Czytasz drugi artykuł z cyklu o najpopularniejszych rodzajach ataków w cyberprzestrzeni. W pierwszym artykule Marcin Bokszczanin przeanalizował najnowsze statystyki firmy KPMG dotyczące zabezpieczeń firm w Polsce przed cyberatakami. Phishing, malware, kradzież danych – tylko co trzecia firma uniknęła kłopotów. W obecnym artykule Andrzej Kozłowski tłumaczy, na czym polegają najpopularniejsze zagrożenia i jak im zapobiegać.
Krajobraz zagrożeń w cyberprzestrzeni stale ewoluuje. Przestępcy prowadzą swoisty wyścig z organizacjami odpowiedzialnymi za bezpieczeństwo oraz ze służbami porządkowymi. Używane przez nich techniki ataków stają się coraz groźniejsze. Poniżej wytypowaliśmy kilka z obecnie najczęściej występujących i też najgroźniejszych rodzajów ataków.
Ransomware
Ransomware jest typem złośliwego oprogramowania. Jego celem jest zaszyfrowanie danych znajdujących się na dysku lub zablokowanie dostępu do systemu komputerowego lub plików. Przestępcy utrzymują blokadę do czasu, kiedy ofiara nie zapłaci okupu. Przestępcy domagają się najczęściej zapłaty w postaci kryptowalut. Dbają bowiem o to, żeby trudno było namierzyć taką „transakcję”.
Po zaszyfrowaniu plików pojawia się informacja z żądaniem okupu w kryptowalutach. Często zawiera ona instrukcję, jak okup powinien zostać opłacony. Może pojawić się też ostrzeżenie, że dane zostaną bezpowrotnie utracone, jeśli płatność nie zostanie dokonana przed konkretnym terminem. Nie zawsze po zapłaceniu okupu ofiara ataku odzyskuje pełen dostęp do swoich systemów i danych. Zarówno eksperci, jak i organy ścigania zachęcają, by powstrzymywać się od negocjacji z przestępcami i unikać płacenia okupu.
Najczęściej ransomware dostaje się do systemu informatycznego ofiary poprzez e-mail phishingowy ze złośliwym załącznikiem, który podszywa się pod plik, któremu użytkownicy ufają. Poza najczęstszą metodą e-mailową ransomware może zostać dostarczony poprzez wykorzystanie podatności (błędów) w aplikacjach, systemach i usługach. Może to być też dostęp poprzez nieprawidłowo zabezpieczony dostęp do stacji roboczych.
Ransomware jest poważnym zagrożeniem dla firm, ponieważ poza utratą dostępu do danych, coraz częściej przestępcy grożą również opublikowaniem informacji, co może zagrozić reputacji przedsiębiorstwa oraz grozić prawnymi konsekwencjami.
Co robić z ransomware?
Do jednych z największych ataków ransomware należy zaliczyć WannaCry z 2017 roku autorstwa północnokoreańskiej grupy Lazarus. Atak dotknął ponad 200 tys. urządzeń końcowych w ponad 150 państwach, a straty szacowano na około 4 miliardy dolarów.
Aby uchronić się przed ransomware, należy dokonywać regularnych kopii zapasowych najważniejszych danych. Liczy się również kwestia ich przechowywania. Powinny być one umieszczane w systemach offline, by uniknąć zaszyfrowania w momencie ataku. Ponadto oprogramowanie i systemy powinny być regularnie aktualizowane, żeby zapobiec wykorzystaniu podatności przez atakujących.
Nie należy też zapominać o ciągłym edukowaniu personelu na temat zagrożeń phisingowych i najlepszych praktyk bezpieczeństwa oraz używaniu podstawowego oprogramowania antywirusowego.
Ransomware stał się na tyle dużym problemem, że 50 państw dołączyło do Międzynarodowej Inicjatywy Zwalczania Ransomware. Celem uczestników jest zbudowanie kolektywnej odporności przeciwko ransomware oraz współpraca mająca na celu zwalczanie aktorów odpowiedzialnych za rozprzestrzenianie tego złośliwego oprogramowania.
DDOS
Rozproszona odmowa dostępu do usługi (Distributed Denial of Service, DDoS) jest rodzajem ataku, którego głównym celem jest zakłócenie i przerwanie ciągłości działań operacyjnych. Atak polega na tym, że urządzenia końcowe podłączone do internetu są wykorzystywane do wysłania bardzo dużej liczby pakietów do serwera. Celem jest doprowadzenie do przeciążenia serwera i uniemożliwienie normalnego działania stron internetowych i innych usług internetowych.
DDoS są dokonywane za pomocą wielu urządzeń. Najczęściej tworzą one botnet, czyli grupę komputerów zainfekowanych złośliwym oprogramowaniem i zdalnie sterowanych przez jego twórców. Czas ich trwania jest różny, może to być kilka godzin, dni, a nawet tygodni. Ich celem jest wywołanie możliwie największego zakłócenia i utrudnienia dostępu. Motywacje do ich przeprowadzenia mogą być różne: od wymuszenia okupu, niszczenia reputacji, działań sabotażowych po akcje aktywistyczno-polityczne.
Bardzo często tego typu ataki towarzyszą konfliktom i wojnom pomiędzy państwami. W 2007 roku infrastruktura Estonii została zaatakowana, a atak miał miejsce w trakcie sporu między Moskwą a Tallinem o przeniesienie pomnika poświęconego Armii Czerwonej z centrum estońskiej stolicy na obrzeża. Ataki DDoS towarzyszyły również rosyjskiej agresji na Gruzję i Ukrainę, a ich celem było sparaliżowanie komunikacji przeciwnika.
Jeden z największych ataków DDoS był wymierzony w głównego dostawcę usług DNS w 2016 roku. Został zrealizowany przy pomocy botnetu Mirai złożonego z elementów internetu rzeczy. Jego efektem były przerwy w dostawach takich usług jak Netflix, PayPal, Visa, Airbnb, Amazon czy też wyłączanie stron „The New York Timesa” czy Reddita.
W celu ochrony przed atakami DDoS organizacje rozmieszczają różnorodne mechanizmy obrony. Najczęściej to zabezpieczenia typu firewall i systemy wykrywania i zapobiegania włamaniom umożliwiające wykrywanie i blokowanie ataków w czasie rzeczywistym. Jednym z mechanizmów obrony jest usługa CDN (Content Delivery Network), która pomaga w rozłożeniu ruchu internetowego. To może pomóc w absorpcji i ograniczeniu wpływu ataków DDoS na serwery docelowe.
Phishing
To jeden z najpopularniejszych ataków wykorzystujących inżynierię społeczną. Najczęściej przybiera on formę e-maila lub smsa. Jego celem jest oszukanie użytkowników i spowodowanie, że podejmą oni konkretne działania zgodne z zamierzeniami atakujących. Przestępcy mogą się podszywać pod różnorodne instytucje czy osoby z branży bankowej, telekomunikacyjnej, kurierskiej, administracyjnej i innej.
Wiadomości phishingowe mogą być przygotowane masowo i wysłane do jak największej liczby użytkowników. Mogą być też skrojone pod konkretną osobę i wtedy przygotowanie takiej wiadomości trwa dłużej i często poprzedzone jest zbieraniem danych z otwartych źródeł na temat potencjalnego celu.
Jednym z bardziej znanych incydentów bezpieczeństwa spowodowanych przez phising był przypadek Johna Podesty. To szef sztabu kandydatki Partii Demokratycznej w wyborach prezydenckich w USA w 2016 roku. On i jego współpracownik dali się nabrać na maila phisignowego podszywającego się pod Google. Spowodowało to, że rosyjscy hakerzy uzyskali dostęp do jego skrzynki pocztowej i do treści. Zebrane dane zostały potem wykorzystane w kampanii wpływu mającej na celu zaszkodzenie pozycji Hillary Clinton.
Ochrona przed phishingiem polega w dużej mierze na podjęciu odpowiednich działań edukacyjnych w firmie. Pracownicy powinni przechodzić regularne testy przeciwdziałania phisingowi. Narzędzia do nich są ogólnodostępne w internecie. Użytkownicy powinni być szkoleni, aby weryfikować wiarygodność wiadomości, których się nie spodziewali.
W szczególności chodzi o sprawdzanie prawdziwości pochodzenia wrażliwych informacji czy też sprawdzanie adresów otrzymanych linków. Sprawdzajmy adresy linków przed ich kliknięciem! Warto również wprowadzić w organizacji, tam gdzie jest to możliwe, weryfikację dwuetapową.
SQL Injection
Ataki typu SQL Injection to popularna technika ataku. Polega ona na wstrzykiwaniu złośliwego kodu SQL do zapytań. Chodzi o to, aby zmanipulować bazę danych i uzyskać dostęp do nieautoryzowanych informacji takich jak np. numery kart kredytowych czy dane o użytkownikach. Atak tego typu umożliwiają również usunięcie danych z baz.
SQL to język wykorzystywany do pobierania, zmieniania i usuwania informacji z baz danych. Przykładowo dzięki SQL strona internetowa może zapytać użytkownika o nazwę i hasło, a następnie zweryfikować, czy podane informacje zgadzają się z tymi w bazie.
Atak SQL można skierować przeciwko dowolnej stronie czy aplikacji opartej na bazie SQL. Cyberprzestępcy wykorzystują programy umożliwiające zautomatyzowanie ataków. To powoduje, że proceder jest jeszcze łatwiejszy. Ponadto ataki typu SQL jest bardzo trudno wykryć, przez co są one niezwykle skuteczne.
Ochrona przed atakami typu SQL polega w dużej mierze na ich wykryciu i następnie zablokowaniu w warstwie sieci i aplikacji. Polega to na stosowaniu zaawansowanego filtrowania, stworzenia białej i czarnej listy, odpowiedniej modyfikacji zapytań czy usuwania zbędnych, nieużywanych plików. Te środki zapobiegawcze są wdrażane przez programistów i administratorów.
Takie działania mogą być jednak niewystarczające i dlatego konieczne może być zastosowanie środków chroniących infrastrukturę w warstwie sieciowej. Mogą to być zaawansowane urządzenia sieciowe przeznaczone do wykrywania i blokowania ataków w czasie rzeczywistym.
Atak typu man in the middle (MITM)
Ataki typu MITM polegają na przejęciu danych przesyłanych między dwiema stronami przez nieautoryzowaną trzecią osobę. Cyberprzestępca przechwytuje wysłane komunikaty, w celu kradzieży poufnych informacji, podsłuchiwania lub podszywania się pod inną osobę. Ofiara wysyła w sieci wrażliwe informacje, te służące np. do logowania, które zgodnie z planem mają dotrzeć do odbiorcy (użytkownika, aplikacji lub strony internetowej).
W środku komunikacji znajduje się jednak ktoś, kto obserwuje przesyłane dane i jest w odpowiednim czasie gotowy je przechwycić i manipulować komunikacją. To właśnie ten „człowiek pośrodku”. Do ataków typu MITM można zaliczyć fałszowanie adresów IP (Spoofing), co może dać hakerom dostęp do urządzenia lub aplikacji z pominięciem procesów uwierzytelniania.
Innym rodzajem ataków jest fałszowanie DNS poprzez wprowadzenie serwera DNS strony i następnie zmiana adresu strony www. Zmieniony wpis DNS przekierowuje ruch przychodzący na stronę cyberprzestępców. Dużym zagrożeniem jest również fałszowanie bezpiecznego adresu strony, czyli SSL.
W powszechnym wyobrażeniu SSL był odbierany jako gwarant bezpieczeństwa, dzisiaj sytuacja uległa zmianie. W ramach fałszowania SSL cyberprzestępcy przejmują komunikację między ofiarą a serwerem strony, do której chcą uzyskać dostęp. Ukrywają złośliwą stronę za istniejącym i zaufanym adresem URL.
Możliwości ataków MITM są naprawdę duże, a cyberprzestępcy mają dostęp do wielu zautomatyzowanych narzędzi, które mogą wykonywać połowę pracy za nich. Niestety ataki te coraz częściej umożliwiają również podsłuchiwanie mimo komunikacji szyfrowanej.
Co trzeba by zrobić, żeby zmniejszyć ryzyko ataku MITM? Warto zainwestować w klucze zabezpieczające U2F do weryfikacji dwuetapowej oraz korzystać z VPN-u odpowiedzialnego za szyfrowanie całej komunikacji. Dzięki temu dane będą bezpieczniejsze.
Warto również pamiętać o monitorowaniu adresów przeglądarek internetowych w poszukiwaniu podejrzanych adresów stron www. Niestety wielu użytkowników nie sprawdza w swoich przeglądarkach internetowych adresów stron. Sygnałem, że jesteśmy ofiarą ataków MITM, może też być niespodziewane rozłączanie się sieci lub wolno działająca sieć domowa. Dlatego – przy wystąpieniu takich sytuacji – warto się bliżej przyjrzeć sprawie.
To tylko ułamek zagrożeń…
Wymienione wyżej rodzaje ataków to tylko ułamek zagrożeń w cyberprzestrzeni, które zagrażają firmom i użytkownikom. Warto pamiętać, że techniki działań cyberprzestępców stale się zmieniają i ewoluują. Przestępcy starają się pokonać coraz nowsze zabezpieczenia.
Nie ma uniwersalnej metody ochrony, ale na pewno przydaje się zawsze rozwaga w poruszaniu się po cyberprzestrzeni. Kiedy jesteśmy rozważni? Na przykład kiedy nie klikamy we wzbudzające podejrzenia strony czy załączniki. Co więcej? Aktualizujemy oprogramowanie, mamy ochronę antywirusową. To zwiększa naszą odporność przed cyberatakami. W ten sposób powodujemy, że cyberprzestępcy mają mniejszą ochotę nas atakować, ponieważ wybiorą zdecydowanie łatwiejszy cel.
Czytaj też: Cyberbezpieczeństwo w bankach. Technologie przyszłości
Źródło zdjęcia: Michael Geiger/Unsplash