Kategoria: Security

Prawie połowa instytucji edukacyjnych została w ostatnim roku zaatakowana przez ransomware – wynika z badania firmy Sophos. Placówki oświatowe ponoszą najwyższe ze wszystkich branży koszty zniwelowania skutków ataku, średnio to aż 2,73 mln dolarów. Aż 35% decyduje się na zapłacenie przestępcom okupu, jednak tylko co dziesiąta odzyskuje wszystkie dane. Największe problemy stanowi przestarzała infrastruktura IT oraz braki kadrowe. Zdalne nauczanie okazją dla cyberprzestępców

Rok 2020 był trudny dla instytucji edukacyjnych – aż 44% z nich doświadczyło ataku ransomware, co stanowi największy odsetek spośród wszystkich branż. Szybkie przejście na zdalny tryb nauczania przyniosło zespołom IT z placówek oświatowych dodatkowe wyzwania: musiały zabezpieczyć nowe platformy i urządzenia, a także zapewnić szkolenia. Prawie trzy czwarte wskazuje, że w ubiegłym roku wzrosło obciążenie pracą związaną z cyberbezpieczeństwem. Prawie dwie trzecie (65%) stwierdziło zaś, że wydłużył się czas ich reakcji.

– Branża edukacyjna od dawna jest atrakcyjnym celem dla przestępców. Należące do niej placówki dysponują wrażliwymi danymi, a jednocześnie często brakuje w nich odpowiedniej infrastruktury IT, specjalistów i budżetu – komentuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos. – Zespoły IT muszą zabezpieczać przestarzałe systemy, dysponując przy tym ograniczonymi narzędziami i zasobami. Pandemia przyniosła dodatkowe wyzwania: brakowało czasu na zaplanowanie strategii bezpieczeństwa czy wybór nowych rozwiązań. Ryzyko ataków dodatkowo zwiększa niska świadomość zagrożeń wśród użytkowników szkolnych systemów.Placówki oświatowe za ataki płacą najwięcej

Aby odzyskać zaszyfrowane dane, 35% instytucji zapłaciło okup – średnio 112 tys. dolarów. Większą skłonność do płacenia przestępcom wykazały jedynie branża energetyki i usług komunalnych oraz samorządy lokalne. Tylko co dziesiąta placówka edukacyjna po spełnieniu żądań atakujących odzyskała wszystkie informacje. Co trzecia odzyskała połowę lub mniej danych.

Jak wynika z badania Sophos, oświata ponosi największe straty z powodu ransomware’u. Średnio to aż 2,73 mln dolarów, o połowę więcej niż światowa średnia. Na tę kwotę składają się koszty zapłacenia okupu, ale też odzyskania danych, załatania luk w zabezpieczeniach i usuwania skutków ataku. Wysokie straty mogą wynikać w dużej mierze z przestarzałej i rozproszonej infrastruktury IT. Po ataku instytucje często muszą odbudowywać i zabezpieczać swoje systemy od podstaw.

– Presja zapłacenia okupu wynika z konieczności zapewnienia ciągłości działalności. Cyberatak uniemożliwia dostęp do systemów i prowadzenie zajęć, dlatego w tej sytuacji kluczowy jest szybki powrót do normalnego funkcjonowania. Trzeba jednak pamiętać, że zapłacenie przestępcom nie gwarantuje odzyskania zaszyfrowanych informacji – ostrzega Grzegorz Nocoń. 

Szkoły nieprzygotowane na ataki

33% placówek edukacyjnych nie doświadczyło ataku ransomware w ubiegłym roku, ale obawia się, że nastąpi to w przyszłości, zaś 22% uważa, że nie zostaną zaatakowane. Aż 6 na 10 respondentów, którzy nie spodziewają się ataku, polega przy tym na rozwiązaniach, które nie chronią przed ransomware.

– Najlepszym sposobem na powstrzymanie cyberataku i uniknięcie związanych z tym kosztów jest przygotowanie się na niego. Dlatego każda placówka i instytucja powinna przyjąć, że stanie się celem przestępców. W minimalizowaniu skutków ransomware’u ważny jest plan reagowania na incydenty oraz posiadanie kopii zapasowych. Kluczowe znaczenie ma też utrzymanie przestępców z dala od środowiska IT. Instytucje, które nie mają odpowiedniej wiedzy czy specjalistów, mogą skorzystać z pomocy zewnętrznych ekspertów „polujących” na zagrożenia. Nie należy też zapominać o potrzebie zwiększania świadomości zagrożeń wśród kadry i uczniów – radzi Grzegorz Nocoń.

O badaniu

Badanie Sophos „State of Ransomware in Education 2021” przeprowadzono w styczniu i lutym 2021 roku, na próbie 5,4 tys. menedżerów z obszaru IT, w tym 499 z branży edukacyjnej. Respondentów wybrano z 30 krajów w Europie (w tym także w Polsce), Ameryce Północnej i Południowej, Azji-Pacyfiku i Azji Środkowej, na Bliskim Wschodzie i w Afryce.

Ostatnie głośne ataki ransomware na firmy Kaseya i Colonial Pipeline były dotkliwe: cyberprzestępcy zatrzymali działanie rurociągu dostarczającego 45% ilości paliwa na Wschodnim Wybrzeżu USA i sparaliżowali działanie nawet ponad 350 przedsiębiorstw. Czego można się na tych przykładach nauczyć? Eksperci Sophos wskazują 6 najważniejszych lekcji, o których należy pamiętać.

1. Płacenie okupu rzadko się opłaca

Wiele firm płaci przestępcom, gdyż nie mają kopii zapasowych i chcą jak najszybciej wznowić działanie systemów; często obawiają się także upublicznienia skradzionych informacji. Jednak, według badania Sophos, nie gwarantuje to przywrócenia dostępu do zasobów. Przedsiębiorstwa, które decydują się na zapłatę okupu, odzyskują średnio tylko 65% danych, zaś jedynie w przypadku 8% odblokowywane są wszystkie. Poza tym, nawet jeśli uda się odszyfrować informacje, trzeba jeszcze przywrócić pracę systemów, naprawić szkody i zakłócenia spowodowane atakiem oraz wzmocnić zabezpieczenia, a to wymaga kolejnych nakładów.

2. Szkolenie pracowników to konieczność

Wejście do sieci Colonial Pipeline umożliwiło skradzione przez przestępców hasło do usługi VPN. Prawdopodobnie wykorzystali dane logowania ujawnione we wcześniejszym wycieku. W celu uniknięcia takich sytuacji konieczne jest przede wszystkim wdrożenie uwierzytelniania wieloskładnikowego, jednak równie istotne jest, aby pracownicy wiedzieli, jak chronić swoje dane dostępowe. Cyberprzestępcy wykorzystują niewiedzę atakowanych i brak ich umiejętności, stosują coraz bardziej dopracowane manipulacyjne metody socjotechniczne, takie jak phishing. Pracownicy powinni wiedzieć jak rozpoznać zagrożenia, jakiego zachowania unikać i jak reagować na podejrzane incydenty.

3. Najważniejsze jest szybkie wykrycie ataku

Według śledczych, przestępcy mieli dostęp do sieci Colonial Pipeline przez co najmniej osiem dni, zanim uruchomili ransomware. Brak możliwości wglądu w to, co robili w tym czasie, był jednym z powodów wyłączenia rurociągu. Przeprowadzone przez Sophos analizy pokazały, że przestępcy „spędzają” w sieci ofiary średnio 11 dni, a w niektórych przypadkach nawet pół roku, zanim zostaną wykryci. W tym czasie mogą uzyskać dostęp do danych i systemów, wykradać informacje, a nawet sabotować działanie firmy. Dlatego równie ważne jak programy ochronne są narzędzia pozwalające szybko wykryć podejrzane incydenty i aktywnie „polować” na ukryte zagrożenia.

Sophos Active Adversary Playbook 2021

4. Warto regularnie sprawdzać zabezpieczenia

Sprawdzanie poziomu ochrony przed cyberzagrożeniami pozwala znaleźć luki w zabezpieczeniach, zanim wykorzystają je przestępcy. Warto zlecać to zadanie nie tylko pracownikom działu IT, ale także zewnętrznym ekspertom. Często bowiem można spotkać się z nieświadomym przyzwoleniem na niedociągnięcia – z niewiedzy lub w działaniu z przeświadczeniem, że „zawsze tak było”. Ważne są ćwiczenia polegające na symulacjach ataków, próbach odzyskiwania danych i analizie sposobu reagowania na incydenty. Odpowiednie przygotowanie to często jedyny sposób na zminimalizowanie szkód i przestojów.

5. Cyberbezpieczeństwo priorytetem, bez względu na wielkość firmy

Firmy często uważają, że ataki dotykają tylko duże podmioty, gdyż te mniejsze nie są interesującym celem dla cyberprzestępców. Jednak każde przedsiębiorstwo, bez względu na wielkość czy branżę, może doświadczyć ataku. Poszukiwanie potencjalnej ofiary jest obecnie w dużym stopniu zautomatyzowane, więc kryterium „zainteresowania” pozostaje praktycznie bez znaczenia. Strategię cyberbezpieczeństwa powinna więc opracować każda firma: stworzyć plan reagowania na incydenty, przywracania systemów do działania i odzyskiwania danych, a także wdrożyć właściwe narzędzia ochrony oraz przygotować kroki, które należy podjąć, gdy coś pójdzie nie tak.

6. W walce z cyberprzestępczością ważna jest współpraca

Colonial Pipeline zobowiązało się do udostępnienia pełnego raportu na temat ataku, aby inne przedsiębiorstwa mogły wyciągnąć wnioski z popełnionych błędów. Na całym świecie w ramach takich inicjatyw jak Centrum Wymiany Informacji i Analiz (ISAC) czy lokalnych grup DEF CON zrzeszone są firmy, które dzielą się informacjami o zagrożeniach i zapewniają narzędzia oraz wytyczne ograniczające ryzyko. Oprócz uczestniczenia w nich, firmy powinny też prosić o pomoc, gdy już zetkną się z zagrożeniem. Mogą wspomagać się zewnętrznymi usługami, w ramach których eksperci monitorują sieć i pomagają reagować na zagrożenia.

Spadł odsetek polskich firm zaatakowanych przez ransomware, według badania Sophos w ostatnim roku doświadczyło go 13%. Trudniej jednak usunąć skutki ataku. Kosztuje to polskie firmy średnio 1,49 mln złotych. W ciągu ostatniego roku całkowite straty spowodowane przez ransomware wzrosły ponad dwukrotnie. Badanie potwierdza, że nie warto płacić przestępcom – mniej niż 1 na 10 firm, które to zrobiły, zdołało odzyskać wszystkie dane.Ransomware kosztuje dwa razy więcej

Prawie połowa (46%) polskich średnich i dużych firm w wyniku ataku ransomware straciła od 50 do nawet 254 tys. złotych. 31% poniosło koszty między 2,5 a 5 mln złotych – związane były one z przestojami w działalności, utraconymi zamówieniami, kosztami operacyjnymi, karami związanymi z nieodpowiednim zabezpieczeniem danych itp. W ciągu ostatniego roku na świecie całkowity koszt usunięcia skutków ransomware’u wzrósł ponad dwukrotnie: z 761 tys. do 1,85 mln dolarów. To aż 10 razy więcej, niż średnia wartość zapłaconego okupu (170 tys. dolarów).

Okup nieskutecznym sposobem na odzyskanie danych

Odsetek firm, które padły ofiarą ransomware’u, spadł na całym świecie, z 51% w 2020 roku do 37% w 2021. Polska odnotowuje jeden z najniższych wskaźników – 13% przedsiębiorstw, wobec których podjęto próbę ataku, w porównaniu z 28% w 2020 roku. Może to wynikać z niższego poziomu PKB w Polsce, a co za tym idzie, mniejszej szansy uzyskania przez przestępców wartościowego okupu. Natomiast więcej firm płaci za odblokowanie danych – rok temu na świecie było to 26%, w 2021 już 32%. Jednak jedynie 8% z nich zdołało odzyskać wszystkie zasoby; co trzecia odzyskała mniej niż połowę informacji.

– Widoczny spadek odsetka firm dotkniętych przez ransomware prawdopodobnie oznacza, że przestępcy zmieniają strategię działania. Zamiast masowych, zautomatyzowanych ataków, stosują ukierunkowane, wymierzone w konkretne przedsiębiorstwo. Ogólna liczba ataków jest więc mniejsza, jednak trudniej zneutralizować ich efekty, a wartość wyrządzanych szkód dynamicznie rośnie. Odzyskiwanie danych może trwać przez lata, nie ma też gwarancji, że się uda. Wykorzystywanie przez przestępców niskiej jakości lub pospiesznie tworzonego złośliwego kodu może utrudnić lub wręcz uniemożliwić odszyfrowanie zasobów, nawet gdy firma zapłaci okup – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.Polskie firmy z lepszą ochroną

Średnie i duże polskie firmy coraz lepiej zabezpieczają się przed cyberzagrożeniami. 43% deklaruje, że ma szczegółowy plan odzyskiwania danych po ataku. Spośród firm, wobec których podjęto próbę ataku ransomware, aż 77% zablokowało go zanim dane zostały zaszyfrowane. Jedynie 15% incydentów kończyło się powodzeniem i zablokowaniem przez przestępców dostępu do informacji.

Ataku ransomware spodziewa się 6 na 10 firm, które dotąd go nie doświadczyły. Ponad połowa z nich (54%) wskazuje, że cyberataki są obecnie zbyt zaawansowane, aby je zatrzymać. 39% spodziewa się ataku, gdyż inne podmioty z branży już go doświadczyły. Co trzecia (27%) polska firma zakłada jednak, że nie padnie ofiarą ransomware’u. Aż 3 na 4 z nich wskazują, że specjaliści IT są odpowiednio wyszkoleni do zatrzymywania ataków i dysponują skutecznymi rozwiązaniami ochronnymi. 63% posiada kopie zapasowe, które pozwolą na przywrócenie działania firmy.

– Coraz częściej ataki ransomware wiążą się nie tylko z zaszyfrowaniem danych, ale też żądaniem okupu za nieujawnianie skradzionych informacji. Dlatego ważna jest warstwowa ochrona, która powstrzyma przestępców jeszcze zanim zdołają wejść do firmowej sieci. Aby ograniczać koszty neutralizacji ataku, warto opracować plan przywracania działania firmy i stosować podejście 3-2-1 – trzy zestawy kopii zapasowych, na dwóch różnych nośnikach, z których jeden jest przechowywany w trybie offline. Jeśli firma padnie jednak ofiarą ataku, nie musi stawiać czoła przestępcom sama. Na rynku dostępne są usługi zewnętrznych centrów eksperckich, które oferują wsparcie specjalistów i reagowanie w trybie 24/7 – mówi Grzegorz Nocoń.

O badaniu

Badanie State of Ransomware 2021 zostało przeprowadzone przez niezależną agencję badawczą Vanson Bourne w styczniu i lutym 2021 roku. W ramach badania przeprowadzono wywiady z 5400 decydentami IT w 30 krajach: USA, Kanadzie, Brazylii, Chile, Kolumbii, Meksyku, Austrii, Francji, Niemczech, Wielkiej Brytanii, Włoszech, Holandii, Belgii, Hiszpanii, Szwecji, Szwajcarii, Polsce, Czechach, Turcji, Izraelu, ZEA, Arabii Saudyjskiej, Indiach, Nigerii, RPA, Australii, Japonii, Singapurze, Malezji i na Filipinach. Respondenci pochodzili z firm zatrudniających od 100 do 5 tys. pracowników.

Z TikToka miesięcznie korzysta prawie 690 mln użytkowników. W Polsce aż 40% osób, które posiadają konto w tym serwisie, spędza na oglądaniu i tworzeniu filmów ponad godzinę dziennie. Jednak, publikując je, mogą nieświadomie narazić swoje wrażliwe dane na niebezpieczeństwo. Jak zachować prywatność i jednocześnie nie rezygnować z TikToka? Problem bezpieczeństwa danych na TikToku był poruszany m.in. w Stanach Zjednoczonych, gdzie armia zabroniła instalowania tej aplikacji na służbowych telefonach pracowników. W Indiach rząd całkowicie zablokował możliwość korzystania z serwisu. Obawy budzi przede wszystkim fakt, że TikTok to aplikacja pochodząca z Chin. Przedsiębiorstwa w tym kraju mają obowiązek przekazywania rządowi gromadzonych informacji. Chociaż firma twierdzi, że dane użytkowników są bezpieczne, niektóre państwa i organizacje nie wierzą w te zapewnienia.

Najmłodsi nieświadomi zagrożeń

Niepokoić może fakt, że z aplikacji korzystają głównie dzieci i młodzież. W Polsce 1 na 4 użytkowników nie ma jeszcze 13 lat, a 90% to osoby niepełnoletnie.

– Najmłodsi użytkownicy często nie mają odpowiednich umiejętności oceny zagrożeń w sieci i nie są świadomi niebezpieczeństw. Przez nierozważne udostępnianie swojego wizerunku na zdjęciach i filmach, a także innych wrażliwych danych, mogą stać się ofiarami nie tylko przeróbek czy hejtu ze strony rówieśników, ale też cyberprzestępców. Tak zdobyte informacje mogą zostać użyte do spersonalizowanego ataku przez SMS czy e-mail. W ten sposób wyłudzane są na przykład dane logowania do banku i rozsyłane złośliwe linki. Może to być zagrożenie także dla rodziców, którzy współużytkują urządzenia ze swoimi dziećmi – wskazuje Grzegorz Nocoń, inżynier systemów w firmie Sophos.Jak zadbać o prywatność?

1. Zablokuj aplikacji dostęp do zbędnych dla niej danych
   Każdy program przy pierwszym uruchomieniu prosi o zgodę na dostęp do wielu informacji na smartfonie, np. lokalizacji GPS, książki adresowej, kalendarzy, danych zdrowotnych itp. Żeby ograniczyć zakres zbieranych przez aplikację danych, najlepiej zablokować wszystkie możliwości. W niektórych przypadkach aplikacje nie będą wtedy działać, ale do nagrywania własnych TikToków wystarczy dostęp do aparatu i mikrofonu.
2. Zmień konto na prywatne
   Domyślnie nowe konto na TikToku jest publiczne. Oznacza to, że użytkownik nie ma kontroli nad tym, kto ogląda publikowane przez niego treści. Przełączenie konta na prywatne sprawi, że każdy nowy znajomy będziemy musiał zostać zatwierdzony – funkcja ta działa podobnie jak na Instagramie.
3. Nie daj się znaleźć
   Domyślnie TikTok może promować treści użytkownika w całym serwisie, również poza gronem jego obserwatorów. Jeżeli jednak konto w aplikacji nie jest wykorzystywane do prowadzenia biznesu, lepiej wyłączyć tę opcję. Profil nie będzie się też wtedy pojawiać w wyszukiwarkach internetowych, a filmy nie będą polecane innym osobom. Dzięki temu aby trafić na konto konkretnej osoby będzie trzeba wpisać nazwę użytkownika w wyszukiwarce.
4. Ogranicz możliwość interakcji z filmami
   Istotną funkcją TikToka jest nagrywanie duetów i stitchy. To filmy, które nawiązują do wcześniej istniejącego nagrania. Każdy użytkownik może jednak zablokować możliwość nagrywania kompozycji ze swoimi filmami – dzięki temu prywatne treści nie będą rozpowszechniane dalej. W tym samym celu należy wyłączyć możliwość pobierania filmów. W ustawieniach można też wyłączyć (lub ograniczyć tylko do obserwujących) możliwość komentowania nagrań i wysyłania wiadomości prywatnych.
5. Pamiętaj o ochronie najmłodszych
   Tryb rodzinny pozwala na ustawienie kont na TikToku w relacji rodzic-dziecko. To oznacza, że z telefonu opiekuna da się zdalnie kontrolować ustawienia konta pociechy. Można też zdecydować ile czasu dziecko będzie spędzać w aplikacji. Ponadto rodzic ma możliwość zablokowania wyszukiwania niektórych fraz, kont i hasztagów. Warto też zadbać, aby podczas zakładania konta dziecko podało prawdziwą datę urodzenia. Dzięki temu aplikacja zastosuje dodatkowe filtry i ograniczenia dla niepełnoletnich.

Firma Sophos dostarczy oprogramowanie do ochrony urządzeń końcowych Intercept X dla komputerów PC z łącznością 5G, zasilanych przez platformy obliczeniowe Qualcomm Snapdragon produkcji Qualcomm Technologies Inc. Połączenie tych dwóch technologii zapewni danym użytkowników ochronę nowej generacji, bazującą na mechanizmach głębokiego uczenia (deep learning). Współpraca obu firm jest odpowiedzią na rosnącą potrzebę zabezpieczania stale podłączonych do sieci urządzeń.

Ochrona nowej generacji dla komputerów 5G

Platformy obliczeniowe Snapdragon zostały skonstruowane na bazie technologii wykorzystywanej w smartfonach. Umożliwiło to nie tylko łączność z siecią komórkową 4G i 5G, ale też zapewniło maksymalną wydajność i efektywność w cienkich i lekkich laptopach z chłodzeniem pasywnym. W drugiej połowie 2021 roku platformy zostaną wyposażone w narzędzia ochronne nowej generacji Sophos Intercept X, zaprojektowane do zabezpieczania zaawansowanych systemów obliczeniowych oraz urządzeń końcowych. Dzięki głębokiemu uczeniu powstrzymują one zaawansowane zagrożenia, w tym ransomware. 

– Stale połączone z siecią, interaktywne środowisko obliczeniowe łączy technologię mobilną i komputery, co daje wyjątkowe możliwości cyberochrony. Na urządzeniach mobilnych obserwowano dotąd znacznie mniejszą liczbę incydentów bezpieczeństwa niż na komputerach zbudowanych na bazie tradycyjnej architektury. Przyczyną takiego stanu rzeczy jest przede wszystkim nowoczesna, bardziej przewidywalna konstrukcja platformy systemowej, która umożliwia producentom aplikacji projektowanie wydajnego i bezpiecznego oprogramowania. Układy Snapdragon zapewniają wydajność komputera PC, a jednocześnie zachowują wiele korzyści charakterystycznych dla nowoczesnych urządzeń mobilnych. Ta przewidywalność jest dla bezpieczeństwa szczególnie ważna – mówi Joe Levy, główny specjalista ds. technologii w firmie Sophos.

Połączenie oprogramowania Sophos Intercept X z platformą Qualcomm Snapdragon zapewnia wiele korzyści:

– Ciągłość połączenia – nieprzerwana komunikacja z komputerami bazującymi na platformie Snapdragon zabezpieczy przed utratą danych spowodowaną przełączeniem urządzeń w tryb offline i ułatwi pracę specjalistom ds. bezpieczeństwa.

– Mechanizm Qualcomm AI Engine przyspieszy sztuczną inteligencję – umożliwi to optymalizację w czasie rzeczywistym pracy coraz bardziej zależnego od sztucznej inteligencji oprogramowania, co ma szczególne znaczenie w przypadku urządzeń pracujących na baterii.

– Gwarancja bezpieczeństwa danych – zaimplementowany sprzętowo mechanizm Root of Trust zapewnia integralność procesu szyfrowania oraz silnych mechanizmów uwierzytelniania.

– Platformy obliczeniowe Snapdragon z technologią 5G nie tylko umożliwią nieprzerwane połączenie komputerów z siecią. Zapewnią także ochronę nowej generacji, bazującą na zaawansowanych mechanizmach sztucznej inteligencji i łączności 5G. Nasza współpraca z Sophos przenosi bezpieczeństwo urządzeń na nowy poziom. Uczenie maszynowe przyspiesza wykrywanie zagrożeń, co wzmacnia wiodącą rolę rozwiązań ochronnych firmy na rynku zabezpieczeń urządzeń końcowych. Cieszymy się, że wspólnie w firmą Sophos będziemy tworzyć profesjonalnie zabezpieczone rozwiązanie klasy korporacyjnej nowej generacji, bazujące na platformie Snapdragon i wyposażone w łączność 5G – komentuje Miguel Nunes, senior director, Product Management w Qualcomm Technologies Inc.

Więcej informacji o rozwiązaniach dostępnych jest pod linkiem:

Qualcomm Snapdragon oraz Sophos Intercept X.

Badacze firmy Sophos zidentyfikowali nowy rodzaj ataku na użytkowników urządzeń z systemem Android. Cyberprzestępcy stworzyli fałszywe wersje m.in. oficjalnej aplikacji rządowej Pakistanu, aplikacji firmy ubezpieczeniowej oraz porównywarki cen operatorów telefonicznych. Złośliwe wersje programów przechwytują z urządzeń kontakty, treść wiadomości SMS, dane z dokumentów tożsamości, informacje o lokalizacji czy zdjęcia, a następnie przesyłają je na serwery przestępców. Dotychczas celem były aplikacje dla użytkowników w Pakistanie, jednak atak może zostać łatwo powtórzony w każdym miejscu na świecie.

Telefony na podsłuchu

Fałszywe aplikacje są identyczne jak ich legalne odpowiedniki dostępne w Google Play Store, umożliwiają też korzystanie z tych samych funkcji. Przestępcy wybrali pięć programów działających w Pakistanie: oficjalną aplikację rządową Pakistan Citizen Portal, muzułmański zegar modlitewny, aplikację do porównywania ofert operatorów telefonicznych, narzędzie do sprawdzania ważności karty SIM oraz program firmy ubezpieczeniowej.

Złośliwe narzędzia po uruchomieniu przechwytują unikalny identyfikator IMEI urządzenia, informacje o lokalizacji, pełną listę kontaktów, treść wiadomości tekstowych, zestawienie połączeń czy katalogi karty SD. Aplikacja Pakistan Citizen Portal skłania też użytkowników do podania swojego numeru dowodu osobistego, danych paszportowych, haseł do Facebooka i innych serwisów. Niektóre ze sfałszowanych aplikacji zawierają mechanizm umożliwiający nagrywanie rozmów telefonicznych i dźwięków rejestrowanych przez urządzenie. Funkcje te nie zostały jednak jeszcze aktywowane przez przestępców.

„Czerwona lampka” dla wszystkich użytkowników

Fałszywe wersje aplikacji nie są dostępne w oficjalnym sklepie Google Play Store, ale na stronach imitujących m.in. pakistański serwis rządowy. Użytkownicy mogli otrzymać linki z instrukcją pobrania programów m.in. SMS-em lub mailem. Cyberprzestępcy szyfrują przy tym stworzony przez siebie kod, instalowana aplikacja nie jest więc identyfikowana jako złośliwa podczas wstępnego skanowania przez urządzenie.

Odkryte programy szpiegujące to sygnał ostrzegawczy dla użytkowników nie tylko w Pakistanie, ale i na całym świecie. Przestępcy coraz częściej przeprowadzają bowiem ataki na telefony komórkowe, aby przechwycić wrażliwe dane i uzyskać dostęp w czasie rzeczywistym do lokalizacji zainfekowanego urządzenia, a nawet rozmów odbywających się w jego zasięgu.

– Każdy, kto korzysta z telefonu komórkowego, powinien pamiętać o podstawowych zasadach ochrony: nieklikaniu w linki otrzymywane mailem czy SMS-em i pobieraniu aplikacji tylko z oficjalnych źródeł. Ważne jest także zwracanie uwagi na uprawnienia, o które prosi instalowany program. Jeśli zegar czy porównywarka ofert żąda dostępu do wiadomości, listy kontaktów czy zdjęć, powinno to wzbudzić czujność. Warto też rozważyć instalację na urządzeniu mobilnym programu antywirusowego, który będzie chronił dane przed podobnymi zagrożeniami – wskazuje Łukasz Formas, kierownik zespołu inżynierów w firmie Sophos.

Polacy przenoszą się z zakupami do sieci: według przewidywań w okresie świątecznym ruch w sektorze e-commerce wzrośnie o około 60% w porównaniu z rokiem 2019. W samym listopadzie liczba transakcji w sklepach internetowych przebiła ubiegłoroczny wynik o 88%. W świątecznej gorączce zakupów łatwo jednak stracić czujność i paść ofiarą cyberprzestępców. Nieuwaga może kosztować nie tylko utratę wrażliwych danych osobowych, ale też pieniędzy z konta bankowego.

– Prawie każdy z nas spodziewa się teraz przesyłki, przez co tracimy czujność i stajemy się łatwym celem. Cyberprzestępcy podszywają się pod firmy kurierskie i straszą opóźnieniami lub nawet zawieszeniem dostawy, aby zachęcić do kliknięcia w link i śledzenia „paczki”. Rozsyłają też „faktury” za zakupy zawierające złośliwy kod i wyłudzają dane poprzez fałszywe aplikacje bankowe czy serwisy z płatnościami. Podczas takiej oszukańczej transakcji, rzekomo związanej np. z dodatkową opłatą za przesyłkę, tak naprawdę ofiara zatwierdza dodanie odbiorcy przelewu do listy zaufanych. Jeżeli jednocześnie przestępca przechwyci dane logowania, to może wykonać serię przelewów i wyprowadzić pieniądze z konta bez konieczności dodatkowej autoryzacji. W Internecie obecne są też fałszywe strony rejestrowane pod domeną niemal identyczną jak prawdziwe sklepy – ostrzega Łukasz Formas, kierownik zespołu inżynierów w firmie Sophos.

https://bluemedia.pl/pressroom/informacje-prasowe/black-week-najlepszym-tygodniem-2020-roku

https://www.shoper.pl/blog/rekordowy-juz-nie-tylko-black-friday-zobacz-jak-rosla-sprzedaz-w-listopadzie-2020-roku/

Podczas robienia świątecznych zakupów w sieci warto pamiętać o pięciu podstawowych zasadach:

1. Uwaga na podejrzane wiadomości i linki

Nie należy klikać niczego „na wszelki wypadek”, szczególnie w wiadomościach, o które nie prosiliśmy – dotyczy to również linków przesyłanych przez SMS-y i komunikatory. Podejrzenia powinny wzbudzić wszelkie prośby o podanie danych logowania czy o zmianę hasła. Także błędy językowe w treści, zastępowanie liter cyframi w adresach stron internetowych czy podwójne rozszerzenia załączników (np. pdf.exe) zazwyczaj wskazują na oszustwo. Bezpieczniej jest sprawdzić status przesyłki czy transakcji samodzielnie – wejść na właściwą stronę sklepu lub firmy kurierskiej i wpisać tam numer identyfikacyjny.

2. Aplikacje tylko ze sprawdzonych źródeł

Wszystkie pobierane aplikacje, nie tylko te bankowe, powinny pochodzić ze sprawdzonych i zaufanych źródeł. Nigdy nie należy też instalować programów, do których link dostaliśmy SMS-em czy przez reklamę w sieci. Przed pobraniem aplikacji warto sprawdzić czy rzeczywiście pochodzi ona ze strony internetowej banku. Czujność powinny wzbudzić też prośby o wpisanie pełnych danych logowania zamiast numeru PIN.

3. Aktualizacje i ochrona nie tylko na komputerze

Użytkownicy często zakładają, że antywirus jest potrzebny wyłącznie na komputerze, jednak warto korzystać z pakietów przeznaczonych także dla urządzeń mobilnych. Bezpieczeństwo bankowości zapewnią m.in. programy ochrony Internetu z funkcją bezpiecznej przeglądarki. Uniemożliwia ona nawiązanie połączenia z innymi witrynami na czas prowadzenia transakcji bankowych. Równie ważne jest aktualizowanie wszystkich systemów oraz aplikacji, także na telefonach. Pomaga to łatać luki w zabezpieczeniach, które mogą wykorzystywać przestępcy.

4. Sprawdzanie adresu URL

Zielona kłódka i skrót „HTTPS” na początku adresu informują, że komunikacja do strony jest szyfrowana, a niekoniecznie, że jest bezpieczna. Obecnie z szyfrowania, dzięki któremu można zobaczyć te oznaczenia, korzysta również wielu przestępców. Dlatego trzeba dokładnie sprawdzać cały adres strony, najlepiej na ekranie komputera. Pasek adresu jest tam znacznie szerszy i lepiej widoczny niż w telefonie, na którym łatwo przeoczyć literówki. To ważne, ponieważ oszuści rejestrują domeny niemal identyczne jak prawdziwe sklepy (np. zmieniają jedną literę), licząc na „złapanie” nieuważnych.

5. Różne hasła i karta pre-paid

Gdy cyberprzestępcy zdobędą dane logowania do jednego konta, natychmiast wypróbowują je na innych, należących do tego samego użytkownika. Dlatego nie należy używać tego samego hasła w kilku serwisach – dotyczy to szczególnie bankowości internetowej. Pamiętajmy też, aby nigdy nie wysyłać e-mailem danych karty kredytowej, nawet jeśli prosi o to sprawdzony sprzedawca. Taka wiadomość łatwo może zostać przechwycona przez cyberprzestępców. Warto zastanowić się nad skorzystaniem z kart prepaid przeznaczonych tylko do zakupów w sieci. W najgorszym wypadku utracona zostanie wtedy kwota, którą zasilimy taką kartę, a nie wszystkie oszczędności z konta bankowego.

Jeśli już padniemy ofiarą przestępcy nie panikujmy, ale jak najszybciej zgłośmy sprawę w swoim banku oraz zmieńmy hasło do konta. Warto też pamiętać o regularnym wykonywaniu kopii zapasowych danych ze wszystkich urządzeń. Dzięki temu nawet jeśli pliki zostaną zaszyfrowane podczas ataku ransomware, nadal będzie można korzystać z ich kopii.

W 2021 roku cyberprzestępcy będą wykorzystywać na coraz szerszą skalę powszechnie znane, wiarygodne narzędzia, co ułatwi im poruszanie się po sieci bez wykrycia. Zmieni się też argumentacja związana z żądaniem okupu przez atakujących – nie tylko będą szyfrowali dane, ale też wykradali wrażliwe informacje i grozili ich upublicznieniem. W cyberbezpieczeństwie znajdzie też zastosowanie podejście znane z epidemiologii – eksperci będą tworzyli modele statystyczne, aby szacować realną liczbę zainfekowanych urządzeń.

Dodatkowe wyłudzenia i początkujący hakerzy

Coraz częściej cyberprzestępcy dzielą się między sobą narzędziami. Ich łatwa dostępność na czarnym rynku sprawia, że także w nadchodzącym roku stale będzie rosła aktywność początkujących hakerów. Będą oni wykorzystywali przede wszystkim oprogramowanie umożliwiające atakowanie dużej liczby niewielkich celów. Stale udoskonalane będą techniki i narzędzia, a gdy jedno zagrożenie zniknie, w jego miejsce szybko pojawiać się będzie kolejne. Zmieni się również argumentacja związana z żądaniem okupu – coraz częściej, pdanych, atakujący wykradają bowiem wrażliwe informacje i grożą ich publikacją, jeśli ich żądania nie zostaną spełnione.

Nowe wykorzystanie botnetów

W 2021 roku konieczne będzie przykładanie większej wagi do powszechnych zagrożeń, takich jak botnety (grupa urządzeń zainfekowanych złośliwym oprogramowaniem, których działanie może być zdalnie kontrolowane przez hakera). Celem takich ataków coraz częściej staje się nie tylko wykorzystywanie mocy obliczeniowej komputerów do kopania kryptowalut czy rozsyłanie spamu, ale też m.in. zbieranie wrażliwych danych, na przykład dotyczących geolokalizacji, które później są sprzedawane na czarnym rynku. Takie incydenty mogą wydawać się nieszkodliwe, jednak grożą otwarciem całego systemu na bardziej zaawansowane zagrożenia, takie jak ransomware.

Legalne narzędzia „kryjówką” przestępców

Duże wyzwanie dla cyberbezpieczeństwa w nadchodzącym roku stanowić będzie coraz częstsze stosowanie przez przestępców powszechnie znanych, wiarygodnych narzędzi i usług sieciowych o wysokiej reputacji. Umożliwia to im poruszanie się po sieci bez wykrycia aż do momentu uruchomienia złośliwego oprogramowania. Jednocześnie utrudnia analizę incydentów, gdyż takie działania nie są automatycznie oznaczane przez rozwiązania ochronne jako zagrożenie. W procesie reagowania na incydenty wzrośnie więc rola specjalistów ds. cyberbezpieczeństwa. Ich wiedza i doświadczenie będą ułatwiały wyłapywanie anomalii sugerujących podejrzaną aktywność.

Rozwój „cyfrowej epidemiologii”

Jaki procent wszystkich urządzeń jest zainfekowanych niewykrytym złośliwym oprogramowaniem? To kwestia równie trudna do oszacowania, jak procent populacji zarażonej koronawirusem. Podejście znane z epidemiologii może jednak w 2021 roku znaleźć zastosowanie także w cyberbezpieczeństwie. Eksperci będą tworzyli modele statystyczne, aby szacować ogólną liczbę infekcji urządzeń. Pozwoli to skuteczniej oceniać ryzyko powodzenia ataków, ustalać priorytety oraz rozwijać rozwiązania ochronne.