Na co uważać? Jak się zabezpieczać!

Poznaj podstawowe i najczęstsze techniki cyber-ataków. Nie trać czujności i uważaj!

Podczas analizowania i projektowania zabezpieczeń systemów teleinformatycznych, musimy pamiętać, że oprócz całej palety dostępnych zabezpieczeń „cyfrowych” jednym z elementów każdego systemu jest jego interakcja z człowiekiem obsługującym ten system. Niestety, na podstawie przeprowadzonych badań i obserwacji można stwierdzić, że człowiek właśnie, jest najsłabszym ogniwem tych zabezpieczeń. To właśnie człowiek jest z jednej strony najmniej przewidywalny, a z drugiej najbardziej podatny na wpływy osób chcących złamać zabezpieczenia i pozyskać interesujące ich dane.

Ataki socjotechniczne

To ataki na systemy informatyczne przy użyciu technik wpływu na jego użytkowników. Bazują one na podatnościach nie sprzętu czy oprogramowania, ale na skłonności człowieka do ulegania bezwiednie wpływom osób, które chcą przez to zdestabilizować pracę systemu (a co za tym idzie, osoby lub organizacji) lub uzyskać dostęp do pożądanych informacji, takich jak dane dostępowe do konta bankowego, numer PIN lub CVC karty kredytowej, szczegółowe dane osobowe, czy też innej informacji, która w danym momencie jest dla nich niezbędna dla wykonania „misji” hakera.

Ataki w cyberprzestrzeni mogą być skierowane nie tylko w konkretną osobę, ale w całe przedsiębiorstwo czy organizację.

Celem hakera będzie przeniknięcie w jej głąb, poznanie struktury i podatności, a w końcu zaszkodzenie jej lub uzyskanie pożądanych informacji.

Hakerzy dostosowują atak do ofiary i sytuacji, często mieszając techniki wpływu społecznego.

Budując naszą obronę przed tego typu atakami, powinniśmy przede wszystkim poznać i, co najważniejsze, nauczyć się kilku podstawowych technik wpływu na zachowanie drugiego człowieka, aby w momencie, kiedy zostaniemy zaatakowani zauważyć ten fakt i zdążyć się przed nim obronić.

Niestety brak informacji o tym, kiedy jesteśmy atakowani, wykorzystywanie naszych słabości, mnogość typów ataków oraz sprytne ukrycie ich w interakcji z nami powoduje, że nawet wybitni specjaliści z zakresu psychologii społecznej raz na jakiś czas dają się złapać na przynętę atakującego. Niemniej jednak znajomość narzędzi wpływu społecznego jest podstawą do próby obrony przed napastnikiem.
Tak jak wiele szkół walki uczy chwytów, które mogą służyć do wyrządzenia przeciwnikowi krzywdy, lecz jednocześnie wpaja zasadę, że nauczone techniki powinny służyć tylko do obrony, tak samo specjaliści od wpływu społecznego chcąc uodpornić daną osobę na ataki socjotechniczne, uczą metod wpływania na drugiego człowieka, jednocześnie przestrzegając, by poznane techniki używać tylko i wyłącznie do obrony.

Haker przygotowując się do ataku w pierwszej kolejności poszukuje się informacji, które są dostępne bez konieczności interakcji daną osobą lub z pracownikami danej organizacji, które mają być celem ataku socjotechnicznego.

Wykonuje wtedy tzw. footprinting, czyli wstępne rozpoznanie celu. Podstawowym elementem tego rozpoznania może być m.in. „nurkowanie w śmietniku” (ang. dumpster diving), czyli poszukiwanie porzuconych informacji, które pomogą nam później sprofilować odpowiednio ataki socjotechniczne. Atak na osobę prywatną może być więc poprzedzony przejrzeniem jej kont w mediach społecznościowych.
W przypadku ataków na firmę poszukiwane są informacje o jej strukturze, adresy e-mail, nazwiska i stanowiska, numery telefonów czy nawet zużyte elementy wyposażenia informatycznego, które mogą zawierać przydatne dla atakującego dane.

Testowanie osób będących celem ataków. Haker szuka naszych słabych stron – podatności.

Aby atak socjotechniczny miał większe prawdopodobieństwo powodzenia, osoba będąca celem ataku w większości przypadków jest najpierw odpowiednio „testowana” by łatwiej było nią manipulować. Do tego typu działań zaliczają się m.in. dwa zupełnie odmienne zachowania – wprowadzenie ofiary w stan uczucia pełnego zaufania i komfortu lub w stan mocnego stresu.

Pierwsze z tych zachowań charakteryzuje się działaniami mającymi uśpić czujność ofiary, wprowadzić ją w nastrój, w którym czuje się dobrze i bezpiecznie, aby w momencie, którego się najmniej spodziewa lub którego może nawet nie zauważyć, przypuścić atak. W drugim z wymienionych zachowań atakujący wprowadza chaos w otoczeniu ofiary, aby poczuła się ona zagrożona lub zdezorientowana mnogością informacji i przez to działała w sposób jak najbardziej automatyczny. Związane jest to z jednym z podstawowych zasad działania ludzkiej psychiki, które odwołuje się do ewolucji gatunku ludzkiego i rozwoju mózgu człowieka.

Uważaj jeżeli dostaniesz pendrive w prezencie.

Jednym z najprostszych sposobów na atak z użyciem socjotechniki jest przekazanie ofierze prezentu w formie np. pendrive’a zawierającego złośliwe oprogramowanie, które wykradnie nam dane. Może to być prezent w zamian za wypełnienie ankiety (fikcyjnej oczywiście) lub podarunek od potencjalnego kontrahenta na poczet przyszłej współpracy. Każdy z nas lubi być obdarowywany, więc po otrzymaniu takiego prezentu rzadko podejrzewamy osobę, która była dla nas miła o próbę okradzenia nas. Na przykładowym pendrivie może znajdować się choćby rozbudowany keylogger, który przechwyci i wyśle do atakującego informacje np. o tym, z jakiego banku korzystamy, jaki mamy login i hasło.

Ataki „na wnuczka” w cyberprzestrzeni

Innym sposobem przekonania potencjalnej ofiary do wykonania prośby atakującego jest sprawienie, aby sądziła ona, że to, co wykonuje, jest wartościowe i potrzebne. Jest to stwarzanie poczucia bycia superbohaterem, wybawicielem innych. Wbrew pozorom na ataki „na wnuczka” wcale nie są narażone tylko osoby starsze. W przypadku cyber-ataku zamieniamy jedynie wypadek krewnego na awarię systemu, policjanta na administratora sieci, a pieniądze na dane logowania – mechanizm działania przestępcy jest dokładnie ten sam. Sposób ten jest często stosowany łącznie ze stwarzaniem wrażenia pośpiechu i dezorientacji osoby, będącej celem ataku.

Uwaga na fałszywe telefony

Może być to wykorzystane zarówno w rozmowie telefonicznej („Nastąpiła awaria serwerów, prosimy o podanie kodu dostępu do serwerowni, musimy szybko usunąć awarię.”), korespondencji mailowej („Tu administrator, wykryliśmy atak na Pana/Pani komputer, proszę podać login i hasło do swojego komputera/poczty, abyśmy mogli zweryfikować sprawcę. Prosimy nie rozpowszechniać tej informacji, aby nie spłoszyć włamywacza.”), jak i w interakcji bezpośredniej. Prośby te są często nieracjonalne, jeśli się nad nimi dłużej zastanowić, ale fakt wykonywania operacji w pośpiechu i świadomości, że od naszej akcji zależy np. odzyskanie danych firmowych, skłania nas do pójścia drogą wskazaną przez atakującego. Poprzez pośpiech nie weryfikujemy czy strona, na której się logujemy, nie jest stroną podstawioną przez hakera lub czy osoba dzwoniąca do nas naprawdę jest tym, za kogo się podaje, a dodatkowe stwierdzenie o nierozpowszechnianiu informacji z jednej strony zapewni atakującemu czas na dalsze działania, a z drugiej sprawi, że postrzegamy siebie jako istotny element ważnej misji ratunkowej.

Atak hakerski na „stopę w drzwiach”

Reguła konsekwencji to kolejne narzędzie, które jest wykorzystywane w atakach z użyciem socjotechniki. Zaangażowanie i konsekwencja każą nam nie wycofywać się z przedstawianych przez nas przed chwilą opinii. Jedną z konkretnych technik w ramach tej reguły jest tzw. „stopa w drzwiach” (ang. FITD – foot-in-the-door). Mówi ona o tym, że po zgodzie na pierwszą, małą prośbę, jesteśmy bardziej skłonni spełnić drugą, większą i nawet niezwiązaną nijak z pierwszą.

Ludzie mają także tendencję do podążania utartymi i znany szlakami, więc jeśli np. na przełomie miesiąca w firmie pojawiają się na skrzynce mailowej duże ilości faktur, istnieje dużo większe prawdopodobieństwo, że pracownik nie będzie weryfikował załącznika, ale od razu go otworzy. Załącznik może być zainfekowany przez hakera, podszywającego się pod kontrahenta i w najlepszym przypadku skończy się to ostrzeżeniem w oprogramowaniu antywirusowym, a w najgorszym zaszyfrowaniem całego dysku (lub jeszcze gorzej wraz z podłączonym akurat w tym momencie dyskiem z kopiami zapasowymi) i żądaniem okupu.

Fałszywe mejle

Reguła niedostępności używana może być do zmuszenia osób do wykonania jakiejś akcji tylko dlatego, że jeśli nie zrobią tego teraz, stracą niepowtarzalną szansę. Dlatego też w fałszywych mailach mogą się pojawiać sformułowania typu „To jest ostatnia wiadomość przed usunięciem twojej skrzynki mailowej. Zaloguj się na nowej stronie aby zachować wszystkie swoje wiadomości i kontakty!”, „Twoje hasło wygasło i musisz je natychmiast zmienić.” lub „Na twoim komputerze wykryto groźnego wirusa! Pobierz szybko oprogramowanie antywirusowe!”. Dodatkowo mail może być wysłany w piątek po godzinach pracy tak, by osoba atakowana po przyjściu do pracy w poniedziałek pomyślała, że musi działać szybko, bo w innym wypadku straci swoje dane. Jako element potęgujący stres mogą być użyte nazwy i/lub znaki graficzne np. instytucji skarbowych lub policji.

Technika na „konia trojańskiego”

Obrona przed atakami socjologicznymi, tak samo jak same ataki, to tematyka bardzo rozległa i może być kombinacją kilku technik. W każdym jednak przypadku ataku socjotechnicznego, od najprostszego otrzymania prezentu – konia trojańskiego, poprzez próbę zawarcia z nami przyjaźni lub udawania kogoś godnego zaufania aż do próby destabilizacji otoczenia wokół nas i oczekiwania od nas bardzo podjęcia odpowiedzialnej decyzji, można wstępnie zweryfikować zasadność własnych działań i ich następstw zadając sobie jedno proste pytanie. Dlaczego? To z pozoru banalne pytanie potrafi nas w jednej chwili otrzeźwić, kiedy zdamy sobie sprawę, że tak naprawdę nie ma racjonalnego powodu, dla którego mielibyśmy wykonać jakąś czynność (lub nawet nie wolno nam jej wykonać) albo też okaże się, że atakujący zostanie zbity z tropu pytaniem, na które nie jest przygotowany. Może się oczywiście okazać, że nasz oponent przemyślał możliwe ścieżki przebiegu ataku, ale ten krok może być punktem zaczepienia w toku obrony przed atakiem socjologicznym.

Może się jednak okazać, że damy się nabrać na sztuczki hakera i podamy nasze dane dostępowe na spreparowanej stronie pułapce. Ważnym staje się wtedy, czy stosujemy wszędzie to samo hasło czy nie. Jeśli atakujący pozna nasz adres e-mail i nasze hasło, i okaże się, że tego samego hasła używaliśmy nie tylko do poczty, ale także do logowanie się wszędzie indziej (lub używamy czytelnego klucza, jak nazwa-banku123, allegro1 itd.), to możemy stracić dużo więcej niż wiadomości e-mail.
Warto zatem stosować inne hasła do poczty i każdego innego logowania, a także, tam gdzie to możliwe, stosować autentykację wieloskładnikową, z użyciem kodów sms lub urządzeń wspomagających taką autentykację. Osobną kwestią jest temat przechowywania haseł. Warto skorzystać z oprogramowania do przechowywania haseł, zabezpieczonego mocnym hasłem głównym. Trzymanie haseł (jak również innych kluczowych informacji) w wersji papierowej na biurku, obudowie komputera, monitorze czy tablicy przy biurku, może prowadzić do tego, że nawet nie będziemy wiedzieli kiedy ktoś tylko zajrzał nam w nasze miejsce pracy i zapamiętał / zrobił zdjęcie / zapisał sobie nasze hasła.

Wielość metod ataku i sposób obrony przed nimi nieustannie ewoluuje. Każdy atak, zależy w głównej mierze od wiedzy i zdolności do jej wykorzystania przez hakera. Im ostrożniejsi będziemy my, jako użytkownicy systemów informatycznych, tym trudniej będzie hakerom przejąć władzę nam naszymi danymi.

Warto postawić na prewencje, podnosić świadomość pracowników, wprowadzać polityki, procedury, zabezpieczenia aby uniknąć przykrych konsekwencji.

Stan pandemii a wraz z nim obostrzenia które wprowadzono w kraju spowodowały bardzo wiele problemów w dziedzinie oświaty. Długi czas zawieszenia zajęć w szkołach wymusił konieczność zorganizowania innej formy kształcenia dzieci i młodzieży.

Szkoła online a RODO - na co powinna zwrócić uwagę dyrekcja?

Należy pamiętać, że podczas edukacji zdalnej prowadzonej w formie e - learningu należy zachować szczególne bezpieczeństwo w zakresie ochrony danych osobowych.

Bardzo ważną kwestią jest zastosowanie odpowiednich metod technicznych jak i organizacyjnych. Należy przede wszystkim zwrócić uwagę na fakt, aby nie doszło do naruszenia ochrony zdalnie przetwarzanych danych osobowych.

Kluczowe w tym zakresie jest zastosowanie odpowiednich technik szyfrujących oraz pseudonimizacyjnych (posługiwanie się wymyślonym loginem który będzie znany dla nauczyciela i ucznia ale nie będzie ujawniał zbędnych informacji o użytkowniku).

Szczególną uwagę należy zwrócić na konieczność podawania odpowiedniej ilości danych osobowych podczas zakładania konta w systemie e - learning. Konieczne jest, aby dane które posłużą do założenia konta były poddawane minimalizacji i nie były gromadzone w nadmiarze - należy pobierać tylko dane konieczne do założenia konta, mają służyć one tylko podczas procesu rejestracji użytkownika - w żadnym innym wypadku.

Niezbędna jest także kwestia ochrony danych osobowych wykorzystywanych w dzienniku elektronicznym, szczególnie w przypadku kiedy takie usługi świadczone są przez podmiot zewnętrzy.

Ponadto generalnie usługi zdalnej komunikacji na odległość zapewnia wiele narzędzi w tym również bezpłatnych (np. ZOOM, Formularze i arkusze Google, Trello, Asana, Slack itp.).

Powszechnym zjawiskiem w szkołach, jest używanie Facebook’a, Messenger’a, czy aplikacji WhatsApp.

Korzystając zwłaszcza z darmowych aplikacji, należy pamiętać, że te aplikacje mogą być słabiej chronione przed atakami hakerskimi, co w konsekwencji może spowodować naruszenie bezpieczeństwa danych.

Co do zasady nauczyciele powinny używać dedykowanych narzędzi do e-larningu. Nie zalecamy przesyłania informacji zawierających dane osobowe przy użyciu powszechnych komunikatorów zwłaszcza typu Facebook czy Messenger.

Warto sprawdzić, którzy dostawcy zapewniają maksymalną ochronę. W przypadku zewnętrznych dostawców usług należy zabezpieczyć powierzane im dane osobowe poprzez umowę powierzenia lub inny instrument prawny w rozumieniu Art. 28 Rozporządzenia RODO.

Dyrekcja musi zwrócić uwagę aby nauczyciele używali podczas komunikacji z uczniami tylko służbowej skrzynki mailowej. Ważną kwestią jest zastosowanie silnego hasła do systemów do których należy się logować podczas nauczania metodą e-learningową.

W przypadku zapisywania danych na pamięci przenośnej m.in. urządzeniach typu pendrive konieczne jest zabezpieczenie dostępu do takiego urządzenia silnym hasłem ( 8 znaków, duże i małe litery, nie stosować sąsiednich cyfr, liter klawiatury np. 1,2,3,4…. itp. np. qwerty. Naganne jest również nadawanie takiego samego hasła jak nazwa konta użytkownika).

E - Learning a nauczyciele - czy nauczyciel może korzystać z prywatnych urządzeń podczas edukacji zdalnej?

Użytkowanie przez nauczyciela swojego prywatnego sprzętu podczas pracy zdalnej, co do zasady jest dozwolone. Pedagodzy muszą jednak zwrócić szczególną uwagę, na zabezpieczenia systemowe urządzenia z którego wykonywana jest praca zdalna.

Należy sprawdzić czy na urządzeniu wykorzystywanym przez nauczyciela do nauki online jest zainstalowane oprogramowanie antywirusowe które ma regularnie aktualizowaną bazę złośliwego oprogramowania, a także czy system operacyjny który jest zainstalowany na urządzeniu posiada aktualne wsparcie od producenta (jest na bieżąco aktualizowany, istnieje synchronizacja pomiędzy systemem operacyjnym a oprogramowaniem zainstalowanym na komputerze użytkownika).

Podczas wysyłania wiadomości drogą poczty elektronicznej e - mail należy unikać podawania w treści wiadomości danych osobowych innych osób niż adresat wiadomości. Trzeba wystrzegać się także podawania danych wrażliwych w treści wiadomości - istnieje bowiem ryzyko - w przypadku omyłkowego zaadresowania wiadomości iż trafią one do osoby która może je wykorzystać w niewłaściwy sposób. Wiadomość powinna zawierać konkretną informację zachowując zasadę minimalizacji danych.

Konieczne jest także dokładne sprawdzenie czy adres e - mail na który wysyłana jest wiadomość jest poprawny.

W przypadku kiedy adresatów wiadomości jest więcej niż jedna osoba należy korzystać z opcji wysyłania wiadomości do wielu osób w kopii ukrytej. Jest to bardzo istotne ponieważ w adresach e - mail innych osób mogą znajdować się dane osobowe tych osób (np. jan.kowalski@adres.pl) a nie mamy pewności czy osoby te życzyły by sobie na podawanie ich adresów innym osobą.

Również przy wysyłaniu mejli, które nie są związane z wykonywaniem czynności służbowych (np. wysyłanie życzeń świątecznych) należy przestrzegać powyższe zalecenie.

W przypadku konieczności pobierania oprogramowania na swój sprzęt należy zawsze czynić to ze strony producenta oraz zwracać szczególną uwagę przy instalacji programów ponieważ podczas gdy pobieramy dany program istnieje ryzyka zainstalowania w najlepszym wypadku zbędnych dodatków a w gorszym - złośliwego oprogramowania.

Korzystanie z urządzeń typu smartfon

Oczywiście nie jest to zakazane, ale w praktyce urządzenia te są najsłabiej chronione. Zwłaszcza jeżeli w telefonie mamy zainstalowane inne , różne aplikacje. Zdarzały się przypadki, że pozornie niewinne aplikacje, instalowały na urządzeniach przestępcze pliki śledzące, oraz inne narzędzia hackerskie.

Trudne czasy wymuszają wdrażanie odpowiednich środków które dotychczas były nam obce lub mniej znane. Ważne jest aby również w tym trudnym czasie zwracać uwagę na bezpieczeństwo informacji ponieważ pandemia nie zwalnia nas z przestrzegania zasad bezpieczeństwa.

Wdrażajmy odpowiednie środki techniczne i organizacyjne bez zgubnych emocji, kierując się rozsądkiem i chłodną analizą.