Czytając o atakach cyberprzestępców, o używanych przez nich technikach, nasuwa mi się spostrzeżenie, że najczęściej skuteczność ataku przeprowadzonego na nas zależy w dużej mierze właśnie od nas.
Oczywiście dobre i zaktualizowane programy antywirusowe mogą uchronić w wielu wypadkach. Zagrożeń rozprzestrzeniających się za pośrednictwem internetu jest ogrom. Napisano o nich mnóstwo książek, artykułów, odbyło się wiele konferencji. Setki tysięcy ludzi na całym świecie zajmują się bezpieczeństwem sieci i ochroną nas – użytkowników internetu. Tyle, że oni wykonują pierwszą część zadania. Na nas spoczywa ta druga, łatwiejsza – mamy pomyśleć zanim klikniemy.
Myślenie – „ mam zapewnione 100% bezpieczeństwa bo mam dobry program antywirusowy ” to nie wszystko. Ciekawi mnie to, że większość osób ma tendencje do tego by tak myśleć używając nielegalnych programów zapewniających ochronę lub zdezaktualizowanych. Tymczasem duża grupa zagrożeń wykorzystuje ufność, naiwność lub nieuwagę użytkowników. Popularne są zagrożenia, które rozprzestrzeniają się za pośrednictwem sieci społecznościowych.
Dlaczego?
To bazy danych, które zawierają profile milionów potencjalnych celów. Wystarczy chwila by zobaczyć jakie strony użytkownik ma dodane jako ulubione i mamy spersonalizowany atak. Jeśli myślisz, że cyberprzestępców nie interesują poszczególne jednostki to jesteś w błędzie. Często atak przeprowadzany jest na dużą skalę. Czasem jest przygotowany profesjonalnie, innym razem odrobinę mniej.
Ataki są różnego typu, ale, gdy chodzi o masowe ataki tonajczęściej wykorzystywane są mechanizmy inżynierii społecznej. Atak przeprowadzany jest za uprzednio dokonanym wyborem targetu (im większy tym lepszy) i „ogólnej informacji”, na którą mogą się nabrać potencjalne ofiary.
Przez „ogólną informację” rozumiem wiadomość, która zawiera informacje, potencjalnie wzbudzające zainteresowanie, ale jednocześnie nie zawierające szczegółów związanych z osobą, która ją czyta. Pamiętajmy, że nie tylko „ogólne informacje” mogą do nas dotrzeć z adresów, z którymi nie korespondujemy, ale np. do wiadomości od znajomego może zostać dodany automatycznie link z podpisem „to Cię zaciekawi http:// … lub podpis „zobacz moje najnowsze zdjęcia, są w załączniku”. Wszelkie linki i pliki zweryfikuj.
Powrócę do „ogólnych informacji”, które docierają za pomocą poczty e-mail. Dla przykładu
Asprox.N (trojan) wymierzony w użytkowników portalu Facebook. Jego zadaniem jest wyświetlenie informacji, że konto na FB jest wykorzystywane do dystrybucji spamu, a dla bezpieczeństwa zmieniono dane uwierzytelniające. Wystarczy tylko pobrać dokument Word o nazwie „Facebook_details.exe” i zapoznać się z nowym hasłem. Trudno w to uwierzyć lub nie, ale spora grupa użytkowników zaaplikowała sobie w ten sposób trojana do swojego systemu. Ok, program antywirusowy na komputerze mógł go wykryć, ale odpowiedz na pytanie czy zabezpieczasz swój smartphone (telefon komórkowy, który zapewnia surfowanie po internecie), ipod czy tablet ?
Odpowiedziałeś tak – jesteś w mniejszości, odpowiedziałeś nie – to tak jakbyś zostawił otwarte drzwi i okna od domu jako zaproszenie dla złodzieja. Uwaga cyberprzestępców coraz częściej skorelowana jest właśnie na takie urządzenia. Oni doskonale wiedzą, że użytkownicy nie zabezpieczają się prawidłowo, a telefonów używają w różnych celach. Powracając do przykładu z Asprox.N – doskonale on unaocznia, że większość osób jest nieuważna, naiwna i leniwa w internecie. Sprawy związane z bezpieczeństwem pozostawiają ekspertom. Nie ma co się oszukiwać – pełnej ochrony nie zapewnią nigdy.
Nie nabierajmy się na spreparowane wiadomości e-mail, gdy widzimy w polu nadawcy Faccebook SecurityTeam/ Uniwersytet / Bank … czy inne wyglądające poważnie. Przeczytajmy treść i zweryfikujmy kontaktując się z adresów podanych na oficjalnej stronie. Nie miejmy zaufania, że wiadomość, którą otrzymaliśmy pochodzi od nadawcy. Fakt, że treść jest zgodna z wiadomością, której spodziewamy się po przeczytaniu nagłówka nadawcy i tematu, że jest napisana bez błędów nie powinna usypiać naszej czujności (a tak się niestety często zdarza). Większość maili, które widziałam i zapewne też widziałeś lub zobaczysz zawierało absurdalną treść. Choć nie zawsze jest ona tak przejaskrawiona, ale zawsze w następstwie odczytania wiadomości mamy zareagować.
W przykładzie z Asprax.N takim absurdalnym zachowaniem była zmiana hasła przez administratora bez wiedzy użytkownika – niewiarygodne by było prawdziwe prawda? – oraz kwestia pliku, który ma rozszerzenie .exe – takie rozszerzenie zawierają programy, a nie pliki z wiadomością tekstową. Nie myślmy jednak, że inne rozszerzenie jest bezpieczne bo tak nie jest.
Inny ciekawy przykład, który mnie zainteresował jest też z Facebooka – to Lolbot.Q. Dociera także za pomocą klientów pocztowych, ale rozsyła wiadomości ze złośliwym linkiem. Użytkownik po kliknięciu automatycznie pobiera w tle (przy ładowaniu strony) złośliwy kod do przechwycenia danych dostępowych do jego konta na FB. Przy kolejnej próbie logowania użytkownikowi wyświetla się wiadomość, że konto zostało zawieszone i należy je reaktywować. Wystarczy wypełnić formularz, który umożliwia wygranie atrakcyjnych nagród – np. laptopów, i-padów.
Użytkownik wpisuje wrażliwe dane.
Na podany numer telefonu otrzymuje ofertę subskrypcji ściągnięcia pakietu danych za €8.52 na tydzień. Dopiero po jego wykupieniu ofiara może reaktywować swoje konto na Facebooku.
Jak widać kliknięcie w link może skutkować przeniesieniem na fałszywą stronę logowania i przechwycenia danych jakie wpisujemy, a kolejne czynności wykorzystują naiwność i lenistwo użytkowników (przecież można byłoby zgłosić sprawę do prawdziwego Facebook Security Team).
Cyberprzestępcy czekają, aż to my podejmiemy akcję dlatego silą się na różne metody – alarmujące wiadomości, interesujące nowości, wyjątkowe prezenty. Facebook daje wiele form reklamy usług i dotarcia do klienta, ale instytucje czy firmy powinny wg. mnie pamiętać, że to także zbiór osób, które korzystają z ich usług. Oczywiście Facebook dla osób prawnych oraz innych jednostek organizacyjnych czy grup oferuje tzw. konta firmowe, gdzie w profilu widoczna jest tylko informacja ile osób lubi daną placówkę/społeczność… nie zaś aplikacja z pełnym widokiem znajomych.
Wystarczy prześledzić kilka „poważnych” kont by zobaczyć, że doszło do naruszenia regulaminu. Czy te placówki potrafią pogodzić marketing z bezpieczeństwem i w dodatku przestrzeganiem regulaminu portalu, z którego dobrodziejstw korzystają ? Nie. Co więcej narażają „swoich znajomych” na potencjalne ataki.
Inny temat, o którym wspomnę to konkursy z nagrodami. To niestety często świetny sposób na zdobycie danych osobowych i nic więcej. Pomyślmy o tym gdy bierzemy udział w konkursie, gdzie mamy odpowiedzieć na jedno pytanie i wypełnić formularz z naszymi danymi. Warto najpierw, żebyś przeczytał regulamin. Często zawiera się w nim informację o wyrażeniu zgody na przetwarzanie danych osobowych w celach konkursu – nie budzi wątpliwości na pierwszy rzut oka – oraz wykorzystywania w celach marketingowych – innymi słowy nasze dane zostaną sprzedane za niemałe pieniądze. Biorąc pod uwagę, że w takich konkursach mamy szansę jak 1 do miliona, że wygramy nagrodę, i że często w ogóle jej nie ma lub fikcyjna/ podstawiona osoba wygrywa to czy warto w ogóle brać udział w takim konkursie ? W zasadzie ciężko mi nawet nazwać to konkursem bo nie ma tu żadnego współzawodnictwa – są zatem formularze z danymi osobowymi.
Kolejny problem to ściągnie plików z internetu. Urządzenia firmy Apple mają blokadę by ściągać tylko poprzez AppStore. Zgadzam się, że ogranicza to konsumentów bo mogą tylko zakupić aplikacje w dedykowanym sklepie, ale rozumiem, że taki stan rzeczy istnieje z powodu zminimalizowania zagrożeń malware’ami, które zagrażają urządzeniom.
Zdejmujesz blokadę?
Rozumiem, ale pamiętaj, że nikt po drodze nie przeanalizuje aplikacji, którą właśnie pobierasz. Teraz pomyśl ile aplikacji do komputera ściągasz z nieoficjalnych stron (np. programy do słuchania muzyki). Większość z nich nie analizuje plików tylko zarabia na popularności strony i umieszczaniu ich. Niedawno rozprzestrzeniał się w taki sposób komunikator najnowszej wersji GG, który przy instalacji oprócz programu instalował także inne „niespodzianki”. Wiele antywirusów wykryło zagrożenie – tyle, że użytkownicy myśleli, że to pomyłka i klikali „ignoruj”. Malware mógł od tej pory bezpiecznie działać w systemie.
Swój długi post podsumuję krótko: wszystko to co wpisujemy w internecie zostawia ślad, którego nie jesteśmy w stanie usunąć.
Dane wędrują i mogą być wykorzystane w różny sposób. Dodatkowo danych tych nie widzą tylko osoby, które wg Ciebie powinny mieć możliwość je zobaczyć, ale z łatwością mogą je poznać inne osoby. Dla przykładu to co wysyłasz mailem może zostać podejrzane przez administratora danej poczty lub osób, które mają nieautoryzowany dostęp do niej i przechwytują interesujące informacje. Internet to świetne narzędzie, ale może być wykorzystywane w różny sposób. Pamiętaj o tym zanim następnym razem klikniesz w link, pobierzesz plik, wypełnisz ankietę, umieścisz zdjęcie czy zwyczajnie będziesz surfował po WWW.
Chcesz wiedzieć więcej ile można się o Tobie dowiedzieć w sieci ? :
Autor grafiki promującej wpis: Fraser Davidson