Jakie są zagrożenia cybernetyczne i jakie kroki podjąć, aby się przed nimi chronić? 

Wszystkie dostępne raporty na temat zagrożeń cybernetycznych, choć różnią się między sobą w szczegółach, jednoznacznie wskazują, że straty w gospodarce światowej będące skutkiem cyberataków są bardzo wysokie i niestety szybko rosną. Na przykład, według raportu „Annual Cybercrime Report 2020” firmy Cybersecurity Ventures, szacunkowe roczne koszty globalne związane z cyberprzestępczością przekraczają bilion dolarów. Zgodnie z raportem „Cost of Cyber Crime Study” autorstwa Ponemon Institute, średni roczny koszt incydentów związanych z cyberatakami dla firm wynosił łącznie ponad 13 milionów dolarów w 2020 roku. Globalnie, jak twierdzi raport „The Economic Impact of Cybercrime – No Slowing Down” firmy McAfee, koszty związane z cyberprzestępczością to około 0,8% światowego PKB, a to oznacza miliardy dolarów strat rocznie. 

Warto się zatem przyjrzeć największym zagrożeniom ze strony cyberprzestępców i choć przez chwilę pomyśleć o sposobach ochrony przed ich zakusami.  

PISHING 

Ataki phishingowe należą do najpowszechniejszych zagrożeń i polegają na wykorzystaniu fałszywych, ale za to umiejętnie podszywających się pod wiarygodne wiadomości e-mail, SMS-y lub strony internetowe. Celem działania cyberprzestępców jest wydobycie od nieświadomego użytkownika poufnych informacji takich, jak hasła, numery kart kredytowych czy danych osobowych. 

Ataki phisingowe to najczęściej:  

Wiadomości e-mail – cyberprzestępcy wysyłają fałszywą wiadomość e-mail, która wygląda tak, jakby pochodziła ze znanej firmy, organizacji, instytucji finansowej lub osoby. Ich kreatywność nie zna granic, ale zawsze cel jest ten sam – skłonić odbiorcę do kliknięcia w link znajdujący się w wiadomości lub pobrać spreparowany załącznik. Stąd już prosta droga do pobrania złośliwego oprogramowania lub podania swoich poufnych informacji. Czasami takie wiadomości wyglądają naprawdę na autentyczne, mogą zawierać logo i treści podobne do oryginalnych i trudno je odróżnić od prawdziwych.  

Fałszywe strony internetowe, które naśladują wygląd i funkcjonalność prawdziwych stron banków, serwisów zakupowych, czy platform społecznościowych. Jeśli ofiara poda swoje dane logowania lub inne poufne informacje na takiej stronie, to oszuści uzyskują do nich dostęp i mogą się podszywać pod nic nieświadomego użytkownika, który może bezwiednie stać się np. kredytobiorcą lub zakupoholikiem.  

Krótkie wiadomości tekstowe, czyli SMS – działają podobnie jak fałszywe e-maile. Ich autorzy wysyłają SMS-y, które wyglądają na autentyczne komunikaty od znanych i uznanych firm. Z reguły proszą o podanie poufnych informacji lub kliknięcie w załączony link. Dobrą ilustracją mogą być rozsyłane swego czasu SMS-y, które informowały o niedopłacie za nadaną paczkę, lub niewielkiej niedopłacie w rachunku za prąd. 

Vishing łączy w sobie „voice”, czyli głos i „phishing”. Atakujący kontaktuje się telefonicznie z ofiarą, podszywając się pod pracowników banków, firm, policji lub innych organizacji. Poprzez manipulację i wykorzystanie socjotechniki próbuje on zdobyć poufne informacje, takie jak dane logowania, numery kart kredytowych czy dane osobowe. Do tej kategorii należy chyba najbardziej znana metoda „na wnuczka”. 

MALWARE, czyli złośliwe oprogramowanie 

Malware, skrót od angielskiego Malicious Software, to kategoria cyberzagrożeń obejmująca wszelkie wirusy, trojany, robaki i całe szkodliwe oprogramowanie stworzone w celu naruszenia bezpieczeństwa systemów komputerowych i urządzeń użytkowników. Malware może mieć różne formy i funkcje, a w tej szerokiej kategorii znajdują się: 

Wirusy, czyli wszelkie programy, które mają zdolność replikacji i przenoszenia się z jednego systemu komputerowego do drugiego. Po infekcji wirus może uszkodzić pliki systemowe, zniszczyć dane lub spowodować inne szkody, które mogą uniemożliwić korzystanie z komputera. Wirusy najczęściej rozprzestrzeniają się przez załączniki e-mail, są pobierane z internetu w plikach z grami, użytkowym oprogramowaniem lub przenoszą się za pośrednictwem podłączanych nośników danych USB. 

Trojany to rodzaj złośliwego oprogramowania, które podszywa się pod użyteczne lub absolutnie niewinne aplikacje. Gdy trojan się uruchomi, otwiera furtkę dla hakerów, którzy mogą zdalnie kontrolować zainfekowany system, kraść poufne dane lub wykonywać do swoich celów moc procesora lub karty graficznej. Lista nie jest zamknięta i praktycznie każde niepożądane działania może być skutkiem działania trojana. 

Robaki komputerowe, czyli programy, które potrafią się samodzielnie replikować i rozprzestrzeniać bez udziału użytkownika. Do rozmnażania wykorzystują słabości i luki w systemach, sieciach komputerowych lub aplikacjach. Ich ulubiony sposób działania bazuje na słabych hasłach i niezaktualizowanym oprogramowaniu. 

Adware to oprogramowanie, które może nie jest szczególnie niebezpieczne, ale bywa uciążliwe i prowadzi do rozstroju nerwowego użytkownika. Adware wyświetla po prostu niechciane reklamy, jest zwykle dołączane do bezpłatnych programów, a jego celem jest generowanie przychodów za wyświetlone reklamy lub zebrane informacje o użytkowniku, które służą do celów marketingowych. 

ATAKI HAKERSKIE na sieci 

Ataki hakerskie to wszelkie próby nieautoryzowanego dostępu do systemów komputerowych, sieci i zasobów w celu naruszenia poufności, integralności lub dostępu do danych. Najczęściej przeprowadzają je grupy cyberprzestępców, którzy wykorzystują swoje umiejętności techniczne i rozległą wiedzę techniczną w celu osiągnięcia celów sprzecznych z interesem właścicieli tych zasobów. Przedmiotem ataków z reguły są urządzenia sieciowe takie, jak serwery, routery, czy zapory ogniowe (firewalle). Atak może mieć na celu przejęcie kontroli nad urządzeniem, przerwanie jego działania lub przekształcenia go w miejsce dalszych ataków.  

Najbardziej typowe i najczęściej spotykane cyberataki na sieci przybierają postać: 

ataków typu DDoS (Distributed Denial of Service), gdy hakerzy wysyłają duże ilości żądań obsługi do systemu lub sieci, co powoduje jej przeciążenie i uniemożliwia normalne funkcjonowanie aplikacji lub np. strony internetowej obsługującej klientów banków. Ataki DDoS są najczęściej przeprowadzane za pomocą botnetów – grupy synchronicznie działających zainfekowanych komputerów. Taki sposób działania jest często wykorzystywany przy atakach na infrastrukturę rządową, a efektem jest niedostępność cyfrowych usług dla społeczeństwa. 

ataków na systemy operacyjne, które się skupiają na podatnościach i słabościach w systemach operacyjnych, takich jak Windows, macOS czy Linux. Hakerzy próbują uzyskać dostęp do systemu, przejąć nad nim kontrolę, a potem wykonać nieautoryzowane działania zgodne z ich oczekiwaniami. 

ataki typu „zero-day”, które wykorzystują nieznane wcześniej podatności w oprogramowaniu. To rodzaj wyścigu pomiędzy programistami, tymi dobrymi z tymi złymi. Każde oprogramowanie ma błędy i luki, a hakerzy starają się je wykorzystać zanim zostaną one odkryte i załatane przez producentów oprogramowania. Jeśli zrobią to szybciej niż pojawią się łatki – mogą, w zależności od znaczenia luki, narobić całkiem poważnych szkód. 

CYBERATAKI NA DANE OSOBOWE 

Cyberataki na dane osobowe polegają na nieautoryzowanym dostępie, kradzieży lub wykorzystaniu poufnych informacji dotyczących osób fizycznych. Celem takich ataków jest uzyskanie danych osobowych, takich jak imię i nazwisko, numer dowodu osobistego, adres zamieszkania, numery kont bankowych, numery kart kredytowych czy dane logowania. W dzisiejszych czasach takie informacje są bardzo wartościowe, a skradzione pliki są sprzedawane za ciężkie pieniądze. Nic zatem dziwnego, że są silną pokusą dla cyberprzestępców. 

Chyba najbardziej znanym atakiem tego typu było włamanie do Sony Entertaiment Picture w listopadzie 2014 roku, gdy pracownicy nie mogli korzystać ze sprzętu, a firma straciła prawdopodobnie duże ilości danych – w tym również tych najbardziej wrażliwych. Do ataków tego typu dochodzi najczęściej w słabo zabezpieczonych bazach danych, gdzie za pomocą wstrzykiwania złośliwego kodu SQL do strony internetowej lub aplikacji, hakerzy uzyskują nieautoryzowany, często pełny dostęp do bazy danych. 

Od strony technicznej takie ataki nie różnią się od innych – tu specyficzny jest tylko cel włamania. Może być to zatem phishing, instalacja malware, próba uzyskania nieautoryzowanego dostępu do baz danych, czy innych zasobów informatycznych organizacji. 

O tym, że dane osobowe użytkowników różnych portali zostały skradzione, często dowiadujemy się po czasie. W Polsce chyba do najbardziej znanych wycieków należą te z CD Projekt Red w 2017 roku, gdy firma ogłosiła, że dane osobowe klientów i pracowników mogły zostać naruszone w wyniku ataku na swoje systemy, rok później jeden z większych sklepów internetowych Morele.net poinformował, że także stracił dane osobowe swoich klientów, w tym adresy e-mail, hasła i wiele innych cennych informacji. Nawet firma hostingowa home.pl nie ustrzegła się przed atakiem i w 2020 roku ogłosiła o wycieku danych swoich klientów. 

Takie ataki są o tyle niebezpieczne, że niestety użytkownicy dla wygody często stosują to samo hasło w wielu miejscach. Stąd już prosta droga do katastrofy i utraty swoje cybernetycznej tożsamości, a często także i wszystkich pieniędzy.  

Przy okazji ataków na dane osobowe warto wspomnieć o dwóch innych typach działań hakerskich: 

Skimming danych polegający na instalacji specjalnych urządzeń na terminalach płatniczych lub bankomatach w celu przechwytywania danych kart kredytowych lub debetowych. Uzyskane tą metodą dane mogą być wykorzystywane do oszust, a już na pewno wiążą się ze stratą pieniędzy i reputacji.  

Social engineering to typ ataku bazujący na wyrafinowanych socjotechnikach zmierzających do takiego manipulowania ludźmi, aby sami podali poufne informacje. Działanie cyberprzestępców jest uwiarygadniane za pomocą podszywania się pod pracowników firm, najczęściej dostawców energii, firm telekomunikacyjnych, administracji budynków, policji itd. Do tego często dla wzmocnienia efektu wywierana jest presja emocjonalna i budowana atmosfera pośpiechu, co sprzyja przekonaniu ofiar do ujawnienia swoich danych osobowych. 

RANSOMWARE  

Do najniebezpieczniejszych typów cyberataków należy ransomware. Najkrócej mówiąc, jest to rodzaj złośliwego oprogramowania, które blokuje dostęp do danych lub systemu komputerowego i żąda od ofiary okupu w zamian za przywrócenie dostępu lub odszyfrowanie plików. Słowo „ransom” oznacza „okup” w języku angielskim, co bardzo dobrze oddaje istotę tego typu ataku.  

Jak podaje firma badawcza Gartner, 73% firm doświadczyło w ciągu ostatnich dwóch lat prób ataku tego typu, ale co gorsza 63% firm stwierdziło, że napastnicy buszowali w ich zasobach co najmniej sześć miesięcy przed wykryciem ataku. Nic zatem dziwnego, że 37% zaatakowanych firm musiało w efekcie zwolnić pracowników, a 35% menedżerów najwyższego szczebla straciło pracę z tego powodu.  

Jak działa ransomware? Oto najważniejsze etapy ataku:  

Infekcja – aby się dostać do komputera ofiary ransomware najczęściej wykorzystuje kliknięcie w spreparowany link, załącznik lub wizytę na zainfekowanej stronie internetowej. Może się także rozprzestrzeniać za pomocą luk w zabezpieczeniach sieci.  

Szyfrowanie danych – po zainfekowaniu systemu rozpoczyna się proces szyfrowania plików ofiary. Wszystkie lub wybrane pliki na dysku twardym, włącznie z dokumentami, zdjęciami, bazami danych czy plikami wideo, są szyfrowane z użyciem silnego algorytmu, co powoduje, że są nieczytelne bez odpowiedniego klucza deszyfrującego i kompletnie bezużyteczne dla ich posiadacza. 

Żądanie okupu – po zakończeniu szyfrowania wyświetla się komunikat z żądaniem okupu lub ekran blokujący, który informuje ofiarę o zaszyfrowaniu danych. Z reguły taki komunikat wskazuje jednocześnie, w jaki sposób należy opłacić okup, najczęściej w kryptowalutach, np. bitcoinach, co dodatkowo utrudnia wyśledzenie sprawców. Dla opornych są również groźby. Brak wpłaty oznacza utratę danych lub ich zaszyfrowanie na stałe.  

Płatność okupu – nieszczęśnik jest zmuszany do dokonania płatności w zamian za klucz deszyfrujący lub narzędzie do odzyskiwania danych. Tu niestety nie ma gwarancji, że po opłaceniu się, cokolwiek się zmieni, a liczenie na szczęście jest bardzo ryzykowne.  

O skali strat wywołanych przez ransomware nie ma potrzeby nikogo przekonywać – są one gigantyczne. Nie tylko finansowo, ale i wizerunkowo. Według raportu „The State of Ransomware 2021” firmy Sophos, przeciętny koszt odtworzenia danych po ataku ransomware dla firm wynosił 1,85 miliona dolarów. Inny raport, „Ransomware: A Growing International Threat” firmy Cybersecurity Ventures, przewiduje, że koszty globalne związane z ransomware będą sięgały 20 miliardów dolarów w roku 2021 roku. 

Dla firm, na wartość szkód powodowanych przez ransomware składają się przede wszystkim: 

• koszty odtworzenia danych lub odzyskania systemów, 
• opóźnienia w działalności i utrata przychodów, 
• wpływ na reputację i zaufanie klientów, 
• koszty związane z audytem i śledzeniem incydentu, 
• wymagane okupu lub straty finansowe związane z odmową płatności, 
• koszty związane z wdrożeniem zwiększonych środków bezpieczeństwa. 

ATAKI Z UŻYCIEM SOCJOTECHNIKI 

Cyberataki bazujące na psychologii i socjotechnice są chyba najtrudniejsze do odparcia, bo wykorzystują one ludzkie słabości, nadmierną ufność, niewiedzę. Klasyczny przykład to phishing, który skłania odbiorcę do np. kliknięcia w link, otworzenia załącznika, czy podania swoich poufnych danych osobowych. 

Zdarza się, że hakerzy stosują tzw. spear phishing, czyli bardziej zaawansowaną odmianę phishingu. Polega ona na wykorzystywaniu spersonalizowanych, precyzyjnie skonstruowanych wiadomości e-mail lub SMS do konkretnych osób. Źródłem informacji są najczęściej media społecznościowe lub strony internetowe, których wiarygodność przekonuje ofiarę do podania poufnych informacji. Najczęściej zaatakowana osoba sama ułatwia zadanie cyberprzestępcom, zostawiając w sieci zbyt wiele informacji na swój temat.  

Pretekstowanie polega na tworzeniu fałszywych sytuacji, scenariuszy lub postaci, aby przekonać ludzi do udostępnienia poufnych informacji. Na przykład, atakujący może udawać pracownika firmy IT, dostawcę usług lub osoby związanej z organizacją w celu zdobycia dostępu do systemów lub danych. 

Smishing powstał z połączenia słów „SMS” i „phishing”, co dobrze oddaje istotę ataku. Napastnik wysyła wiadomości tekstowe na telefony komórkowe, podszywając się pod zaufane źródła. Wiadomości te zazwyczaj mają na celu skłonienie odbiorcy do podjęcia jakiejś czynności, której skutkiem jest podanie poufnych informacji lub kliknięcie w spreparowane linki. 

Dumpster diving sprowadza się do przeszukiwania śmieci lub odpadów organizacji w celu znalezienia informacji, które mogą zostać wykorzystane do przeprowadzenia ataku. Takie rzeczy się naprawdę zdarzają. Od tego zaczynał Kevic Mitinic, bodaj najbardziej znany hacker na początku ery komputeryzacji. Wyrzucone, a nie solidnie i nieodwracalni zniszczone dokumenty lub urządzenia elektroniczne mogą zawierać dane, które mogą być wykorzystane przez hakerów. 

OCHRONA PRZED CYBERZAGROŻENIAMI 

Jak zatem się chronić przy takiej skali i zróżnicowaniu zagrożeń? Nieco inaczej wygląda indywidualna ochrona każdego użytkowania, a inaczej dbanie o cyberbezpieczeństwo w dużej organizacji o znacznych zasobach IT. Jednak bez względu na skalę działalności, większość działań jest wspólna dla wszystkich i obejmuje:  

• zabezpieczanie sieci firmowych i domowych silnymi hasłami, na dodatek regularnie zmienianymi oraz wieloskładnikowej autentykacji i autoryzacji dostępu, 

• aktualizację oprogramowania osprzętu sieciowego, używanych systemów operacyjnych i najważniejszych aplikacji. Regularne instalowanie nowych wersji, czy choćby mało znaczących łatek przyczyni się do utrzymania systemów w pełnej sprawności. 
• używanie zapory ogniowej, czyli firewalla oraz regularne sprawdzanie logów systemowych w poszukiwaniu podejrzanych aktywności. 
• traktowanie z dużą rezerwą podejrzanych wiadomościami e-mail, linków i załączników, 
• regularne tworzenie kopii zapasowych danych i przechowywanie ich w bezpiecznym miejscu, 
• w przypadku dużych organizacji – stworzenie zapasowego centrum danych i wdrożenie procedur szybkiego odzyskiwania danych po ataku hakerskim, 
• stałe podnoszenie świadomości na temat najnowszych zagrożeń i praktyk bezpieczeństwa cybernetycznego, 
• rozumienie, że ludzki czynnik jest często najsłabszym punktem w systemach bezpieczeństwa, dlatego świadomość i ostrożność są kluczowe w zapobieganiu atakom opartym na socjotechnice, 
• edukacja i uczestnictwo w programach szkoleniowych z zakresu bezpieczeństwa IT. 

Do bardziej szczegółowych zaleceń indywidualnych należy zaliczyć: 

• Unikanie używania publicznych sieci Wi-Fi do przesyłania poufnych informacji, 
• Staranne sprawdzanie adresów e-mail nadawców, nieotwieranie podejrzanych linków, ignorowanie załączników pochodzących od nieznanych lub niezaufanych nadawców.  
• Każda zaskakująca i nieoczekiwana wiadomość powinna być sygnałem ostrzegawczym. Czasami warto się upewnić np. telefonicznie, czy nadawca, nawet znany i zaufany, rzeczywiście wysłał konkretną wiadomość. 
• Koniecznie należy bardzo dokładnie i bez pośpiechu sprawdzać adresy URL stron internetowych, głównie pod kątem literówek i ogólnej poprawności adresu. Jeśli strona prosi lub wymaga podania poufnych informacji, a ma certyfikat SSL, warto sprawdzić kto jest jego wystawcą. Na strony bez certyfikatów lepiej nie zaglądać, nie mówiąc już o pozostawianiu tam poufnych informacji. Czasami chwila namysłu, czy strona jest prawdziwa, może uratować przed katastrofą. 
• Nie wolno podawać swoich poufnych informacji ani danych logowania na każde żądanie, chyba że jest się pewnym, że to komunikacja z pewnym i wiarygodnym źródłem. Nie zawsze nadawca albo dzwoniący jest tym, za kogo się podaje. Nieufność w tym przypadku bywa skuteczną zaporą dla cyberprzestępców.  
• Używany sprzęt komputerowy powinien używać oprogramowania antywirusowego i antyphishingowego, które pomoże wykrywać i blokować podejrzane treści. W najgorszym przypadku zwróci chociaż uwagę użytkownika, że dzieje się coś nietypowego.  
• Rozmawiając przez telefon trzeba być ostrożnym – czy na pewno rozmówca to wiarygodna osobą? Może warto oddzwonić do instytucji, którą reprezentuje i upewnić się, że takie rozmowy są prowadzone? Nie wolno tylko oddzwaniać na podany przez rozmówcę numer – często są na to już przygotowani. Ogólnie, należy być bardzo ostrożnym przy udzielaniu jakichkolwiek informacji osobistych przez telefon. 
• Należy pamiętać, że każdy nawet odrobinę podejrzany lub nieznany komunikat trzeba traktować z dużą ostrożnością, a wszelkie wątpliwości warto skonsultować z odpowiednim źródłem, aby potwierdzić ich autentyczność.  
• Źródłem ostrożności i nieufności zawsze powinny być drobne nieścisłości, literówki, czy nietypowe prośby i żądania w otrzymywanych wiadomościach. 
• Najlepiej po prostu stosować się do zasad „Zero-Trust”, bez względu na to, skąd pochodzi żądanie i do jakiego zasobu ma dostęp. Zgodnie z tą zasadą każde żądanie o dostęp jest silnie uwierzytelniane, autoryzowane zgodnie z politykami i sprawdzane pod kątem anomalii przed udzieleniem dostępu. Wszystko, od tożsamości użytkownika po środowisko hostingowe aplikacji, służy do zapobiegania atakom wewnętrznym. Najlepiej zapamiętać: „Never Trust, Always Verify”. 

Warto także pamiętać, że  

• Nie każdy portal z bezpłatnym oprogramowaniem użytkowym jest wiarygodny – nie wolno pobierać plików z niezaufanych źródeł ani klikać w podejrzane linki, a otwieranie załączników warto poprzedzić namysłem, czy rzeczywiście to zaufane i sprawdzone miejsce lub źródło. 
• Używane oprogramowanie antywirusowe musi być wiarygodne i pobrane z zaufanego źródła. Programy antimalware także wymagają regularnego aktualizowania definicji i własnych baz danych. 
• Warto unikać pobierania plików z niezaufanych źródeł, otwierania podejrzanych załączników w wiadomościach e-mail, klikania w podejrzane linki, szczególnie na świeżo poznanych stronach o niskim poziomie zaufanie – to podstawy, bez względu na rodzaj cyberzagrożenia. 
• Używane hasła muszą należeć do kategorii silny, a przede wszystkim nie powinny być używane te same hasła do obsługi wielu kont. W tym zakresie bardzo ułatwiają życie wszelkie menedżery haseł. Użytkownik musi pamiętać jedno hasło główne, a w pozostałych miejscach jego zróżnicowane i silne hasła uzupełnia już aplikacja. Nie od rzeczy jest również zapisanie hasła głównego w przeglądarce, bo co będzie, jeśli gdzieś się zgubi nasz laptop, czy tablet? Warto o tym pomyśleć już teraz.  
• Kopie zapasowe, szczególnie newralgicznych danych, powinny być regularnie tworzone i przechowywane w bezpiecznym miejscu. Warto także od czasu do czasu sprawdzić, czy takie kopie są w pełni wartościowe i mogą spełnić swoje zadanie. 
• Regularne sprawdzanie stanu kont bankowych i kart kredytowych – szyba reakcja i blokada dostępu może ograniczyć skalę szkód.  

Pełnej, stuprocentowej ochrony przed atakami hakerskimi raczej nie ma. Jednak ważne jest, aby mieć pełną świadomość, że zagrożenia ciągle ewoluują, hakerzy wciąż doskonalą swoje techniki, a ostatnio zyskali cenne narzędzie w postaci sztucznej inteligencji np. ChatGPT. Dlatego tak bardzo ważne jest, aby być czujnym, świadomym i podejmować odpowiednie środki ostrożności w celu ochrony swoich systemów i danych.