Prokuratura Okręgowa w Warszawie prowadziła śledztwo w sprawie cyberataku na Polską Agencję Prasową (PAP). W dniu 31 maja, na serwisie PAP dwukrotnie pojawiła się fałszywa informacja. Hakerzy uzyskali dostęp do konta jednego z pracowników i zamieścili spreparowaną depeszę. Jak przestępcy dostali się do systemów PAP, na razie nie wiadomo, ale można uniknąć podobnych sytuacji w przyszłości.
Raport Global Risks 2024 przygotowany przez Światowe Forum Ekonomiczne pokazuje, że dezinformacja jest jednym z największych globalnych zagrożeń. Badania Koalicji „Razem Przeciw Dezinformacji” wskazują, że 81% Polaków uważa, iż w ostatniej dekadzie wzrosła skala dezinformacji w Internecie. Te dane pochodzą z raportu „Dezinformacja oczami Polaków”.
Fałszywe informacje są rozpowszechniane na różne sposoby, w tym przez media społecznościowe oraz wiarygodne kanały informacyjne. Przykład incydentu w PAP pokazuje, że czasem do publikacji nieprawdziwych danych dochodzi w wyniku bezpośredniego działania cyberprzestępców.
- Najprawdopodobniej do przejęcia konta pracownika PAP doszło przez zainstalowane złośliwe oprogramowanie. Nie jest jasne, czy atakujący wykradł poświadczenia czy sesję – wyjaśnia Bartosz Cieszewski, Solution Architect w Secfense, firmie zajmującej się cyberbezpieczeństwem. W pierwszym przypadku hakerzy używają wykradzionych danych, aby zalogować się do różnych serwisów i wykonywać różne czynności, np. publikować fałszywe depesze. W drugim przypadku przestępca przejmuje istniejącą sesję, uzyskując dostęp do konta bez potrzeby logowania.
Czy można się zabezpieczyć przed takimi atakami? W przypadku wykradzionych danych uwierzytelniających pomocne są mechanizmy silnego uwierzytelniania, natomiast przed przejęciem sesji chronią mikroautoryzacje.
Login i hasło to za mało
Dane Cisco Talos Incident Response pokazują, że w 2023 roku w co czwartym incydencie bezpieczeństwa wykorzystywano przejęte konta użytkowników. Cyberprzestępcy uzyskują dane uwierzytelniające poprzez phishing, czyli podszywanie się pod zaufane instytucje w celu wyłudzenia poufnych informacji.
- Mechanizmy dwu- lub wieloskładnikowego uwierzytelniania chronią przed wykorzystaniem przejętych danych. Utrata loginu i hasła nie jest wówczas wystarczająca, by uzyskać dostęp do serwisu czy usługi. Technologia passkeys dodatkowo chroni przed phishingiem, eliminując potrzebę używania łatwych do przejęcia haseł – tłumaczy Bartosz Cieszewski z Secfense.
Niebezpieczne ciasteczka
Wieloskładnikowe uwierzytelnianie nie ochroni przed przejęciem sesji. Jest to atak, w którym haker przejmuje kontrolę nad aktywną sesją użytkownika. Uzyskuje wtedy dostęp do zasobów i danych, do których ma uprawnienia legalny użytkownik, bez potrzeby logowania.
- Informacje o sesji są przechowywane w pliku cookie, nagłówkach HTTP lub zmiennych sesji. Atakujący przejmują unikalny identyfikator sesji, co pozwala im na przejęcie kontroli. Przed takimi atakami chronią mikroautoryzacje – mówi Bartosz Cieszewski.
Mikroautoryzacje – ochrona przed przejęciem sesji
Mikroautoryzacje wymuszają ponowne uwierzytelnienie za każdym razem, gdy użytkownik próbuje uzyskać dostęp do określonych zasobów lub wykonać określone działania. Można je implementować w dowolnym miejscu w aplikacji, a właściciel lub administrator decyduje, które działania wymagają dodatkowej ochrony. Mechanizmy uwierzytelnienia FIDO2, takie jak biometryczne potwierdzenie tożsamości, są łatwe w użyciu i skutecznie chronią przed niepowołanym dostępem.
- W przypadku PAP, mikroautoryzacja dla akcji „dodaj depeszę” zniweczyłaby plany atakującego. Nawet z przejętą sesją, haker zostałby zapytany o 2FA przy próbie publikacji – dodaje ekspert z Secfense.
Dezinformacja staje się coraz większym problemem. Media powinny zwracać szczególną uwagę nie tylko na prawdziwość publikowanych informacji, ale również na odpowiednią ochronę swoich systemów przed cyberprzestępcami.
Antoni Sikora 