Na początku czerwca 2021 roku całą Polskę obiegła informacja o cyberataku na skrzynkę mailową szefa Kancelarii Prezesa Rady Ministrów, Michała Dworczyka. W wyniku ataku do wiadomości publicznej trafiła duża liczba wrażliwych informacji państwowych, włączając w to prywatne rozmowy z czwartą osobą w państwie, premierem Mateuszem Morawieckim.
“Atak na Dworczyka”, “afera mailowa” i “operacja wschodnich służb” to nagłówki, które najczęściej pojawiały się w mediach w czerwcu. I choć o samym ataku zostało powiedziane już bardzo wiele, to nie znaleźliśmy artykułu, który pomógłby w uniknięciu takiej sytuacji w przyszłości – zarówno politykom, jak i przeciętnym użytkownikom internetu, którzy w ten sam sposób narażają swoje dane i padają ofiarami ataków cyberprzestępców.
Jak doszło do samego wycieku danych najprawdopodobniej nigdy się nie dowiemy, możemy jednak założyć, że cyberprzestępcy wykorzystali kilka różnych metod. Najpopularniejszymi sposobami ataku jest socjotechnika, wykorzystanie danych uzyskanych z wykradzionych baz haseł oraz luki bezpieczeństwa systemów operacyjnych i oprogramowania.
Oficjalna informacja potwierdza, że skrzynka ministra została przejęta przez cyberprzestępców. Jednak wyciąganie wniosków na tym etapie jest przedwczesne. Portal Niebezpiecznik zaleca w tej kwestii wstrzemięźliwość. “(…)nie oznacza, że wszystkie publikowane przez włamywaczy treści e-maili są prawdziwe lub faktycznie pochodzą z tego źródła. W operacjach dezinformacji celowo miesza się prawdę z fałszywkami.”
Ponieważ w Secfense zajmujemy się tematyką cyberbezpieczeństwa, postanowiliśmy zebrać w jednym miejscu wskazówki, które pomogą zabezpieczyć się przed tego typu atakami, zarówno osobie publicznej, prywatnej czy też organizacji.
Zachęcamy również do uzupełniania naszej listy, jeśli uznasz, że pominęliśmy coś co zdecydowanie powinno się znaleźć w pierwszej dziesiątce dobrych praktyk cyberbezpieczeństwa.
1. Upewnij się, że nie wykorzystujesz tych samych haseł w różnych miejscach
Twoje hasło na pewno jest już w sieci. Możesz się o tym przekonać, korzystając z serwisu o nazwie ‘have i been pwned?’ przechowującym wszystkie hasła, które w wyniku różnych cyberataków wyciekły w przeszłości do internetu. W serwisie możesz wstukać swoje hasło i zobaczyć, w ilu atakach zostało ono wykradzione. Możesz też wpisać swój adres email i sprawdzić, czy hasło do tej skrzynki znajduje się w bazach wykradzionych haseł do nich przypisanych. Jeśli, ani twoje hasło, ani twoja skrzynka nie znalazły się na tej liście oznacza, że masz bardzo dużo szczęścia i należysz do naprawdę nielicznych. Sytuacja może jednak zmienić się w każdym momencie, nie ma bowiem tygodnia, w którym w wiadomościach z branży cyberbezpieczeństwa nie pojawiłaby się informacja o wycieku kolejnej bazy.
Jeśli masz jednakowe hasło do kilku miejsc, cyberprzestępca spróbuje użyć tego ukradzionego, np. podczas ataku na sklep internetowy, aby dostać się też do innych miejsc – do twojej skrzynki mailowej, mediów społecznościowych lub bankowości internetowej. Z punktu widzenia bezpieczeństwa poszczególnej aplikacji, do każdej jednej hasło powinno być inne. Statystyki mówią, że przeciętny użytkownik korzysta miesięcznie z 30 aplikacji. Jeśli dodamy do nich jeszcze aplikacje biurowe oraz internetowe, liczba ta spokojnie może dobić do 50. Z punktu widzenia użytkownika, który powinien stworzyć i zapamiętać 50 różnych haseł jest to więc prawdziwy horror.
2. Używaj menadżerów haseł
Z pomocą przychodzi menadżer haseł, czyli aplikacja umożliwiająca generowanie silnych haseł i zapamiętywanie ich za użytkownika. Dzięki temu trzeba pamiętać wyłącznie jedno hasło, zamiast wielu. Menadżer zabezpieczony jest też wieloskładnikowym uwierzytelnianiem, o którym więcej przeczytasz w kolejnym punkcie.
Niestety, pomimo że menadżer haseł to kolejny krok w kierunku podniesienia bezpieczeństwa w sieci, wciąż może być obiektem ataku. Dlaczego? Ponieważ, jeśli hasła nie zostaną całkowicie wyeliminowane lub wzmocnione drugim składnikiem, zawsze podatne będą na kradzież i wykorzystanie. Stało się tak m.in. w przypadku wycieku firmy Passwordstate, w wyniku którego narażonych zostało 29 tysięcy firm. Z Passwordstate korzysta wiele największych firm na świecie, w tym te notowane w rankingu Fortune 500. Nauczka? Hasła zawsze powinny być wzmocnione dwuskładnikowym uwierzytelnianiem.
3. Włącz dwuskładnikowe uwierzytelnianie wszędzie, gdzie to możliwe
Większość aplikacji komercyjnych umożliwia już wykorzystanie dwuskładnikowego uwierzytelniania, zwanego także silnym uwierzytelnianiem lub wieloskładnikowym uwierzytelnianiem. Pierwsze metody dwuskładnikowego uwierzytelniania powstały wiele lat temu, stąd też bardziej tradycyjne nie są więc już tak skuteczne, jak te bazujące na kryptografii. Niepodważalnym faktem jest jednak to, że nawet słabe hasło i tradycyjna metoda dwuskładnikowego uwierzytelniania (np. SMS) będzie skuteczniejsza niż jednoetapowe logowanie z użyciem hasła. Stąd też, jeśli aplikacja daje możliwość uruchomienia dodatkowego etapu uwierzytelniania, zawsze trzeba to zrobić.
4. Jeśli korzystasz z mediów społecznościowych, ogranicz widoczność publikacji wyłącznie do najbliższych
Ilość danych, jaką cyberprzestępca może wyciągnąć, korzystając wyłącznie z mediów społecznościowych jest nie do przecenienia. Portale branżowe donosiły niedawno, że adres ministra zdrowia Adama Niedzielskiego internauci z łatwością odkryli właśnie, dzięki mediom społecznościowym. Minister sam zdradził swoje miejsce zamieszkania, publikując na Twitterze przebieg swojego treningu rowerowego. Dzięki opublikowanej przez Niedzielskiego mapie, z łatwością namierzyli jego adres zamieszkania, będący po prostu miejscem, w którym rozpoczął i zakończył się trening. Ilu z nas robiło to już wiele razy? Zmiana nawyków jest bardzo trudna i nie dzieje się z dnia na dzień. To, co jednak możemy zrobić już teraz, to przynajmniej postarać się o to, aby zdjęcia i publikacje widziane były wyłącznie przez najbliższych znajomych, a nie wszystkich w internecie.
Oczywiście ten punkt nie należy do kategorii działań, które zabezpieczają przed włamaniem, ale do dobrych praktyk cyberbezpieczeństwa, które znacznie utrudniają życie cyberprzestępcy chcącego uzyskać jak najwięcej danych. Pamiętaj, im mniej wrażliwych informacji o Tobie da się znaleźć w internecie, tym lepiej.
5. Usuń aplikacje i rozszerzenia o wątpliwej renomie, poproś o brak śledzenia
Firma Apple od wielu lat udowadnia, że cyberbezpieczeństwo jest dla niej bardzo istotne. W porównaniu do innych dostawców technologii mobilnych, wypada też zdecydowanie najlepiej. W systemach iOS 14.5, iPadOS 14.5 i tvOS 14.5 aplikacja musi poprosić o pozwolenie, zanim zacznie śledzić aktywność użytkownika w aplikacjach i witrynach internetowych firm trzecich. W innych dzieje się to automatycznie. Spójrzmy na Google, który śledzi każdy nasz krok. Dosłownie. Chcesz sprawdzić? Wejdź w takim razie w ‘Google Maps’, kliknij w ‘Menu’ a następnie w ‘Your Timeline’. Jeśli to ustawienie nie zostało wcześniej przez Ciebie wyłączone, to Google zapewne pokaże Ci każde miejsce, które odwiedziłeś w przeciągu ostatnich miesięcy lub nawet lat.
Inny przykład? W 2012 roku sklep Target ‘wiedział’ o ciąży swojej klientki, zanim była ona sama tego świadoma. Jak to możliwe? Algorytm po prostu trafnie oszacował na podstawie historii zakupów, że tak właśnie zachowują się kobiety w ciąży. To pokazuje, jak wiele danych jest poza naszą kontrolą i jak wykorzystywane są bez naszej wiedzy.
I znowu – trudno myśleć, że “patykiem zawrócimy bieg rzeki” i całkowicie zablokujemy informacje płynące o nas do dostawców oprogramowania. Ważnym jest jednak, aby starać się przekazywać dostawcom absolutne minimum informacji, które są od nas wymagane.
6. Nie wysyłaj wrażliwych danych, korzystając z prywatnych skrzynek mailowych
I wreszcie punkt, którym żyją ostatnio wszystkie media. Portal RMF24 donosi, że “Najważniejsi politycy z rządu porozumiewają się za pomocą darmowych, prywatnych skrzynek mailowych”.
Zagadnienie bezpieczeństwa poczty elektronicznej, podobnie jak higiena haseł jest znane praktycznie każdemu pracownikowi biurowemu. Jest jednak nagminnie łamane. Złe nawyki są bardzo trudne do wyplenienia, m.in. dlatego wiele korporacji blokuje możliwość wysyłania i odbierania wiadomości z adresów pochodzących spoza firmy. W życiu codziennym dobrą praktyką jest unikanie wysyłania numerów PESEL, haseł, loginów, zdjęć dokumentów, wykorzystując darmowe skrzynki komercyjne. Jeśli jednak trudno jest z tego całkiem zrezygnować, wysyłajmy część informacji innym medium. To znacznie utrudni życie cyberprzestępcy.
Niektóre banki lub dostawcy usług, wysyłając do Ciebie wrażliwe dokumenty szyfrują je hasłem, które przychodzi SMSem. Czasem hasłem jest PESEL lub numer użytkownika. Nie jest to rozwiązanie idealne ale zawsze jest to lepsza metoda niż wysyłanie całego pakietu jednym niezabezpieczonym mailem.
7. Załóż skrzynkę ProtonMail
Bezpieczeństwo twojej skrzynki firmowej jest oczkiem w głowie działu bezpieczeństwa. Warto więc, żebyś sam zadbał o odpowiednie zabezpieczenie skrzynki prywatnej. Warto rozważyć w tym kontekście ProtonMail, który jest największym na świecie dostawcą bezpiecznej poczty elektronicznej, rozwijanej przez naukowców z CERN i MIT. Serwis zapewnia, że nie zbiera i nie przekazuje żadnych danych użytkownika, a wiadomości szyfrowane są za pomocą kryptografii z otwartym kodem źródłowym.
8. Załóż komunikator Signal
Podobnie, jak ze skrzynkami email, jest z komunikatorami. Podczas, gdy jeden stara się zapewnić odpowiednie standardy, bezpieczeństwo drugiego dziurawe jest jak szwajcarski ser. Jeśli więc chcesz mieć pewność, że korzystasz z najbezpieczniejszego na rynku komunikatora, to sięgnij po Signal. Według portalu Niebezpiecznik, Signal to obecnie najbezpieczniejszy komunikator dostępny na rynku: “Od dawna rekomendujemy wybór tego komunikatora do prowadzenia zaszyfrowanych rozmów przez sieć. Dlaczego? Przede wszystkim dlatego, że w przeciwieństwie do WhatsAppa, Signal poza poufnością daje też prywatność Twoim konwersacjom, bo nie zbiera metadanych połączenia, czyli nie tylko nie zna treści rozmów (bo są zaszyfrowane) ale również nie wie kto i z kim rozmawia.”
9. Włącz automatyczne aktualizacje systemu i kluczowych aplikacji
W świecie cyberbezpieczeństwa istnieje pojęcie exploitu zero-day. Exploit to innymi słowy atak, który opiera się na wykorzystaniu błędów w zabezpieczeniach oprogramowania lub systemu operacyjnego.
Zero-day mówi o tym, jak długo autorzy oprogramowania zabezpieczającego wiedzą o luce w zabezpieczeniach programu. Exploit zero-day to z kolei atak, wykorzystujący lukę zero-day w celu zainstalowania na urządzeniu złośliwego oprogramowania (malware).
Jednym z najczęściej wskazywanych sposobów na zabezpieczenie się przed atakami zero-dayjest nieotwieranie załączników w wiadomościach z podejrzanych adresów ani niepobieranie plików z nieznanego źródła. Wskazanym jest też systematyczne aktualizowanie oprogramowania i instalowanie najnowszych łatek bezpieczeństwa. Jeśli nie aktualizujemy swoich aplikacji i systemów operacyjnych na bieżąco, z pewnością cyberprzestępca zna już przepis, jak dostać się do używanego przez nas oprogramowania. Aktualizacje trzeba robić regularnie, a najlepiej automatycznie, tak żeby upewnić się, że żadna nie została przeoczona.
10. Jeśli ktoś prosi Cię o natychmiastowe podanie danych – nie rób tego!
Ostatnim punktem, a zarazem wisienką na torcie jest socjotechnika, nazywana również inżynierią społeczną. To metoda wykorzystywaną przez cyberprzestępców po to, aby wpłynąć na ludzkie zachowania i obudzić instynktowne reakcje. Czy to w przypadku aplikacji, która prosi o podanie danych, czy to maila, który wymaga natychmiastowej reakcji, czy fałszywego agenta dzwoniącego z banku i proszącego o zainstalowanie aplikacji na telefonie. Nigdy nie wolno tego robić. Nigdy! Zawsze, jeśli ktoś lub coś w internecie wymusza na nas natychmiastową reakcję powinna zapalać Ci się lampka alarmowa.
Jeśli osoba dzwoniąca z banku mówi, że po Twoim koncie bankowym właśnie grasują złodzieje, jeśli email mówi, że natychmiast musisz zmienić hasło klikając w linka, jeśli aplikacja zmusza Cię do natychmiastowego podania hasła, nigdy tego nie rób! Urgency, czyli po polsku nagła potrzeba, to najbardziej znana i skuteczna technika manipulacji. Jeśli coś wygląda na niebezpieczne, a osoba która przekazuje informacje brzmi profesjonalnie to automatycznie chce się nam powiedzieć, “tak”, “dalej”, “zrób to”, “pomóż mi teraz”. Podczas gdy właściwa reakcja powinna być. “STOP, zastanów się i sprawdź”.
Podsumowanie
Jak więc reagować i się bronić? W przypadku telefonów z banku, zawsze lepiej jest odłożyć słuchawkę i zadzwonić do swojej placówki. Jeśli dzwoniąca do nas osoba była autentycznym przedstawicielem banku, to informacja o rozmowie będzie zarejestrowana w systemach i agent wyjaśni, o co chodziło. Jeśli z kolei w wiadomość email znajduje się prośba o podanie jakiś danych, trzeba sprawdzić nadawcę, przyklejając jego adres do przeglądarki. Może wyświetlić się jako scammer, czyli oszust. Prześlij też wiadomość do swojego działu bezpieczeństwa lub działu wsparcia aplikacji, z której mail przyszedł. Spokój i wstrzemięźliwość jest zawsze lepszą reakcją niż natychmiastowe nieprzemyślane działanie.
Jesteśmy bardzo ciekawi, co sądzicie o naszej liście. Staraliśmy się umieścić na niej wszystkie najważniejsze lekcje, które zebraliśmy w całość na bazie naszego doświadczenia. Nie chcieliśmy również podawać żadnych konkretnych rozwiązań komercyjnych. Marki ProtonMail i Signal są organizacjami non-profit nie nastawionymi na zysk. Wśród menedżerów haseł jest pełen wybór rozwiązań, lepszych pod kątem użyteczności i innych sprawniejszych pod kątem bezpieczeństwa. Podobnie jest z metodami MFA, czyli wieloskładnikowego uwierzytelniania. Jeśli chcieliby Państwo zapytać, która metoda jest wskazana dla konkretnego przypadku zachęcamy do kontaktu z nami.
Jesteśmy też świadomi, że artykuł ten może się szybko zestarzeć i za kilka miesięcy znajdą się w nim informacje, które będą wymagały uaktualnienia. Staramy się na bieżąco aktualizować nasze artykuły, jeśli jednak znajdą Państwo coś, co nie jest już aktualne gorąco, zachęcamy do kontaktu z nami.