Kategoria: Security

Według 48% polskich pracowników w firmach potrzebne są zasady związane z cyberbezpieczeństwem – wynika z badania przeprowadzonego na zlecenie firmy Sophos. Ale jedynie 42% kadry deklaruje ich znajomość i przestrzeganie. Równocześnie co dziesiąty zatrudniony przyznaje, że nie stosuje się do firmowej polityki bezpieczeństwa, np. gdy się spieszy. Polscy pracownicy są bardziej sceptyczni w stosunku do rozwiązań ochronnych niż badani z Czech i Węgier – aż 7% wątpi w konieczność ich wprowadzania.

W dużych firmach większa świadomość, ale częstsze zaniedbania

Na potrzebę stosowania zasad związanych z cyberbezpieczeństwem wskazywali przede wszystkim pracownicy z dużych firm, zatrudniających ponad 250 osób. Konieczność wprowadzania ograniczonego dostępu czy dwustopniowego logowania widziało niemal 57% z nich. W małych firmach, zatrudniających do 50 pracowników, potrzebę wprowadzania zasad bezpieczeństwa widziało tylko 43% respondentów. Zatrudnieni w większych przedsiębiorstwach częściej deklarowali też, że wiedzą, dlaczego stosowane są zasady bezpieczeństwa i ich przestrzegają (46% w porównaniu z 41% w MŚP). Co ciekawe, pracownicy mniejszych firm częściej wskazywali natomiast, że dodatkowe zasady bezpieczeństwa nie przeszkadzają im w pracy. Rzadziej też pomijają je np. gdy się spieszą (8% w porównaniu z 12% w dużych firmach).

– Badanie wskazuje, że polskie firmy, szczególnie małe i średnie, wciąż mają sporo do nadrobienia w kwestii edukowania kadry. Co dziesiątemu pracownikowi nie wyjaśniono w jakim celu stosowana jest polityka bezpieczeństwa. Aby kadra przestrzegała zasad, musi przede wszystkim wiedzieć po co są one wdrażane – podkreśla Grzegorz Nocoń, inżynier systemowy w firmie Sophos.

Czy dodatkowe zasady nie są utrudnieniem?

Zaledwie 4% ankietowanych uważa konieczność dwuskładnikowego logowania czy stosowanie ograniczonego dostępu za utrudniające pracę. Częściej taką opinię wyrażali zatrudnieni w dużych przedsiębiorstwach. Aż 79% pracowników nie dostrzega negatywnego wpływu zabezpieczeń na sposób wykonywania swoich obowiązków. Polacy wyróżniają się w porównaniu z pracownikami z Czech, gdzie aż 1/5 kadry uważa dodatkowe zasady za utrudnienie oraz Węgier, gdzie trudności sygnalizowało 7%.

– Polityka cyberbezpieczeństwa może wydawać się utrudnieniem i wzbudzać wśród przedsiębiorców obawy, że kadra będzie omijała zasady. Okazuje się jednak, że to błędne przekonanie. W rzeczywistości zdecydowana większość pracowników nie odczuwa niedogodności związanych ze stosowaniem kontroli dostępu do plików czy dwuskładnikowego logowania do systemów. To kolejny argument za tym, aby takie rozwiązania były powszechnie stosowane w firmach – zauważa Grzegorz Nocoń.

Próby wykorzystania luki Log4Shell najczęściej pochodziły z Rosji, USA, Chin i Europy Zachodniej – wynika z analizy przeprowadzonej przez ekspertów Sophos. Liczba udanych ataków, w ramach których skorzystano z tej podatności, była dotąd niższa niż się spodziewano, a bezpośrednie zagrożenie masowymi incydentami minęło. Jednak luka pozostanie celem cyberprzestępców przez wiele kolejnych lat. Kto może stać za atakami i jak zmienia się ich natężenie?

Najwięcej ataków przed świętami

W ciągu tygodnia od ujawnienia luki Log4Shell liczba prób jej wykorzystania zaczęła szybko rosnąć – najwięcej odnotowano między 20 a 23 grudnia. W styczniu prób ataku było znacznie mniej. Nie oznacza to jednak, że zmalał poziom zagrożenia. Początkowo próby obejmowały zarówno cyberataki z wykorzystaniem koparek kryptowalut czy ransomware, jak i działania specjalistów ds. bezpieczeństwa, którzy chcieli ocenić jak bardzo ich systemy są podatne na zagrożenia. Teraz coraz większy odsetek incydentów to prawdziwe ataki, które nadal stanowią poważne ryzyko dla firmowych systemów. 

Próby głównie z USA, Rosji i Chin

Od ujawnienia luki 9 grudnia do końca 2021 roku próby wykorzystania podatności były podejmowane przede wszystkim z adresów IP pochodzących z USA, Rosji oraz Chin. Znaczny udział miały też kraje Europy Zachodniej, jak Francja i Niemcy, oraz Ameryki Łacińskiej. Na początku 2022 roku dominacja adresów IP z Rosji i Chin zaczęła się zmniejszać. Według analityków Sophos miało to związek ze spadkiem liczby ataków wykorzystujących złośliwe koparki kryptowalut, których dokonywało kilka grup z tych regionów.

– Warto zaznaczyć, że kraje, których adresy IP dominowały na początku, mają dużą liczbę mieszkańców i wykwalifikowanych specjalistów ds. cyberbezpieczeństwa. Znaczący udział Stanów Zjednoczonych czy Niemiec prawdopodobnie odzwierciedla rozwiniętą infrastrukturę centrów danych Amazon, Microsoft czy Google, które się tam znajdują. Trzeba też pamiętać, że niekoniecznie musi istnieć związek między adresami IP, z których skanowano sieć w poszukiwaniu luki, a rzeczywistą lokalizacją osób podejmujących takie działania – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos. Mechanizm typowego ataku wygląda tak, że zaatakowane urządzenia łączą się z serwerami przestępców, aby pobrać złośliwe oprogramowanie lub przesłać skradzione dane. W przypadku luki Log4Shell mapa takich połączeń znacząco różni się od mapy adresów IP. Najwięcej notowano ich w Indiach oraz Stanach Zjednoczonych, wysokie miejsce zajęła też Wielka Brytania, RPA czy Australia. Nie jest jasne, dlaczego akurat te kraje dominują wśród miejsc docelowych ruchu związanego z luką Log4Shell. Możliwe, że jest tam dużo grup tropiących podatności, które liczą na nagrodę za szybkie wyłapanie zagrożenia i ostrzeżenie firm.

Przestępcy czekają na dobry moment

Według analityków Sophos bezpośrednie zagrożenie masowym wykorzystaniem luki Log4Shell zostało zażegnane. Powaga sytuacji zmobilizowała świat IT i skłoniła do współpracy specjalistów ds. cyberbezpieczeństwa oraz firmy oferujące usługi w chmurze czy pakiety oprogramowania. Jednak podatność może pozostawać niewykryta wewnątrz niektórych aplikacji i systemów. Prawdopodobnie pozostanie więc powszechnym celem cyberataków w kolejnych latach.

– Przestępcy mogli zabezpieczyć sobie dostęp do sieci z wykorzystaniem tej luki, ale jeszcze nie przeszli do aktywnej fazy ataku i zainstalowania złośliwego oprogramowania, więc naruszenie nadal pozostaje niewykryte. Podobne działania obserwowaliśmy ze strony grup powiązanych z Iranem czy Koreą Północną, które włamywały się do sieci przez luki w zabezpieczeniach VPN i czekały nawet kilka miesięcy zanim użyły zdobytej „furtki” do cyberataku. Jak najszybsze określenie, w których aplikacjach używana jest biblioteka zawierająca lukę i zaktualizowanie tego oprogramowania pozostaje więc kluczowe dla ochrony firm i użytkowników – podkreśla Grzegorz Nocoń.

Według raportu analityków Sophos, w 2022 roku wśród wszystkich rodzajów cyberataków nadal najpopularniejszy będzie ransomware oraz cryptojacking. W obie te techniki zaangażowane są kryptowaluty – w pierwszym przypadku uzyskiwane są przez hakerów jako okup, a w drugim nielegalnie wykopywane na urządzeniu ofiary. Cyberprzestępcy będą coraz szybciej wykorzystywać luki w urządzeniach i systemach do instalowania złośliwego oprogramowania. Na znaczeniu zyskają też techniki umożliwiające generowanie fałszywych obrazów i dźwięku, które będą wykorzystywane m.in. w atakach phishingowych czy kampaniach dezinformacyjnych.Ransomware coraz szerzej dostępny
W ubiegłym roku oprogramowanie ransomware odpowiadało za aż 79% wszystkich incydentów bezpieczeństwa. Należy zakładać, że metody działania cyberprzestępców w kolejnych latach będą coraz bardziej adaptowane tak, aby dostarczać kod ransomware’u i cryptojackingu na urządzenia ofiar. Jednocześnie ataki stają się bardziej rozproszone i dostępne dla mniej doświadczonych hakerów. Twórcy złośliwego oprogramowania coraz częściej za opłatą udostępniają je podmiotom zewnętrznym, które zajmują się np. włamaniami do sieci. Działania pojedynczych grup w nadchodzących miesiącach ustąpią miejsca większej liczbie ataków prowadzonych w modelu Ransomware as a Service (RaaS).

Większa presja na opłacenie okupu
W 2022 roku cyberprzestępcy będą rozwijali metody wyłudzania okupów od ofiar ransomware’u. Atakujący przebywają w zinfiltrowanej sieci nawet przez kilka dni lub tygodni, często mają też dostęp do wszystkich firmowych systemów. Zaczynają więc wykorzystywać ten czas na szukanie wrażliwych danych i ich wykradanie. Po zaszyfrowaniu zasobów żądają okupu pod groźbą nie tylko utraty informacji, ale też upublicznienia dokumentów, danych klientów czy kodów źródłowych. W obawie przed karami finansowymi, spadkami kursu akcji czy konsekwencjami prawnymi, wiele firm decyduje się zapłacić przestępcom. Metody wywierania presji będą intensyfikowane, zaobserwowano już wykonywane do ofiar telefony z pogróżkami czy dodatkowe nękanie za pomocą ataków DDoS (Distributed Denial of Service).

Ataki ukierunkowane, ale masowe
W tym roku wzrośnie również popularność ataków hybrydowych. Do tej pory przestępcy stosowali dwie metody. Pierwszą były ataki typu „shotgun”, w których spamowali jak największą liczbę osób lub optymalizowali treść złośliwych stron internetowych pod kątem ich pozycjonowania w wyszukiwarkach (SEO), aby kierować na nie niczego nieświadomych użytkowników. Drugim sposobem były ataki ukierunkowane, wymierzone w precyzyjnie wybraną grupę osób, np. pracujących w danej firmie lub na określonym stanowisku. W 2022 roku coraz więcej będzie ataków łączących obie te metody – cyberprzestępcy będą starali się „zwabić” jak najwięcej ofiar, ale zaatakują tylko te, które spełniają określone kryteria (np. pracujące w obsłudze klienta).Sfabrykowane filmy i głos pomogą w dezinformacji
W najbliższych latach przestępcy będą również rozwijali ataki typu „watering-hole”, wykorzystujące zaawansowane techniki tworzenia fałszywych obrazów i dźwięku. Sfabrykowane filmy lub głosy będą potężną bronią, wykorzystywaną w wiadomościach phishingowych, kampaniach dezinformacyjnych i innych działaniach socjotechnicznych. Systemy bazujące na sztucznej inteligencji, takie jak OpenAI czy Google AI, już teraz mogą samodzielnie pisać działający kod źródłowy. Jest więc kwestią czasu, gdy cyberprzestępcy zaadaptują sieci neuronowe do tworzenia złośliwego oprogramowania. Ta technika otwiera jednak nowe możliwości także dla specjalistów ds. cyberbezpieczeństwa – superkomputery mogą rozwiązywać problemy ochrony środowisk IT obecnie uważane za nierozwiązywalne.

Wykrywanie ataku równie ważne jak zapobieganie
Szybkość, z jaką przestępcy rozwijają działania, sprawia, że kluczowe staje się blokowanie lub spowalnianie ataków. W grudniu ubiegłego roku w ciągu tygodnia od odkrycia luki Log4j analitycy Sophos odnotowali kilkaset tysięcy prób ataków wykorzystujących tę podatność. Nawet jedno zainfekowane urządzenie może dać przestępcom dostęp do całej sieci i umożliwić sparaliżowanie działania firmy. Osoby odpowiedzialne za bezpieczeństwo będą musiały badać wszystkie incydenty, nawet pozornie nieistotne, aby szybko wykrywać intruzów w sieci. Dotąd rozwiązania ochronne koncentrowały się przede wszystkim na powstrzymywaniu złośliwego kodu przed zainstalowaniem i uruchomieniem na urządzeniach. W najbliższych latach będą coraz bardziej rozwijane także w kierunku wykrywania samych prób ataków.

9 grudnia ujawniona została poważna luka w Log4J Apache’a, bardzo popularnym systemie logowania używanym przez twórców aplikacji internetowych i serwerowych opartych na Javie i innych językach programowania. Luka dotyczy szerokiego zakresu usług i aplikacji na serwerach, co czyni ją niezwykle niebezpieczną i wymaga pilnych aktualizacji dla tych aplikacji serwerowych.

– Dostępne informacje sugerują, że luka mogła być wykorzystywana nawet przez tygodnie przed jej publicznym ujawnieniem. Przestępcy stosują różne techniki maskowania swoich złośliwych działań, aby oszukać programy ochronne. Zaczęli od kopania kryptowalut, ale wkrótce prawdopodobnie zaczną intensyfikować i zmieniać swoje metody. Pojawią się kolejne rodzaje ataków takie jak ransomware, które polegają na szyfrowaniu danych i żądaniu okupu za ich odblokowanie – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.

Sophos podjął błyskawiczną reakcję na wykrytą lukę w zabezpieczeniach, przeprowadził analizę czy i w jakim stopniu podatność dotyczy produktów znajdujących się w ofercie.

SophosLabs wdrożyło szereg sygnatur IPS dla Sophos Firewall, Sophos Endpoint i Sophos UTM, które skanują ruch próbujący wykorzystać lukę Log4J. Zespół Sophos Managed Threat Response (MTR) aktywnie monitoruje maszyny klientów pod kątem aktywności post-exploit. Klienci korzystający z Sophos InterceptX Advanced z XDR mogą użyć zapytania, aby pomóc zidentyfikować podatne komponenty Log4J w ich środowisku.Źródło grafiki: https://news.sophos.com/en-us/2021/12/12/log4shell-hell-anatomy-of-an-exploit-outbreak/?cmp=30728

Trudności w znalezieniu luki

Powszechne wykorzystanie biblioteki Log4j w usługach i aplikacjach sprawia, że luka Log4Shell jest wyjątkowo trudna do wykrycia i załatania. Wiele podatności ogranicza się do konkretnych produktów lub platformy – np. luka ProxyLogon i ProxyShell w Microsoft Exchange. Jednak Log4Shell dotyczy oprogramowania, które jest wykorzystywane przez wiele rozwiązań i produktów. Może więc być obecna w wielu miejscach firmowych sieci i systemów, nawet w oprogramowaniu tworzonym na użytek wewnętrzny.

– Podstawowym sposobem ochrony firmowych systemów jest zainstalowanie najnowszej aktualizacji udostępnionej przez Apache: Log4j 2.15.0. Może to jednak nie być takie łatwe, szczególnie jeśli przedsiębiorstwo nie wie, gdzie wykorzystywana jest biblioteka. Dlatego równie ważne jest znalezienie wszystkich systemów, które mogą być podatne na atak z wykorzystaniem luki Log4Shell. Osoby odpowiedzialne za bezpieczeństwo powinny dokładnie śledzić zdarzenia w swojej sieci, aby móc wykryć i usunąć wszelkie podejrzane incydenty. Firmy powinny też pamiętać o konieczności stosowania rozwiązań, które chronią przed wykorzystaniem luk w zabezpieczeniach przez przestępców – radzi Grzegorz Nocoń.

O skali zagrożenia oraz mechanizmach związanych z powstaniem luki, specjaliści Sophos szczegółowo piszą tutaj.

Już jutro, we wtorek 15 grudnia, specjaliści Sophos przeanalizują skutki powstałej w Apache Log4j luki. Na wydarzenie można zarejestrować się tutaj.

Branża handlowa najczęściej ze wszystkich doświadcza ataków ransomware. Według analizy ekspertów firmy Sophos, aż 44% należących do niej firm doświadczyło w ostatnim roku cyberataku, w którym przestępcy zaszyfrowali dane i żądali okupu za ich odblokowanie. Koszty związane z obsługą tych zdarzeń, w tym przestoje, naprawa systemów IT czy odpływ klientów, wynosiły średnio prawie 2 mln dolarów. Obecnie trwa najbardziej „gorący” okres zakupowy w roku, a dane klientów to cenna waluta dla przestępców. Co mogą zrobić sklepy i konsumenci, żeby je chronić?Sklepy atrakcyjnym celem dla przestępców

Firmy z branży handlowej przechowują wiele poufnych danych osobowych klientów. Cyberprzestępcy mogą sprzedać je na czarnym rynku lub wykorzystać w kolejnych atakach. Pandemia i sezon świąteczny dodatkowo ułatwiają atakującym zadanie – skokowo wzrasta liczba transakcji online i ruch na stronach internetowych sklepów, co dokłada pracy zespołom IT. Wiele placówek handlowych korzysta ze starszych i rozproszonych systemów, trudnych w aktualizacji, co dodatkowo utrudnia ochronę zasobów. Prawie 2/3 firm z branży, które nie doświadczyły ataku ransomware w ubiegłym roku, spodziewa się go w przyszłości.

– Podmioty handlowe są szczególnie atrakcyjnym celem cyberataków, gdyż przetwarzają wiele danych, takich jak numery kart płatniczych, adresy e-mail, telefony czy daty urodzenia. Dlatego każdy sklep powinien priorytetowo traktować kwestie cyberbezpieczeństwa i inwestować w rozwiązania ochronne, które zablokują ataki. Nie mniej istotne jest szkolenie pracowników, regularne tworzenie kopii zapasowych i plan szybkiego reagowania na incydenty, który pomoże szybko wznowić działalność i minimalizować straty – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.Wysokie koszty ataków dla firm i klientów

Prawie połowa placówek handlowych doświadczyła ataku ransomware w ostatnim roku. W 54% przypadków przestępcom udało się zaszyfrować dane. Co trzecia firma, której dane zablokowano, zapłaciła okup – średnio 147 811 dolarów. Branża handlowa odnotowała też więcej ataków, w których dane zostały wykradzione pod groźbą ujawnienia, niż inne branże (12% w porównaniu ze średnią 7% dla wszystkich branży).

Firmy handlowe ponoszą też wysokie koszty postępowania w przypadku naruszenia danych. Muszą powiadomić wszystkich, których dane wyciekły bądź zostały trwale zablokowane oraz przebudować i zabezpieczyć systemy informatyczne. Straty wynikają również z przestojów w działalności, utraconej reputacji i odpływu klientów – znacznie łatwiej jest im zmienić sklep internetowy niż szkołę czy dostawcę energii.

Co może zrobić klient?

Cyberatak oznacza ryzyko dla sklepu i jego systemów IT, ale też dla klientów, których dane mogą zostać upublicznione. Jeśli w wyniku poważnego ataku wyciekły dane karty kredytowej czy dowodu, należy jak najszybciej zastrzec dokumenty i sprawdzać swoją aktywność kredytową w systemie informacji kredytowej BIK.

– Trzeba też pamiętać, że istnieje ryzyko ataków phishingowych na klientów, których dane wyciekły: przestępcy mają ich numery telefonu i adresy e-mailowe. Dlatego kluczowa jest ostrożność i nieklikanie w linki czy załączniki w wiadomościach. Status przesyłki lepiej sprawdzić samodzielnie, wchodząc na stronę sklepu czy firmy kurierskiej. Warto też dbać o bezpieczeństwo kont w innych serwisach – włączyć uwierzytelnianie dwuskładnikowe, nigdy nie używać tego samego hasła w kilku miejscach, regularnie je zmieniać i pamiętać, że powinno być silne. Aby sprawdzić, czy padło się ofiarą cyberprzestępców, na stronie haveibeenpwned.com można zweryfikować obecność swojego adresu e-mail w bazie wykradzionych danych w wyniku dużych ataków. Warto rozważyć też korzystanie z kart prepaid lub wirtualnych, przeznaczonych tylko do zakupów w sieci – radzi Grzegorz Nocoń.

Raport „State of ransomware in Retail 2021” dostępny jest na stronie: https://www.sophos.com/en-us/medialibrary/pdfs/whitepaper/sophos-state-of-ransomware-retail-2021-wp.pdf

Z analiz firmy Sophos wynika, że aż 95% stron internetowych korzysta z szyfrowanej transmisji treści. Pozostałe 5% to m.in. witryny zawierające narzędzia do śledzenia użytkowników w celach reklamowych (tzw. trackery), niegroźne pod kątem cyberbezpieczeństwa. Przy okazji Black Friday miliony klientów będą przeglądały oferty sklepów internetowych czy korzystały z Wi-Fi w galeriach handlowych podczas zakupów. Internet nigdy nie był bezpieczniejszy dla użytkowników, jednak nie oznacza to, że zagrożenia zniknęły. Czy jest się czego obawiać w kwestii prywatności danych?Wi-Fi bezpieczniejsze niż może się wydawać

Transmisja danych w publicznych sieciach Wi-Fi jest z reguły nieszyfrowana, dlatego przyjęło się, że korzystanie z nich nie jest bezpieczne. Rzeczywiście, praktycznie każdy w zasięgu radiowym (do ok. 100 metrów od punktu dostępowego) może „podejrzeć” informacje przesyłane między urządzeniem użytkownika a stronami, takie jak hasła i loginy, ale tylko wpisywane na niezabezpieczonych witrynach. Aby skutecznie przeprowadzić taki atak, przestępca musi znaleźć się blisko ofiary. Niskie dochody i ograniczony zasięg tej metody powodują, że cyberprzestępcy wolą wykorzystywać inne techniki takie jak phishing czy ransomware, które nie wymagają przebywania w zasięgu wzroku ofiary.

– Dla większości użytkowników działania w publicznych sieciach Wi-Fi są bezpieczne i przeglądanie za ich pomocą Facebooka, poczty elektronicznej czy ofert na Black Friday i Cyber Monday nie niesie większego zagrożenia. Oczywiście, zawsze istnieje pewne ryzyko przechwycenia informacji, ale jeśli nie jesteśmy wysoko postawionym politykiem czy celebrytą możemy założyć, że jest ono niewielkie. Osoby, które mimo wszystko obawiają się o swoje dane, mogą rozważyć korzystanie z VPN oraz funkcji DNS over HTTPS, dostępnej w ustawieniach przeglądarki. Jeśli obawy dotyczą bezpieczeństwa bankowości mobilnej, warto przełączyć się na komórkową transmisję danych na czas dokonywania transakcji – radzi Grzegorz Nocoń, inżynier systemowy w firmie Sophos. Zamknięta kłódka to nie wszystko

W 2013 roku, kiedy Edward Snowden ujawnił jak wiele informacji władze zbierają o użytkownikach, jedynie 27,5% stron internetowych korzystało z szyfrowanej transmisji danych – obecnie to około 95%. Użytkownicy przyzwyczaili się do szukania prefiksu „HTTPS” na początku adresu witryny. Towarzysząca mu zamknięta kłódka nie oznacza jednak, że strona jest w pełni bezpieczna. Nadal może być wykorzystywana do ataków ransomware lub phishingu czy wyłudzania danych. Przestępca może np. przechwycić stronę docelową i przekierowywać ruch na inny adres, pod którym zbiera dane logowania, lub wręcz uzyskać ważny certyfikat dla fałszywej strony phishingowej.

Bezpieczeństwo na barkach sklepów i administratorów

Nawet transmisja danych ze strony, na której są one przesyłane za pomocą protokołu HTTPS, może zostać naruszona przez przestępców, jeśli nie zastosowane jest dodatkowe zabezpieczenie, tzw. HSTS (HTTP Strict Transport Security). Mechanizm ten wymusza używanie szyfrowania, więc przestępca nie może przekierować połączenia na niezabezpieczoną witrynę, aby przechwycić przesyłane informacje. Z analiz badaczy Sophos wynika, że aż 61% stron z zamkniętą kłódką, oznaczonych jako zgodne z HTTPS, nie korzysta z ochrony HSTS, są więc podatne na atak. Nie są to oczywiście witryny, na których przestępcom najbardziej zależy, takie jak media społecznościowe, poczta elektroniczna, aplikacje biurowe, instytucje finansowe czy serwisy randkowe. Wyraźnie widać jednak, że wciąż nie są powszechnie stosowane funkcje, które są dla administratorów stron darmowe i zapewniają znaczną poprawę bezpieczeństwa.

– W ostatnich latach poziom ochrony danych w sieci znacznie się poprawił. Szyfrowanie komunikacji stało się wymogiem, udoskonalono sposoby ochrony użytkowników przed fałszywymi stronami. Dzięki mechanizmom takim jak m.in. HSTS internauci mogą swobodnie przeglądać strony nawet w niezaufanych sieciach Wi-Fi. Oczywiście, problemy związane z cyberbezpieczeństwem nie zostały w pełni rozwiązane, więc niezmiennie ważne jest zachowywanie ostrożności i zdrowego rozsądku. Robiąc zakupy można raczej bez obaw korzystać z publicznej sieci, wciąż trzeba jednak pamiętać, że przestępcy wyłudzają dane podszywając się pod firmy kurierskie, a w wiadomościach z przecenami nakłaniają do klikania w linki prowadzące do złośliwych stron. Sprzedawcy internetowi oraz dostawcy usług powinni więc zadbać o dodatkowe zabezpieczenia – szczególnie tam, gdzie użytkownicy nie są w stanie łatwo dostrzec zagrożeń – podsumowuje Grzegorz Nocoń.

44% pracowników w Polsce wciąż pracuje z domu, całkowicie lub w modelu hybrydowym – wynika z badania firmy Sophos. W trakcie przechodzenia na pracę zdalną co piąty zatrudniony nie otrzymał żadnego wsparcia IT. Połowa firm nie zapewniła kadrze szkoleń z zakresu cyberbezpieczeństwa; częściej dbały o to duże przedsiębiorstwa. W największych podmiotach zwracana jest też baczniejsza uwaga na kontrolowanie dostępu do danych i szyfrowanie połączeń za pomocą VPN.Pracownicy wrócili do biur
W Polsce do pracy w biurze wróciła ponad połowa osób (56%), które na początku epidemii musiały wykonywać swoje obowiązki zdalnie. Podobnie jest u południowych sąsiadów: taki sam odsetek pracuje stacjonarnie w Czechach, a na Węgrzech 44%. Jednak wciąż wiele osób, przynajmniej częściowo, pracuje z domu: w modelu hybrydowym jest to 31% pracowników, całkowicie zdalnie – 13% badanych.Wsparcie techniczne i szkolenia wciąż mało popularne
W Polsce podczas przechodzenia na pracę zdalną 22% pracowników nie otrzymało wsparcia IT, takiego jak pomoc w konfiguracji sprzętu ani szkolenia z zakresu cyberbezpieczeństwa. Z kolei 27% otrzymało tylko wsparcie IT. Na obie formy pomocy mogło liczyć 37% badanych. Tyle samo pracowników otrzymało kompleksowe wsparcie na Węgrzech. W Czechach nieco mniej – 31%. U naszych południowych sąsiadów znacznie częściej zdarzało się, że pracownik przechodząc na pracę zdalną nie otrzymał jakiejkolwiek pomocy (co trzeci w Czechach i 35% badanych na Węgrzech).

– Człowiek stanowi „najsłabsze ogniwo” zabezpieczeń firm przed cyberatakami. Zmiana sposobu pracy, zarówno przejście na pracę zdalną, jak i powrót do biur, to dla pracowników spore wyzwanie. Kadra nie powinna być więc pozostawiona sama sobie. Konieczne jest zwiększanie świadomości o potencjalnych niebezpieczeństwach, takich jak fałszywe maile podszywające się pod kuriera lub współpracownika, niebezpieczne aplikacje i strony, stosowanie tych samych haseł w wielu serwisach. Z naszego badania wynika, że jedynie połowa firm zapewniła szkolenia z zakresu cyberzagrożeń, wciąż jest więc sporo do zrobienia, zwłaszcza w mniejszych przedsiębiorstwach – podkreśla Grzegorz Nocoń, inżynier systemowy w firmie Sophos.

 Większa firma = lepsze wsparcie?
We wszystkich badanych krajach wsparcie w przechodzeniu na pracę zdalną częściej zapewniały duże firmy. W Polsce wśród osób zatrudnionych w przedsiębiorstwach z ponad 250 pracownikami, pomoc działu IT oraz szkolenie z cyberzagrożeń otrzymało 44%. W średnich firmach zatrudniających od 50 do 250 osób na wsparcie mogło liczyć 26% badanych, natomiast w małych (do 50 pracowników) – 32%. Największe przedsiębiorstwa prawie dwukrotnie rzadziej całkowicie pomijały szkolenia i wsparcie techniczne (tylko 15% pracowników pozostawiono bez pomocy, w porównaniu z 27% w firmach do 50 osób).

 Kontrola dostępu najpopularniejszą ochroną
Spośród zabezpieczeń polskie firmy najczęściej korzystają z kontroli dostępu do danych. Aż 71% pracowników ma możliwość korzystania wyłącznie z tych plików, które są im potrzebne. Znacznie częściej takie zasady stosują największe przedsiębiorstwa zatrudniające powyżej 250 osób – aż o 20 pp. więcej niż w przypadku małych firm (odpowiednio 82% i 62%). Polskie przedsiębiorstwa częściej niż czeskie i węgierskie stosują również uwierzytelnianie wieloskładnikowe (przez SMS, token lub aplikację). Wciąż jednak na taki sposób weryfikacji decyduje się jedynie połowa firm (w Czechach 39%, na Węgrzech – 38%). Podobny odsetek korzysta z szyfrowanego połączenia takiego jak VPN (53%). Co ciekawe, w przypadku uwierzytelniania wieloskładnikowego odsetek był niemal taki sam niezależnie od wielkości firmy.

– Kontrola dostępu do danych to podstawowy sposób ochrony, z którego powinny korzystać firmy. Pozwala on minimalizować skutki ewentualnych naruszeń systemu i na bieżąco nadzorować sieć pod kątem niebezpiecznych zdarzeń. Badanie wykazało, że stosuje go większość przedsiębiorstw, co świadczy o ich świadomości dotyczącej cyberzagrożeń czy obowiązków wynikających z RODO. Jednak wciąż jedynie połowa firm stosuje wieloskładnikowe uwierzytelnianie czy szyfrowanie połączenia, które wzmocniłyby ich odporność na ataki. Przedsiębiorstwa powinny zwracać większą uwagę na łączenie jak największej liczby rozwiązań chroniących sieć i pracowników – zwłaszcza, że nie wszystkie szkolą kadrę w zakresie zagrożeń – podsumowuje Grzegorz Nocoń.

O badaniu
Badanie zostało zrealizowane we wrześniu 2021 roku za pomocą ankiet internetowych CAWI w Polsce, Czechach i na Węgrzech, na próbie 800 pracowników w każdym z krajów.

Badacze Sophos wykryli nowy rodzaj oszustwa, którego ofiarami padają użytkownicy systemów iOS w USA i Europie. Cyberprzestępcy, wykorzystując fałszywe profile w serwisach randkowych takich jak Tinder, Grindr czy Facebook Dating, nakłaniają do zainstalowania złośliwych aplikacji do handlu kryptowalutami. Za ich pomocą nie tylko kradną środki finansowe, ale mogą też mieć zdalny dostęp do iPhone’ów ofiar. Na konto przestępców stosujących ten mechanizm wpłynęło już co najmniej 1,39 mln dolarów.(Nie)bezpieczny App Store

Cyberprzestępcy zakładają fałszywe profile na portalach randkowych (Tinder, Bumble, Facebook Dating i Grindr) i nawiązują kontakt z ofiarą. W kolejnym kroku nakłaniają ją do zainstalowania fałszywej aplikacji Binance do handlu kryptowalutami. Po zainwestowaniu w niej niewielkiej kwoty pozwalają użytkownikowi wypłacić pieniądze z zyskiem. Następnie zachęcają do wyłożenia większych środków. Kiedy ofiara nabiera podejrzeń lub chce odzyskać pieniądze, zostaje zablokowana. Przestępcy zarabiają na tym procederze miliony dolarów – badacze Sophos wyśledzili adres portfela bitcoin, na który oszukane osoby wysłały już ponad 1,39 mln dolarów. Prawdopodobnie takich adresów jest więcej.

– Już na początku roku Interpol ostrzegał przed rosnącą skalą oszustw dokonywanych przez aplikacje randkowe i media społecznościowe. Teraz celem są głównie użytkownicy iPhone’ów. Chociaż platforma iOS jest ogólnie uważana za bezpieczną, nawet aplikacje w App Store mogą stanowić zagrożenie. Pełno jest tam na przykład „darmowych” programów typu fleeceware, które po kilku dniach obciążają użytkowników kilkutysięcznymi subskrypcjami. Oszustwo wykorzystujące fałszywe aplikacje do kryptowalut omija kontrole bezpieczeństwa App Store. Użytkownicy systemu iOS powinni więc mieć się na baczności – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.Kradzież pieniędzy i danych osobowych

Cyberprzestępcy do rozpowszechniania fałszywych aplikacji wykorzystują system dla programistów Enterprise Signature, który umożliwia testowanie aplikacji na iOS zanim zostaną zatwierdzone przez Apple. Dzięki temu przestępcy mogą rozsyłać do użytkowników iPhone’ów fałszywe programy bez recenzji App Store. W ten sposób zyskują też zdalny dostęp do urządzeń ofiar. Potencjalnie mogą więc zbierać dane osobowe, dodawać lub usuwać konta, instalować aplikacje i zarządzać nimi.

Enterprise Signature był już wcześniej używany przez przestępców. Apple podjęło działania aby ukrócić proceder. Za rozsyłanie aplikacji do konsumentów tą drogą cofnięto nawet certyfikaty Google’a i Facebooka (potem zostały przywrócone). Nie uniemożliwiło to jednak omijania kontroli App Store.

– Oszuści są nadal aktywni, każdego dnia kolejne ofiary mogą zostać nakłonione do zainwestowania pieniędzy, z niewielką szansą na ich odzyskanie. Apple powinien ostrzegać użytkowników instalujących aplikacje za pośrednictwem systemu Enterprise, że nie zostały one sprawdzone. Właściciele iPhone’ów powinni natomiast instalować wyłącznie programy z App Store. Kluczowa zasada, o której trzeba pamiętać brzmi: jeśli coś jest zbyt piękne, aby było prawdziwe, np. nowo poznana osoba wspomina o inwestycji, która zapewni duży zysk, to niestety zazwyczaj jest to oszustwo – przestrzegai Grzegorz Nocoń.

Phishing to wciąż popularna metoda ataków na firmy. Jak wynika z badania Sophos, aż 59% dużych przedsiębiorstw w Polsce zauważyło wzrost liczby tego typu wiadomości trafiających na skrzynki pracowników w ostatnim roku. Nawet jeden e-mail ze złośliwym linkiem może skutkować wielomilionowymi stratami, związanymi z kradzieżą i zaszyfrowaniem firmowych danych. Konieczna jest edukacja pracowników, jednak trzeba przy tym pamiętać, że nawet specjaliści IT różnie definiują phishing.Od fałszywego e-maila do zablokowania systemu

Na całym świecie aż 7 na 10 firm zatrudniających co najmniej 100 pracowników zanotowało wzrost liczby ataków phishingowych w ostatnim roku. Przestępcy szybko wykorzystali możliwości, jakie stworzyła pandemia: gwałtowny wzrost liczby osób pracujących z domu, popularności zakupów online, powszechny niepokój. Podobną skalę ataków zanotowały wszystkie sektory, co wskazuje, że cyberprzestępcy starają się przede wszystkim dotrzeć do jak największej liczby pracowników.

–  Phishing pozostaje skuteczną metodą cyberataków od ponad 25 lat. Przestępcy grają na ludzkich emocjach i zaufaniu: wyłudzają dane oraz nakłaniają do kliknięcia w złośliwe linki lub załączniki, podszywając się pod znane firmy i instytucje – ostrzega Monika Sierocinski, Team Lead CAM w firmie Sophos. – Firmy często uważają phishing za niewielkie zagrożenie, jednak zazwyczaj to tylko pierwszy etap bardziej złożonego ataku. E-mail od „współpracownika” i kliknięcie w złośliwy link może skutkować wielomilionowymi stratami. Przestępcy zyskują wtedy dostęp do komputera ofiary oraz firmowej sieci, mogą pobierać z niej informacje, blokować je, a nawet kraść pieniądze.Wiele definicji phishingu

Badanie Sophos wykazało, że nawet specjaliści IT różnie rozumieją phishing. W Polsce najczęściej wskazują, że są to e-maile ze złośliwym załącznikiem (69%), e-maile wysyłane w ramach targetowanych kampanii, poprzedzonych wywiadem środowiskowym (63%), kradzież danych uwierzytelniających przez pocztę elektroniczną (63%) i e-maile ze złośliwymi linkami (62%). Wiadomości SMS nakłaniające do podania informacji (smishing) za phishing uważa 41%.

Duże firmy edukują pracowników – czy właściwie?

84% firm w Polsce, zatrudniających co najmniej 100 osób, prowadzi działania edukacyjne, aby przeciwdziałać phishingowi. Głównie są to szkolenia i symulacje ataków. 3 na 4 firmy miały program edukacyjny jeszcze przed wybuchem pandemii. Wciąż jednak tylko połowa przedsiębiorstw śledzi współczynnik kliknięć w wiadomości phishingowe, a nieco ponad 3/5 liczbę zgłaszanych podejrzanych e-maili. Takie informacje mogłyby pomóc zespołom IT w dopasowywaniu szkoleń do potrzeb pracowników oraz poprawianiu poziomu ochrony.

–  Najlepiej oczywiście uniemożliwiać docieranie złośliwych wiadomości do adresatów, z wykorzystaniem zabezpieczeń poczty elektronicznej. Jednak zawsze należy je też uzupełniać zwiększaniem świadomości zagrożeń wśród pracowników. Trzeba przy tym pamiętać, że phishing dla poszczególnych osób nie zawsze znaczy to samo. Aby szkolenia, zwłaszcza kadry nietechnicznej, były skuteczne, ważne jest wyjaśnienie definicji ataków i kanałów, którymi są podejmowane oraz upewnienie się, że wszyscy rozumieją je podobnie. Równie istotne jest sprawdzanie czy pracownicy zgłaszają podejrzane wiadomości i czy wiedzą w co nie powinni klikać – radzi Monika Sierocinski.

O badaniu

Badanie „Phishing Insights, 2021” zostało przeprowadzone przez niezależną agencję Vanson Bourne na zlecenie Sophos. Ankieta objęła 5,4 tys. decydentów IT z firm zatrudniających od 100 do 5 tys. pracowników. Badanie przeprowadzono w styczniu i lutym 2021 roku wśród respondentów z 30 krajów Europy (w tym w Polsce), obu Ameryk, Azji i Pacyfiku, Azji Środkowej, Bliskiego Wschodu i w Afryce.