Archiwum wg Tagów | "TestArmy CyberForces"

Tags: , ,

Metoda “na pizzę” – nowy sposób cyberhakerów na firmowe dane

Dodany 27 maja 2019 przez admin

8 pudełek pizzy z 30% rabatem i darmowy gadżet do komputera. Hakerzy podszywając się pod dostawców pizzy, przeprowadzili skuteczny atak socjotechniczny na warszawski oddział znanej, międzynarodowej korporacji. W ciągu kilku minut zhakowali system informatyczny, skutecznie paraliżując działanie całej firmy.

Tylko w Polsce z atakami phishingowymi rocznie styka się blisko 20% internautów. Na celowniku, obok użytkowników banków i systemów płatniczych, są e-klienci sklepów internetowych, co dowodzi, że głównym celem hakerów są nasze pieniądze (dane Kaspersky Lab). Zresztą hakerski “biznes” opłaca się, bo jak podaje Nest Bank, aż 30% Polaków w ogóle nie wie co to phishing, a 32% ma wrażenie, że wie, choć pewności nie ma.

Jednocześnie nadal rośnie liczba ataków whalingowych, czyli bardziej dokładnego i wyrafinowanego phishingu nakierowanego na instytucje rządowe i duże biznesy. Jak donoszą autorzy raportu Verizon DBIR 2019, dziś menedżerowie wysokiego szczebla i dyrektorzy firm (czyli osoby posiadające przywileje wykonawcze i dostęp do wielu zastrzeżonych, często krytycznych rejonów infrastruktury informatyczne) są 12 razy bardziej narażeni na atak socjotechniczny niż jeszcze rok temu.

Najdroższa pizza w historii

Hakerzy stosują różne metody, próbując wykraść ważne dla nich dane, takie jak m.in. dane dostępowe do kont bankowych, numery PIN lub CVC kart kredytowych, szczegółowe dane osobowe czy – w przypadku whalingu – wrażliwe dane firmowe. Nadal głównym, choć nie jedynym wektorem cyberataku są maile, a jedną z najpopularniejszych form – ataki socjotechniczne, czyli takie, które bazują na skłonności człowieka do bezwiednego ulegania wpływom innym. Przekonali się o tym dyrektorzy i pracownicy znanej, międzynarodowej korporacji, której warszawski oddział został zaatakowany przez hakerów metodą “na pizzę”. Pomimo że firma posiadała ochronę sprzętu i oprogramowania na najwyższym, światowym poziomie, cyberprzestępcom udało się znaleźć lukę w zabezpieczeniu. Jak przebiegł atak?

Na służbowe adresy mailowe, podane na naszej stronie internetowej, przyszła informacja o otwarciu nowej pizzerii w okolicy wraz z 30% zniżką dla pierwszych klientów. Pracownicy skuszeni tą ofertą szybko zorganizowali “Pizza Day” i zamówili 8 pudełek. Menu znajdowało się na stronie www pizzerii, jak się później okazało, która była fałszywa i powstała tylko w celu uwiarygodnienia istnienia nowego lokalu – opowiada Adam, CEO zaatakowanej firmy (ze względów bezpieczeństwa nazwa firmy nie została ujawniona).

Co stało się dalej? Po kilkudziesięciu minutach w firmie pojawił się dostawca z pizzą i gratisem w postaci LEDowych lampek na USB, zmieniających kolory w rytm muzyki. Mile zaskoczeni upominkiem pracownicy bez wahania podłączyli je do komputerów. Nie mieli świadomości, że w ten sposób dali hakerom zdalny dostęp do urządzeń firmowych, a ci w kilka minut zdestabilizowali pracę całego systemu, a co za tym idzie, całej firmy.

Jak to możliwe, że firma posiadająca ochronę na najwyższym poziomie, padła ofiarą cyberprzestępców? Zawiodło najsłabsze, najmniej przewidywalne, a przy tym najbardziej podatne ogniwo, czyli człowiek – w tym przypadku nieświadomi zagrożeń, nieodpowiednio przeszkoleni pod względem bezpieczeństwa pracownicy firmy.

Za atakiem stało TestArmy CyberForces

Na szczęście dla pracowników, atak metodą “na pizzę” okazał się być z góry zaplanowanym audytem bezpieczeństwa, który miał wykazać, na jakich polach firma nadal jest zagrożona. Jak mówi Szymon Chruścicki z TestArmy CyberForces, który na zlecenie korporacji przygotował scenariusz ataku i przeprowadził test socjotechniczny:

Scenariusz ataku opierał się na kilku prostych krokach. Zaczęliśmy od stworzenia fałszywej strony www, a następnie zamówiliśmy naklejki z nazwą i logo pizzerii. Jako wektor ataku wykorzystaliśmy służbowe maile, podane na stronie atakowanej korporacji. Po otrzymaniu zamówienia od pracowników, nasz pracownik dostarczył pizzę z lokalnej pizzerii, naklejając na pudełko logo naszej fikcyjnej. Posłużyliśmy się regułą wzajemności i sympatii, żeby wymusić na pracownikach podjęcie zaplanowanego działania, w tym przypadku chodziło o podłączenie do komputerów lampek, w które wbudowaliśmy spreparowane pendrive’y ze złośliwym oprogramowaniem. Pod budynkiem czekał nasz specjalista od cyberbezpieczeństwa, który po uzyskaniu zdalnego dostępu do urządzeń, zaszyfrował wszystkie dane w firmowym systemie.

Po co to wszystko? Pamiętajmy, że system bezpieczeństwa jest tak skuteczny jak jego najsłabsze ogniwo, i choćby z tego powodu ataki socjotechniczne są jedną z najskuteczniejszych metod wykorzystywanych przez hakerów. Aby dobrze zrozumieć specyfikę tych zagrożeń, symulacje z użyciem złośliwego oprogramowania są konieczne. Z jednej strony pozwalają ujawnić luki w zabezpieczeniach, a z drugiej – szkolić pracowników jak nie padać ofiarą socjotechnicznych sztuczek stosowanych przez cyberprzestępców.

Głośne przykłady z ostatnich miesięcy

Przykłady skutecznie przeprowadzonych ataków socjotechnicznych można by mnożyć.

  • Kilka milionów złotych straciła, należąca do Polskiej Grupy Zbrojeniowej, spółka Cenzin, po tym jak cyberprzestępcy podszyli się pod dostawcę broni z Czech. Pracownicy nie zweryfikowali wysłanych mailem informacji o zmianie numeru konta mailowego, na które Cenzin wpłacał pieniądze na zakupiony towar, w efekcie czego środki zaczęły trafiać na konto cyberprzestępców.

  • Dane osobowe 20 tys. pracowników FBI i 9 tys. pracowników Departamentu Bezpieczeństwa Krajowego w USA wyciekły po tym, jak haker podając się za nowego pracownika zadzwonił do Departamentu Sprawiedliwości, prosząc o przekazanie kodu dostępu do zastrzeżonych stron instytucji. W efekcie uzyskał dostęp do wewnętrznej sieci zawierającej m.in. adresy mailowe należące do członków armii Stanów Zjednoczonych i informacje o numerach ich kart kredytowych.

  • Jeden z amerykańskich banków odniósł ogromne straty wizerunkowe po tym, jak hakerzy włamali się do jego systemu pocztowego i po odmowie zapłacenia haraczu, rozpoczęli masową, liczoną w milionach wysyłkę maili o spamowym charakterze. W efekcie dostawca usług internetowych został zmuszony do wyłączenia usługi poczty elektronicznej banku.

  • Ponad 500 tys. dolarów zarobili w 2018 roku hakerzy wykorzystując tzw. “sextortion scam”, czyli szantaż polegający na wysłaniu maila (zwykle z adresu należącego do ofiary) z groźbą upublicznienia rzekomo posiadanych kompromitujących filmów czy zdjęć ofiary, jeżeli haker nie otrzyma żądanej kwoty (dane GlobalSign).

Jak się bronić przed hakerami? TOP 4 wskazówki:

 

  1. Usuwaj wszystkie wiadomości z prośbą o podanie danych osobowych, loginów i haseł. Taki mail to oszustwo.
  2. Weryfikuj nadawców maili przed tym, jak wyślesz im żądane pliki czy wykonasz proszoną czynność. Nie raz, nie dwa, a trzy razy.
  3. Ustaw wysoko filtry antyspamowe w poczcie elektronicznej.
  4. Regularnie aktualizuj oprogramowanie antywirusowe i korzystaj wyłącznie z bezpiecznych stron internetowych.

Jak podsumowuje Dawid Bałut, ekspert od cyberbezpieczeństwa z TestArmy CyberForces: – Bądźmy uważni i ostrożni. Zainwestujmy w szkolenia pracowników i stale przestrzegajmy ich przed otwieraniem niezweryfikowanych maili i załączników od nieznanych nadawców. Jeśli coś wzbudzi wątpliwości, niezwłocznie zgłaszajmy się do firmowego działu IT. To bardzo proste czynności, które jednak zabezpieczają to, co najłatwiejsze do zmanipulowania przez hakerów, czyli czujność człowieka.

 

P.S. Jako jedyny plus można wskazać, że nie jesteśmy głównym celem cyberprzestępców. Zgodnie z danymi Kaspersky Lab, największy odsetek ofiar ataków phishingowych znajduje się w Brazylii, Australii, Hiszpanii i Portugalii. Polska z wynikiem na poziomie 10,2% plasuje się mniej więcej w połowie zestawienia.

Źródło: TestArmy CyberForces

Komentarzy (0)

Tags: , ,

Zaczęło się – 10 zdarzeń wyznaczających kierunki rozwoju cyberbezpieczeństwa

Dodany 14 lutego 2019 przez admin

Analiza cyberzagrożeń oraz tworzenie planów uwzględniających działania o najwyższym zwrocie z inwestycji. To kierunki, którymi już teraz podąża większość świadomych oraz zaawansowanych technologicznie organizacji i przedsiębiorstw. Sprawdziliśmy, co jeszcze będzie dziać się w sektorze cyberbezpieczeństwa w najbliższych miesiącach.

 

Każdego dnia słyszy się o atakach hakerskich na organizacje i przedsiębiorstwa, wyciekach danych czy zjawiskach takich, jak masowe kampanie dezinformacyjne, sponsorowane przez rządy zaawansowanych technologicznie krajów. Dziś cyberbezpieczeństwo to bardzo dynamiczny obszar, w którym strategiczne podejście do umacniania systemów bezpieczeństwa jest kwestią krytyczną. – Istotnym jest, aby na bieżąco edukować się w zakresie nowych zagrożeń, a przy tym nie tylko implementować znane już dobre praktyki, ale wypracowywać nowe, skuteczne mechanizmy zabezpieczające struktury informatyczne organizacji czy przedsiębiorstw – tłumaczy Dawid Bałut, ekspert w zakresie cyberbezpieczeństwa z TestArmy CyberForces.

 

Analizując ubiegłoroczne, globalne i krajowe, wydarzenia ze świata cyberbezpieczeństwa oraz najnowsze trendy, ekspert przygotował 10 kluczowych zdarzeń, które zdominują kierunek rozwoju tego sektora w ciągu najbliższych miesięcy.

 

10 trendów związanych z cyberbezpieczeństem, które już się dzieją

    1. Firmy technologiczne inwestują coraz większe zasoby w migrację do kultury zwinnego wytwarzania oprogramowania, co niesie ze sobą konieczność implementacji zautomatyzowanych mechanizmów dla zapewniania jakości oraz bezpieczeństwa produktów i infrastruktury.
    2. Korporacje wydzielają znaczną część budżetów na edukację pracowniczą w zakresie cyberzagrożeń, skupiając się na zagadnieniach związanych z inżynierią społeczną oraz atakami phishingowymi. Można spodziewać się zwiększonych nakładów na implementację kultury DevSecOps, zgodnie z którą każdy pracownik jest współodpowiedzialny za bezpieczeństwo organizacji.
    3. Ataki ransomware nie znikną, gdyż są zbyt dochodowe. Można jednak spodziewać się przeniesienia wektora ataku na korporacyjne infrastruktury serwerowe, aniżeli na komputery prywatne użytkowników. Firmy będą gotowe zapłacić o wiele więcej za odzyskanie dostępu do infrastruktury, na której opiera się funkcjonowanie ich biznesu.
    4. Biorąc pod uwagę ogromną skalę wycieków danych w 2018 roku, w tym roku firmy oczekują o wiele wyższego poziomu bezpieczeństwa od swoich dostawców oprogramowania. Coraz szybciej zmierza się w kierunku, w którym firmy będące liderami bezpieczeństwa będą zagarniać większą część rynku korporacyjnego, któremu zależy na stabilnej usłudze oraz poufności danych klientów.
    5. W roku 2018 widzieliśmy kilka drobnych pozwów wynikających z ustawy RODO, ale to w 2019 zobaczymy prawdziwie kosztowne sprawy sądowe skierowane w firmy, które nieodpowiednio zadbały o procesy bezpieczeństwa w swoich organizacjach i pozwoliły na wycieki wrażliwych danych użytkowników.
    6. Organizacje rządowe rozpoczynają prace nad analizą wpływu cyfrowych technologii uzależniających na bezpieczeństwo narodowe oraz przygotowanie planów mających na celu zmniejszenie ich negatywnego oddziaływania na zdrowie społeczeństwa, gospodarkę oraz stan cyberbezpieczeństwa kraju

Poza tym:

  1. Kampanie dezinformacyjne nabierają jeszcze większego rozpędu, szczególnie ze względu na rozwój technologii sztucznej inteligencji, która w coraz bardziej wiarygodny sposób pozwala preparować wypowiedzi polityków i innych kluczowych osób.
  2. Ataki phishingowe stają się bardziej zaawansowane i coraz częściej wykorzystują zaufane platformy służące do dzielenia się plikami, jak np. Google Drive.
  3. Rozwinięcie sieci 5G oznacza jeszcze więcej urządzeń podłączonych do Internetu Rzeczy. Lodówki, samochody, kamery dla dzieci, konsole, telewizory i wiele innych urządzeń pozwala cyberprzestępcom na zdalne uzyskiwanie dostępu do prywatnych rejonów życia.
  4. Biorąc pod uwagę podejście nowych pokoleń do prywatności w sieci, śmiałego dzielenia się poufnymi informacjami na portalach społecznościowych oraz nierzadkie przypadki wycieków danych, można spodziewać się wielu dyskusji na tym tle. Jest to temat bardzo zaawansowany społecznie, jednak zdecydowanie każdy dyrektor odpowiedzialny za bezpieczeństwo danych powinien pozostawać na bieżąco z formującymi się normami społecznymi odnośnie prywatności w sieci.

Co z cyberbezpieczeństwem w sektorze publicznym?

Narodowe Centrum Kryptologii, ustawa o krajowym systemie cyberbezpieczeństwa, konsorcja bankowe działające na rzecz poprawy stanu bezpieczeństwa podmiotów finansowych oraz wiele innych inicjatyw, które pojawiły się w ubiegłym roku. Wygląda na to, że Polska, która dotychczas zwykła nie skupiać rządowych inwestycji na sferze cyberbezpieczeństwa, dostrzegła olbrzymie znaczenie posiadania odpowiednich protokołów bezpieczeństwa. Ostatecznie w obecnych czasach mamy do czynienia z wojnami hybrydowymi, których znaczny element stanowią wojny cybernetyczne, mające na celu wykorzystanie technologii do propagowania dezinformacji, obniżania stabilności gospodarki oraz burzenia ładu społecznego oponentów.

Na styczniowej konferencji „A New Initiative for Poland: A Future Global Leader in Securing the 4th Industrial Revolution” organizowanej przez Atlantic Council oraz PKO BP, premier Mateusz Morawiecki i sekretarz stanu w Ministerstwie Obrony Narodowej Tomasz Zdzikot zadeklarowali, że jako państwo będziemy przykładać coraz większą wagę do wojska cybernetycznego oraz poprawienia poziomu bezpieczeństwa wszystkich instytucji pożytku publicznego. Miejmy nadzieję, że te deklaracje pociągną za sobą praktyczne działania i Polska zacznie rzeczowo podchodzić do implementacji planów cyberbezpieczeństwa, które do tej pory były jedynie teoretyczną wizją – podsumowuje Dawid Bałut.

Źródło: TestArmy CyberForces

Komentarzy (0)

Tags: , , ,

200 tys. zł kary – większość podmiotów nie wykona zadań w terminach wyznaczonych ustawą o cyberbezpieczeństwie

Dodany 11 grudnia 2018 przez admin

Problemy z interpretacją przepisów ustawy o krajowym systemie cyberbezpieczeństwa oraz bardzo krótki czas na wypełnienie zadań nałożonych przez ustawodawcę przysporzą przedsiębiorcom sporo problemów. Kary finansowe za niewykonanie obowiązków wynikających z ustawy grożą zarówno firmom objętym legislacją, jak i osobom zajmującym kierownicze stanowiska.

Od początku roku tylko do września 2018 w polskiej sieci doszło do ponad 2,5 tysiąca incydentów związanych z naruszeniem bezpieczeństwa (dane NASK). Teraz atak cyberprzestępcy będzie kosztował przedsiębiorców jeszcze więcej. Zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, która weszła w życie 28.08.2018 r., sankcje finansowe grożą OUK – objętym ustawą operatorom usług kluczowych oraz osobom zajmującym kierownicze stanowiska, którzy nie dopełnili swoich obowiązków.

Najbardziej zagrożone sektory

Oczywiście zdecydowana większość firm objętych ustawą już posiada odpowiednie wdrożenia oraz własne zespoły ludzi czuwających nad ochroną infrastruktury – to przede wszystkim sektor bankowości, finansów i operatorzy sieci. Natomiast brakuje rzetelnych danych, które pokazywałyby na ile bezpieczne są systemy wykorzystywane przez urzędy i jak często jednostki administracji publicznej stykają się z zagrożeniami.

Poza tym, jak mówi Dawid Bałut, CEO TestArmy CyberForces: – Publicznie niewiele wiadomo o stanie bezpieczeństwa w przedsiębiorstwach energetycznych, transportowych i z sektora zdrowotnego. Ukrywanie tych informacji przez organizacje zazwyczaj sugeruje, że poziom bezpieczeństwa jest niższy niż byśmy sobie życzyli. Zachowują takie informacje dla siebie w obawie o negatywną krytykę społeczeństwa oraz ściągniecie na siebie większej uwagi cyberprzestępców. Dlatego mierzymy się dzisiaj także z wyzwaniem kulturowym, wymagającym zrozumienia i zaakceptowania tego, że choć cyberbezpieczeństwo nie generuje bezpośrednich zysków, służy do minimalizowania strat finansowych oraz reputacyjnych w przypadku skutecznego ataku hakerskiego.

Trzy miesiące na wdrożenie przepisów w życie

Do tej pory brakowało regulacji państwowych w kwestii cyberbezpieczeństwa. Dlatego, choć dla części przedsiębiorców jest to temat nowy, jego realizacja nie może być rozciągnięta w czasie. Wdrożenia rozwiązań poprawiających stan bezpieczeństwa oczekuje się już teraz. Za niewykonanie obowiązków – grożą kary finansowe.

Odliczanie czasu rozpoczyna się w momencie otrzymania decyzji administracyjnej o uznaniu podmiotu za operatora usług kluczowych (OUK) i wpisania go do wykazu – organy państwowe miały na to czas do 9 listopada 2018 r. Od tego dnia przedsiębiorstwo ma zaledwie trzy miesiące na wdrożenie rozwiązań, które będą umożliwiać dokonywanie szacunku ryzyka dla usług kluczowych. Musi też być w stanie sprawnie zarządzać, zgłaszać i usuwać wszystkie incydenty związane z bezpieczeństwem, posiadać osobę odpowiedzialną na cyberbezpieczeństwo i prowadzić aktywne działania edukacyjne wobec użytkowników.

Tymczasem, jak ostrzega Dawid Bałut, problemem wielu organizacji jest choćby interpretacja przepisów ustawy o krajowym systemie cyberbezpieczeństwa. – Może dojść do sytuacji, w której podmioty nierozumiejące wymagań zaniżą wagę incydentu, nie zgłaszając go do odpowiednich urzędów – tłumaczy ekspert. Dlatego ważne jest, aby instytucje państwowe zaczęły tworzyć mocne więzi z firmami, które będą wspierać działania zabezpieczające oraz rozwijać know-how w dziedzinie bezpieczeństwa. – Nawet ważniejsze niż aspekty techniczne jest to, aby organy państwowe budowały oparte na zaufaniu relacje z biznesem, dzięki którym ten sektor nie będzie obawiał się komunikacji w sprawie incydentów. Strach i chaos są dla nas największym wrogiem, na którego musimy się przygotować – dodaje Dawid Bałut.

Na tym nie koniec obowiązków. Ustawa daje podmiotom sześć miesięcy na wdrożenie adekwatnych do oszacowanego ryzyka środków technicznych i organizacyjnych pozwalających zbierać dane o zagrożeniach i podatnościach. Organizacja musi też już stosować środki, które będą zapobiegać incydentom i minimalizować skutki potencjalnego nadużycia systemów.

Po dwunastu miesiącach od otrzymania decyzji, podmiot musi przygotować i przekazać pierwszy kompletny audyt.

Posypią się kary?

Obowiązków jest sporo, a proces ich wdrożenia trudny, wysoce niestandardowy, wymagający specjalistycznej wiedzy i doświadczenia. Tymczasem kary finansowe za niedopełnienie obowiązków wynikających z ustawy wynoszą od tysiąca do nawet miliona złotych!

200 tys. zł zapłacą firmy, które nie przeprowadziły audytu lub nie wykonały zaleceń pokontrolnych w wyznaczonym terminie. 150 tys. zł – gdy OUK nie będzie systematycznie przeprowadzał zarządzania ryzykiem wystąpienia incydentu i szacowania takiego ryzyka. 100 tys. zł grozi w momencie niewdrożenia środków technicznych i organizacyjnych uwzględniających wymagania ustawy. Karami finansowymi objęte są również osoby zajmujące kierownicze stanowiska, które nie dopełnili swoich obowiązków – do 200% miesięcznego wynagrodzenia. Minimalna kara finansowa wynosi tysiąc złotych. Maksymalna – 1 milion złotych! Taka sankcja grozi w przypadku stwierdzenia uporczywego naruszania przepisów ustawy.

Czy podmioty zdążą w czasie wyznaczonym przez ustawodawcę i unikną słonych sankcji finansowych?

Ustawa to pierwszy krok do zwiększenia poziomu bezpieczeństwa całego kraju. Choć potrzeba ochrony cyberprzestrzeni jest krytyczna, trzeba pamiętać, że do tej pory Polska nie podejmowała znacznych inwestycji w zarządzanie cyberbezpieczeństwem. Dlatego w mojej opinii większość organizacji nie będzie w stanie wykonać nałożonych zadań w terminie wyznaczonym przez ustawodawcę i będzie mierzyć się z ryzykiem wysokich kar finansowych. Trzymam kciuki za realizację tego jakże potrzebnego projektu, jednak apeluję do organów rządowych o praktyczność i zdrowy rozsądek. Jeśli chcemy czegoś od firm oczekiwać, to musimy je najpierw odpowiednio wyedukować oraz wspierać – podsumowuje Dawid Bałut.

Źródło: TestArmy CyberForces

Komentarzy (0)

Zdjęcia z naszego Flickr'a

Zobacz więcej zdjęć

POWIĄZANE STRONY

ELASTYCZNY WEB HOSTING