4-7 minut

Co w sieci trzeszczy?

Najczęstsze zagrożenia kierowane na urządzenia mobilne widziane oczami operatora w 2019 roku

Firmy muszą przygotować się na nowe zagrożenia związane z coraz bardziej wyrafinowanymi metodami ataków i pojawiającymi się podatnościami – lukami w zabezpieczeniach. Z punktu widzenia operatorów telekomunikacyjnych, do często występujących zagrożeń, zaliczyć należy m.in. infekowanie komputerów złośliwym oprogramowaniem umożliwiającym przejęcie kontroli nad ofiarą i rozsyłanie spamu z jej konta oraz wykradanie danych osobistych, takich jak nazwy użytkowników oraz ich hasła.

Z TEGO ARTYKUŁU DOWIESZ SIĘ:

  1. JAKIE ISTOTNE ZAGROŻENIA DOSTRZEGAJĄ OPERATORZY TELEKOMUNIKACYJNI OPIEKUJĄCY SIĘ KRYTYCZNĄ INFRASTRUKTURĄ FIRMOWĄ?
  2. NA JAKIE STRATY NARAŻA NAS BRAK TROSKI O AKTUALIZACJĘ OPROGRAMOWANIA URZĄDZEŃ ORAZ POZOSTAWIANIE DOMYŚLNYCH HASEŁ?
  3. JAK CHRONIĆ USŁUGI SERWEROWE PRZED ATAKIEM TYPU BRUTE FORCE (PRÓBAMI ODGADNIĘCIA LOGINU I HASŁA PRZEZ CYBERPRZESTĘPCĘ)?
  4. CO GROZI FIRMOM ZAATAKOWANYM PRZEZ MALWARE?
  5. JAKIE METODY SOCJOLOGICZNE STOSUJĄ OBECNIE CYBERPRZESTĘPCY PRZY WYŁUDZANIU NASZYCH DANYCH PODCZAS LOGOWANIA DO SYSTEMÓW BANKOWYCH?

Cyberprzestępcy wciąż zaskakują swoją kreatywnością stosując zupełnie nowe, coraz bardziej wyrafinowane metody łamania zabezpieczeń. W ostatnim czasie operatorzy mobilni odnotowali falę ataków na swoich klientów skutkujących zawyżaniem rachunków.

Luki w oprogramowaniu urządzeń i płatne SMS-y

Ofiary otrzymywały rachunki za usługi mobilne na kwoty niejednokrotnie zawyżone nawet o kilkadziesiąt tysięcy złotych. Luką, która przyczyniła się do odkrycia nowego wektora ataku przez cyberprzestępców były niezabezpieczone urządzenia internetu rzeczy (IoT): kamery przemysłowe, routery i modemy wyposażone w karty SIM1. Pozostawienie domyślnych ustawień autoryzacji w tych urządzeniach, czyli loginu i hasła pozwoliło cyberprzestępcom przejąć kontrolę nad nimi i wysyłać z nich płatne SMS-y za granicę. Koszt tych SMS-ów obciążał rachunek przedsiębiorstw lub użytkowników indywidualnych, a zyski ze zgromadzonych płatności za SMS-y trafiały do przestępców. Ochrona przed tym rodzajem ataku nie jest jednak trudna. Aby się zabezpieczyć wystarczy dbać o aktualizację oprogramowania urządzeń (firmware) oraz zmieniać stosowane przez producenta domyślne ustawienia przy autoryzacji (login i hasło).

Badanie rynku cyberbezpieczeństwa

Skanowanie podatności przez przestępców i ataki DDoS

Praktycznie każda firma posiadająca własne zasoby w sieci, chociażby tylko stronę firmową, narażona jest na ten rodzaj ataku. Przestępcy non stop, przez 24 godziny na dobę próbują znaleźć w naszych serwerach luki bezpieczeństwa i wykorzystać je do przejęcia kontroli nad naszą infrastrukturą. Skutkiem przejęcia może być zmiana naszej strony internetowej w reklamę usług przestępcy poprzez dodanie na niej odnośników do jego stron, wykorzystanie naszych serwerów i komputerów firmowych do kopania kryptowalut, z których zyski trafiają do przestępcy lub wykorzystanie naszych serwerów pocztowych do wysyłania spamu. Cyberprzestępcy mogą się także dostać do cennych danych firmowych i informacji wrażliwych, na przykład baz danych klientów. Groźne w skutkach są same ataki, a naprawianie szkód może wiązać się ze znacznymi wydatkami. Nawet jeżeli cyberprzestępcy nie napotkają żadnej luki w naszych systemach, to również ich próby znalezienia podatności w naszej infrastrukturze mocno obciążają serwery firmowe powodując przeciążenia i brak dostępności usług dla pracowników i klientów. Czasami oznacza to podobne skutki jak ataki DDoS, czyli zamierzoną przez przestępcę niedostępność naszych stron internetowych.

Z pomocą przychodzi aplikacja Fail2Ban, która powinna być zainstalowana na każdej maszynie podpiętej do internetu z zewnętrznym IP, działającej pod kontrolą systemów Unix, Linux oraz BSD. Głównym zadaniem Fail2Ban jest blokowanie podejrzanego ruchu, czyli np. zakończonych niepowodzeniem prób logowania się do usług świadczonych przez serwer, czyli ataków brute force. Działanie Fail2Ban opiera się na bieżącej analizie aktywności serwera i wychwytywaniu nieautoryzowanych prób logowania się do usług, takich jak ssh i pocztowych (smtp, pop3, imap). Aplikacja odnotowując przekroczenie dopuszczalnej liczby prób blokuje adresy IP, z których przestępcy chcą złamać nasze zabezpieczenia i nie pozwala im na dalszą aktywność przez określony czas. Zazwyczaj nie jest to w stanie powstrzymać przestępców całkowicie, bo stosują oni automaty do skanowania podatności i dysponują liczną pulą adresów IP. Natomiast skala ich aktywności może być istotnie zmniejszona i będą w stanie przetestować znacznie ograniczony zestaw często stosowanych haseł.

Botnety i malware

Do często odnotowywanych przez operatorów zagrożeń należy złośliwe oprogramowanie, które może dostać się na komputery użytkowników na przykład poprzez kliknięcie w link na zainfekowanej stronie lub załącznik w spamie wysyłanym przez cyberprzestępców. Szczególnie groźne może być złośliwe oprogramowanie znane pod nazwą Simda. Jest to duża rodzina złośliwego software’u, które po zainstalowaniu na komputerze ofiary umożliwia zdalnie sterowane przez atakującego w celu wykonywania różnych działań, najczęściej kradzieży danych osobistych lub systemowych. Pozwala także na robienie zrzutów ekranu i zmiany w środowisku komputera ofiary. Zainfekowane maszyny mogą być wykorzystane przez przestępców w charakterze botnetu do przeprowadzania ataków na inne komputery. Warto także wspomnieć o aktywnym w ostatnim czasie złośliwym oprogramowaniu Banjori, określanym mianem „Banking malware”, umożliwiającym wykradanie danych osobistych, takich jak nazwy użytkowników oraz hasła i przesyłanie ich do serwera command and control (C&C) znajdującego się pod kontrolą przestępców.

Metoda na „firmę kurierską”

Innym, zyskującym na popularności w ostatnim czasie, rodzajem ataku są SMS-y z linkiem2 prowadzącym do strony rzekomo służącej do realizacji płatności. Wprawdzie ten rodzaj ataku skoncentrowany jest głównie na użytkownikach indywidualnych, ale może dotknąć także firmy, szczególnie małe przedsiębiorstwa i jednoosobowe działalności gospodarcze. Treść SMS-a ma skłonić ofiarę do kliknięcia w link. Przestępcy wykorzystują tu socjotechniki, które mają uśpić czujność pracowników firm lub użytkowników indywidualnych. Atakujący zwykle podszywa się pod firmę kurierską zawierając w treści informację o konieczności drobnej dopłaty za paczkę. Jeżeli spodziewamy się przesyłki nasza czujność może być osłabiona i nie zauważymy, że link kieruje nas do fałszywej strony z „płatnościami online”, a następnie do fałszywej witryny banku. Zarówno użytkownicy indywidualni, jak i pracownicy firm mogą zostawić przestępcy swoje dane do logowania na konto bankowe, a SMS-em przesłanym na nasz numer już przez automat banku przestępcy autoryzują przelew środków na własne konto. Czasami zwykła czujność może okazać się niewystarczająca, bo nie w każdych okolicznościach będziemy w stanie zauważyć, że adres strony różni się od prawdziwej witryny banku, a przestępcy wykonują ją w taki sposób, że „podróbka” wyglądem nie odbiega istotnie od oryginału. Metodą zabezpieczenia się przed tym atakiem w przypadku firm jest system autoryzacji płatności tokenem lub konieczność potwierdzenia przelewu przez drugą osobę w firmie.

Podsumowanie

Przypomnijmy najważniejsze informacje dotyczące cyber-zagrożeń obserwowanych przez operatorów w 2019 roku:

  • Należy dbać o aktualizację oprogramowania, w szczególności w urządzeniach, o których nie zawsze pamiętamy (kamery przemysłowe, routery, modemy) i zmieniać domyślne loginy i hasła
  • Fail2Ban zapewnia ochronę przed skanowaniem i atakami typu brute force sieci firmowej serwerom działającym na systemach Unix, Linux oraz BSD
  • Simda to duża rodzina złośliwego oprogramowania, które po zainstalowaniu na komputerze ofiary umożliwia zdalnie sterowane przez atakującego w celu wykonywania różnych działań, najczęściej kradzieży danych osobistych lub systemowych
  • Banjori umożliwia wykradanie nazw użytkowników oraz haseł i przesyłanie ich do serwera C&C
  • Należy zachować szczególną ostrożność przy płatnościach, które inicjowane są przez podmioty zewnętrzne, przekierowujące nas na strony przypominające witryny bankowe lub witryny z płatnościami online

Poznaj produkty bezpieczeństwa IT od T-Mobile

1https://zaufanatrzeciastrona.pl/post/jak-kamery-i-routery-nabily-klientom-orange-pokazne-rachunki-za-sms-y/
2https://niebezpiecznik.pl/post/uwaga-na-sms-y-proszace-o-doplate-1-pln

Data publikacji: 03.07.2019

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail