczególnej uwagi na wykonywane działania, przede wszystkim w Internecie.
– Zabezpieczenie przedsiębiorstw przez zaawansowane aktywne oprogramowanie monitorujące bezpieczeństwo.
– Ograniczanie dostępu do Internetu oraz aktywny monitoring przeglądanych stron pod kątem zagrożeń.
– Przede wszystkim jeszcze raz skuteczna edukacja użytkowników.

2. Phishing ukierunkowany na zdobycie haseł i nie tylko

Metoda ataku przy wykorzystaniu phishingu opiera się przede wszystkim na podszywaniu się pod inną osobę lub instytucję w celu wyłudzenia pożądanych informacji czy danych umożliwiających zalogowanie się do konta bankowego, służbowego, pozyskania numerów kart kredytowych, debetowych lub nakłonienia ofiary do wykonania określonych zamierzonych działań przez cyberprzestępców. Pamiętajmy, że phishing opiera się na inżynierii społecznej (socjotechnice), która łączy ze sobą wszystkie przedstawione w tym artykule metody ataków.

Środki zaradcze i przeciwdziałanie:

– Stosowanie dwuskładnikowych metod uwierzytelniania.
– Prowadzenie szkoleń w zakresie zapobiegania i wykrywania kampanii phishingowej.
– Wprowadzenie jasnych i prostych zasad do natychmiastowego zgłaszania incydentów w środowisku IT.
– Wykrywanie i bieżące monitorowanie całej infrastruktury oraz szybka reakcja na wykryte zagrożenia.
– Zachęcanie użytkowników do zgłaszania wszelkich podejrzanych wiadomości email.
-Szczegółowa analiza zagrożeń, monitorowanie bieżących trendów w bezpieczeństwie i potencjalnych wykrytych zagrożeniach.
– Regularne uaktualnianie systemu, oprogramowania.
– Nieprzesyłanie w wiadomościach e-mail danych osobowych.
– Weryfikowanie czy dana witryna jest zabezpieczona protokołem szyfrującym.
– Nieużywanie starszych typów przeglądarek internetowych.
– Unikanie odwiedzania stron na prośbę serwisów internetowych i logowania się na nich.
– Nieotwieranie linków bezpośrednio z wiadomości e-mail.

3. Atak przy wykorzystaniu znanych błędów w nieuaktualnionym oprogramowaniu

Na trzecim miejscu pod względem popularności stosowania są ataki wykorzystujące złośliwe oprogramowanie. Złośliwe oprogramowanie dąży do przejęcia kontroli nad systemami przy wykorzystaniu systemów C&C, instalując oprogramowanie wykorzystujące  systemy czy też sprzęt z niezałatanymi, niezabezpieczonymi wykrytymi i znanymi lukami w zabezpieczeniach. Najczęściej wykorzystywanymi do przejęcia kontroli nad danym system są niezałatane i stosowane na co dzień programy dodatkowe wspomagające pracę, takie jak: przeglądarki, Adobe Reader, Microsoft Office. Pomimo znanych luk w oprogramowaniach wiele firm i prywatnych użytkowników nagminnie nie łata na bieżąco wykrytych i sygnalizowanych podatności. Takie postępowanie stwarza poważane zagrożenie dla bezpieczeństwa przetwarzanych informacji w systemach prywatnych czy należących do korporacji.

Środki zaradcze:

– Zawsze na bieżąco monitoruj publikowane informacje o wykrytych błędach w oprogramowaniu czy też wykrytych lukach bezpieczeństwa.
–  Zawsze przeprowadzaj aktualizacje na bieżąco i sprawdzaj czy wykonują się one regularnie.
– Stosuj dodatkowe środki bezpieczeństwa dla swoich systemów, takie jak: IPS, IDS, FireWall, Antywirus, itp.
–  Szkól swoich pracowników na bieżąco w odniesieniu do nowych zagrożeń oraz rozwiązań bezpieczeństwa.
–  Kontroluj regularnie poprawności przeprowadzonych uaktualnień.
– Wymieniaj się doświadczeniami z innymi firmami, nawiąż współpracę z CERT.

4. Ataki przeprowadzane przy wykorzystaniu mediów społecznościowych

Czwartą najczęściej stosowaną metodą jest wykorzystanie do ataków mediów społecznościowych takich jak: Facebook, Twitter, LinkedIn lub innych popularnych portali społecznościowych. Zagrożenia związane z mediami społecznościowymi przybierają zazwyczaj formę nieuczciwych kampanii, podszywania się pod strony, które wyglądają podobnie lub są identyczne do stron znanych osób, przyjaciół. Nierzadko media społecznościowe proszą o instalację jakiegoś oprogramowania (np. na Facebooku krąży phishing, który sugeruje, iż zainstalowanie wtyczki do danego konta umożliwi sprawdzenie odwiedzających profil) lub dostarczają nieprawdziwe informacje (np. o umieszczeniu nagich zdjęć w Internecie i nakłonieniu na kliknięcie zamieszczonego linku, pod którym znajduje się już sprawowana strona, której celem jest wyłudzenie danych logowania do konta na Facebooku). Rozsyłane kampanie w mediach społecznościowych są bardzo skuteczne, lecz krótkotrwałe, na zastosowane mechanizmy wykrywające oraz na szybkie reagowanie na zgłoszenia przez administratorów. Przestępcy wykorzystują naiwność użytkowników i, podobnie jak we wszystkich powyżej opisanych przypadkach, techniki inżynierii społecznej. Wiele ataków na firmy, duże korporacje jest poprzedzonych atakami na media społecznościowe, gdzie pracownicy mają swoje konta. Spowodowane to jest tym, że często pracownicy mają takie same lub podobne hasła dostępowe do mediów społecznościowych i systemów korporacyjnych. Ataki na media społecznościowe będą przybierać na sile i należy spodziewać się wzrostu ich liczby jak i zwiększenia stopnia ich zaawansowania.

Środki zaradcze i przeciwdziałanie:

–  Edukacja użytkowników i pracowników z potencjalnych zagrożeń.
–  Stosowanie dwuskładnikowego logowania do mediów społecznościowych.
– Nieprzyjmowanie do znajomych wszystkich, którzy zapraszają.
– Posiadanie wśród znajomych wyłącznie osób, które są nam znane i co do których mamy    pewność, że kryją się za danym kontem.
–  Zgłaszanie administratorom serwisów wszelkich podejrzanych działań.

 5. Ataki typu APT – Advanced Persistent Threats – bardzo zaawansowane i złożone ataki.

Piątym najgroźniejszym, z punktu widzenia bezpieczeństwa informatycznego korporacji i administracji państwowej, rodzajem ataków są ataki typu APT. To nic innego jak zaawansowana i długotrwała inwigilacja sieci korporacyjnej przez wyspecjalizowane, zdeterminowane i skoordynowane grupy przestępcze czy też rządy państw zainteresowanych wykradzeniem tajnych i strategicznych informacji przetwarzanych w sieciach komputerowych. Obecnie istnieją wyspecjalizowane grupy przestępcze, które zajmują się tylko tego typu działalnością. Ataki APT zwykle poprzedzone są bardzo wyspecjalizowaną i dedykowaną kampanią phishingową, której priorytetowym zadaniem jest zdobycie tak zwanego przyczółku umożliwiającego rozpoczęcie inwigilacji całej infrastruktury poprzez instalację różnego oprogramowania pozwalającego na przejęcie pełnej i skutecznej kontroli. Każdy z ataków ATP posiada cztery etapy działania:

– Rozpoznanie
– Wstępna infekcja
– Przejęcie kontroli
– Infiltracja

Środki zaradcze i przeciwdziałanie:

–  Szkolenie i budowanie świadomości pracowników.
–  Wysoce specjalistyczne szkolenia dla służb bezpieczeństwa w korporacjach.
– Stosowanie najnowocześniejszych środków technicznych do monitorowania infrastruktury.
–  Stosowanie się do procedur i ścisłe ich przestrzeganie.
– Prowadzenie wysoko zaawansowanych analiz zdarzeń w infrastrukturze.
–  Stosowanie nowoczesnych rozwiązań brzegowych.
– Bieżące monitorowanie pojawiających się nowych zagrożeń i przeciwdziałanie im.
– Bieżące uaktualnienie systemów, sprzętu czy oprogramowania o poprawki czy łatanie   wykrytych podatności.

Wszystkie wymienione ataki pomimo swojej odmienności mają wspólną cechę jaką jest socjotechnika wykorzystywana w większym bądź mniejszym stopniu. Niezależenie od stopnia jej wykorzystania będzie ona coraz bardziej ewoluowała stając się z upływem czasu doskonalsza. Najsłabszym ogniwem jest człowiek, który w systemach zaczyna spełniać coraz mniejszą rolę. Zmniejszenie tej roli jest również podyktowane faktem, że ilość informacji, którą należy przetworzyć w krótkim czasie, jest za duża aby człowiek był w stanie ją racjonalnie zagregować. Ataki będą natomiast bardziej zaawansowane, spersonalizowane i przygotowywane z wielką dbałością i starannością.

Piotr Berger, pełnomocnik dyrektora Pionu Informatyki i Telekomunikacji Poczty Polskiej.

dodaj komentarz
Wpisane w Aktualności | Tagi: , . Link bezpośredni.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *


*

WP-SpamFree by Pole Position Marketing