Cyberatak na Polską Agencję Prasową: Wnioski i Ochrona

Cyberatak na Polską Agencję Prasową Wnioski i Ochrona

Prokuratura Okręgowa w Warszawie prowadziła śledztwo w sprawie cyberataku na Polską Agencję Prasową (PAP). W dniu 31 maja, na serwisie PAP dwukrotnie pojawiła się fałszywa informacja. Hakerzy uzyskali dostęp do konta jednego z pracowników i zamieścili spreparowaną depeszę. Jak przestępcy dostali się do systemów PAP, na razie nie wiadomo, ale można uniknąć podobnych sytuacji w przyszłości.

Raport Global Risks 2024 przygotowany przez Światowe Forum Ekonomiczne pokazuje, że dezinformacja jest jednym z największych globalnych zagrożeń. Badania Koalicji „Razem Przeciw Dezinformacji” wskazują, że 81% Polaków uważa, iż w ostatniej dekadzie wzrosła skala dezinformacji w Internecie. Te dane pochodzą z raportu „Dezinformacja oczami Polaków”.

Fałszywe informacje są rozpowszechniane na różne sposoby, w tym przez media społecznościowe oraz wiarygodne kanały informacyjne. Przykład incydentu w PAP pokazuje, że czasem do publikacji nieprawdziwych danych dochodzi w wyniku bezpośredniego działania cyberprzestępców.

  • Najprawdopodobniej do przejęcia konta pracownika PAP doszło przez zainstalowane złośliwe oprogramowanie. Nie jest jasne, czy atakujący wykradł poświadczenia czy sesję – wyjaśnia Bartosz Cieszewski, Solution Architect w Secfense, firmie zajmującej się cyberbezpieczeństwem. W pierwszym przypadku hakerzy używają wykradzionych danych, aby zalogować się do różnych serwisów i wykonywać różne czynności, np. publikować fałszywe depesze. W drugim przypadku przestępca przejmuje istniejącą sesję, uzyskując dostęp do konta bez potrzeby logowania.

Czy można się zabezpieczyć przed takimi atakami? W przypadku wykradzionych danych uwierzytelniających pomocne są mechanizmy silnego uwierzytelniania, natomiast przed przejęciem sesji chronią mikroautoryzacje.

Login i hasło to za mało

Dane Cisco Talos Incident Response pokazują, że w 2023 roku w co czwartym incydencie bezpieczeństwa wykorzystywano przejęte konta użytkowników. Cyberprzestępcy uzyskują dane uwierzytelniające poprzez phishing, czyli podszywanie się pod zaufane instytucje w celu wyłudzenia poufnych informacji.

  • Mechanizmy dwu- lub wieloskładnikowego uwierzytelniania chronią przed wykorzystaniem przejętych danych. Utrata loginu i hasła nie jest wówczas wystarczająca, by uzyskać dostęp do serwisu czy usługi. Technologia passkeys dodatkowo chroni przed phishingiem, eliminując potrzebę używania łatwych do przejęcia haseł – tłumaczy Bartosz Cieszewski z Secfense.

Niebezpieczne ciasteczka

Wieloskładnikowe uwierzytelnianie nie ochroni przed przejęciem sesji. Jest to atak, w którym haker przejmuje kontrolę nad aktywną sesją użytkownika. Uzyskuje wtedy dostęp do zasobów i danych, do których ma uprawnienia legalny użytkownik, bez potrzeby logowania.

  • Informacje o sesji są przechowywane w pliku cookie, nagłówkach HTTP lub zmiennych sesji. Atakujący przejmują unikalny identyfikator sesji, co pozwala im na przejęcie kontroli. Przed takimi atakami chronią mikroautoryzacje – mówi Bartosz Cieszewski.

Mikroautoryzacje – ochrona przed przejęciem sesji

Mikroautoryzacje wymuszają ponowne uwierzytelnienie za każdym razem, gdy użytkownik próbuje uzyskać dostęp do określonych zasobów lub wykonać określone działania. Można je implementować w dowolnym miejscu w aplikacji, a właściciel lub administrator decyduje, które działania wymagają dodatkowej ochrony. Mechanizmy uwierzytelnienia FIDO2, takie jak biometryczne potwierdzenie tożsamości, są łatwe w użyciu i skutecznie chronią przed niepowołanym dostępem.

  • W przypadku PAP, mikroautoryzacja dla akcji „dodaj depeszę” zniweczyłaby plany atakującego. Nawet z przejętą sesją, haker zostałby zapytany o 2FA przy próbie publikacji – dodaje ekspert z Secfense.

Dezinformacja staje się coraz większym problemem. Media powinny zwracać szczególną uwagę nie tylko na prawdziwość publikowanych informacji, ale również na odpowiednią ochronę swoich systemów przed cyberprzestępcami.

Referencje

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures