Streszczenie: Cyberwojna wciąż toczy się, często poza świadomością społeczną. Choć media uwydatniają akcje takie jak przejęcia bankomatów przez Anonymous, rzeczywiste zagrożenia w cyberprzestrzeni mają inny charakter. Przykładem jest fala dezinformacji i propaganda, które zdominowały przestrzeń w czasie trwającego konfliktu. Polska, mimo iż nie doświadczyła typowych ataków na infrastrukturę krytyczną, była świadkiem zwiększonej aktywności cyberprzestępców. Wzrost liczby ataków miał miejsce po przegrupowaniu się grup posługujących się cyrylicą. Zmieniły się także wektory ataku, przechodząc od tradycyjnych e-maili do bardziej nowoczesnych metod, takich jak SMS-y i media społecznościowe, które stały się narzędziem wyłudzeń.
Przedstawiane w mediach działania Anonymous trafiają do wyobraźni i stają się pretekstem do budowania w cyberprzestrzeni kolejnych zabezpieczeń zasobów organizacji. A co grozi firmom? Co grozi nam wszystkim? Najnowszy raport CERT Orange Polska opisuje rodzaje ataków i sposoby obrony oraz przedstawia trendy na najbliższą przyszłość. O rodzajach przestępstw w cyberświecie mówi Przemysław Dęba, dyrektor Cyberbezpieczeństwa Orange Polska.
Trwa wojna w Ukrainie. Tej w realnym świecie towarzyszy wojna w cyberprzestrzeni. Ukraiński resort obrony wezwał cyberspołeczność swojego kraju do włączenia się w ochronę infrastruktury krytycznej. Na wezwanie odpowiedzieli Anonymous. Czy w kontekście konfliktu zbrojnego Polska jest bezpieczna? Jak chronimy w cyberświecie swoje zasoby?
Wojna w cyberprzestrzeni toczy się nieustannie. Dlatego na informacje o tym, że Anonymous przejęli bankomaty, pociągi czy telewizję, trzeba patrzeć również jak na element propagandy. Z nielicznymi wyjątkami, nie ma dowodów na to, że faktycznie do tego doszło. To, co jest niewątpliwe, związane bezpośrednio z wojną, to olbrzymia fala dezinformacji i właśnie propagandy, która się pojawiła. Typowymi atakami „wojennymi” byłyby ataki na infrastrukturę krytyczną, np. wyłączenie wodociągów czy unieruchomienie elektrowni. Z takimi zdarzeniami nie mieliśmy jednak w Polsce do czynienia. Przeciwnie. Zauważyliśmy, że w pierwszych dniach wojny wszelkiego rodzaju typowe cyberprzestępcze formy aktywności, jak próby włamań i oszustw, właściwie zmalały.
Przemysław Dęba
Dyrektor Cyberbezpieczeństwa Orange Polska
Dlaczego?
To jest bardzo dobre pytanie, sami je sobie zadawaliśmy. W zeszłym roku polski rynek cyberprzestępczy został istotnie zdominowany przez grupy posługujące się cyrylicą. To są jednak ludzie z różnych krajów, dlatego przyczyn spadku aktywności upatrywaliśmy w tym, że musieli się przegrupować po zastanowieniu się, po której chcą być stronie. Teraz sytuacja wróciła do poprzedniego stanu.
Rozumiem, że nie możemy rozmawiać o sposobach ochrony polskiej cyberprzestrzeni. To powiedzmy sobie o cyberzagrożeniach, z jakimi mieliśmy do czynienia w ubiegłym roku. CERT Orange Polska przygotował już coroczny raport. Jakie z niego płyną wnioski?
Odnotowaliśmy kilka dość przełomowych zjawisk. Pierwsze to istotna zmiana wektorów ataku, czyli sposobów docierania do ofiar. Takim wektorem przez wiele lat był tradycyjny e‑mail. Teraz bardzo istotną rolę zaczęły odgrywać SMS‑y czy po prostu telefon. Myślę tu o smartfonach, które przestępcy wykorzystywali, dzwoniąc do potencjalnych ofiar, nakłaniając je za pomocą sztuczek socjotechnicznych np. do przeprowadzenia jakiejś transakcji w banku czy zainstalowania złośliwego oprogramowania. Warto podkreślić rolę mediów społecznościowych. Klikając w zamieszczoną tam atrakcyjną reklamę czy wyjątkowo ciekawy news, ofiary są nakłaniane do przekazania swoich danych, numerów kart kredytowych albo ściągania złośliwego oprogramowania. Popularnym wektorem ataku stały się komunikatory, jak Messenger czy WhatsApp.
Najpopularniejszym oszustwem w ubiegłym roku były wyłudzenia „na kupującego”. Za pomocą właśnie komunikatora, czyli poza platformą transakcyjną, np. OLX, oszust podszywający się pod potencjalnego kupującego proponuje ofierze zapłatę za towar wraz z jego wysyłką poprzez firmę kurierską. Wystarczy tylko wpisać dane swojej karty potrzebne rzekomo do odbioru zapłaty za towar na sfałszowanej stronie, by utracić wszystkie pieniądze na koncie. Pojawiła się również fala gróźb wysyłanych mailem, czy nawet przekazywanych przez telefon. Popularne były też fałszywe alarmy bombowe i tym podobne „żarty”. Było to możliwe dzięki anonimowości sprawców wykorzystujących w tym celu narzędzia takie jak CLI spoofing czy residual VPN.
Renesans przeżywały ataki DDoS, mające jednak mniejszą siłę i krótsze. Coraz częściej pojawiają się też ataki bardziej złożone, skierowane przeciwko wielu różnym celom, tzw. carpet bombing. Problem w tym, że ktoś o złych zamiarach nie musi być nawet hakerem. Może zamówić taką usługę. Istotą cyfrowych „nalotów dywanowych” jest często wywołanie odpowiedniego efektu, np. propagandowego, wywołanie paniki bądź przygotowanie zasłony dymnej do innego ataku.
Dość częstym rezultatem ataków są wycieki danych. Dobranie się do bazy danych dużej firmy to źródło adresów e‑mail wykorzystywanych do phishingów, danych personalnych ułatwiających socjotechniczne manipulacje, numerów telefonów do vishingu i robocalli czy zestaw haseł dających dostęp do różnych stron.
Dynamicznie rośnie liczba ataków ransomware, oprogramowania szyfrującego zawartość dysków. Za przywrócenie stanu pierwotnego przestępcy żądają okupu. Ransomware zagraża głównie firmom i instytucjom, a koszt odblokowania komputerów nie jest mały. Zapłacenie okupu nie gwarantuje też odzyskania dostępu do danych.
Obserwujemy 25‑procentowy rok do roku przyrost zagrożeń związanych ze złośliwym oprogramowaniem instalującym się na smartfonach. Absolutna większość dotyczy systemu operacyjnego Android. Wykradane są wszelkie dostępne informacje, jak kontakty czy hasła. Złośliwe programy podszywają się pod aplikacje bankowe, a także bez wiedzy użytkownika realizują bardzo kosztowne połączenia telefoniczne.
Z jakimi, na podstawie zaobserwowanych zagrożeń, trendami w sferze cyberbezpieczeństwa będziemy mieć w najbliższej przyszłości do czynienia?
Z pewnością z dalszym rozwojem złośliwego oprogramowania i jego uniwersalizacją. Dzięki swojej modularnej budowie wszelkiej maści złośliwe programy będą się lepiej ukrywać przed ekspertami ds. cyberbezpieczeństwa. Możemy spodziewać się także intensyfikacji znanego już zjawiska, mianowicie podatności wykrywanych w szeroko implementowanych bibliotekach języków programowania. Pisanie oprogramowania coraz bardziej przypomina składanie klocków Lego, dlatego atak wykorzystujący błąd lub podatność w bibliotece np. Javy może mieć olbrzymie skutki o globalnym zasięgu. Drugi trend to rozwój przestępczych modeli biznesowych. Już teraz można mówić o hakerskich korporacjach.
Kolejny trend to ataki na tożsamość. Polegają na przechwytywaniu elektronicznej tożsamości osoby, aby zyskać dostęp do infrastruktury firmy od środka. Popularną metodą przeciwdziałania temu zjawisku jest wykorzystywanie co najmniej dwustopniowego uwierzytelniania się przez użytkownika. Coraz częściej zdarzają się ataki na narzędzia, które wykorzystują programiści. Deweloperzy mają swoje przyzwyczajenia, metody pracy oraz słabo zabezpieczone narzędzia, które są dostępne w internecie. Chodzi tutaj o repozytoria kodów, narzędzia do współpracy, do zarządzania pracą, zleceniami itd. Niestety, czasami zawierają one tylną furtkę, którą atakujący może przedostać się do firmowej infrastruktury. Kolejny przykład to zaszycie w kodzie aplikacji konia trojańskiego, który umożliwia dostęp do firmy. Takie ataki zdarzyły się w zeszłym roku. Były co prawda nieliczne, ale dość spektakularne. Wydaje się, że ten kierunek będzie się umacniał, a deweloper tworzący aplikacje będzie interesującym celem dla cyberprzestępców.
Materiał dostępny tylko dla subskrybentów
Dołącz do subskrybentów MIT Sloan Management Review Polska Premium!
Kup subskrypcję
