Komunikaty ostrzegające przed ryzykownymi technologiami, zakaz posiadania szpiegujących smartwatchów, blokowanie obcych na rzecz tworzenia własnych mediów społecznościowych – to tylko kilka przykładów, jak kraje rozwinięte technologicznie radzą sobie z cyberzagrożeniami wynikającymi z rozwoju cyfrowych technologii uzależniających. Jak na tym tle wypada Polska sprawdzamy z TestArmy CyberForces. 

Funkcjonując w coraz bardziej zdigitalizowanym świecie, konieczność skutecznego przeciwdziałania niektórym skutkom cyfrowych technologii uzależniających (tzw. CTU) jest nie tylko paląca, ale wręcz niezbędna dla zapewnienia odpowiedniego poziomu bezpieczeństwa. Tę świadomość mają wysoko rozwinięte technologicznie kraje, które od lat inwestują w narzędzia, mające eksplorować zjawiska CTU i zapobiegać ich negatywnemu wpływowi na ludzi, a przez to na bezpieczeństwo narodowe.

Za dobry przykład można wziąć Niemcy, gdzie służby na bieżąco publikują informacje ostrzegające przed ryzykownymi technologiami lub wręcz zakazują stosowania niektórych z nich, jak np. szpiegujących smartwatchów. Aktywnie przed wpływem CTU bronią się także Chiny i Rosja, które zablokowały dostęp do obcych mediów społecznościowych i stworzyły własne, alternatywne wersje.

W kwestii cyberbezpieczeństwa Polska na tle innych krajów rozwiniętych wypada co najwyżej przeciętnie. Odpowiednie protokoły bezpieczeństwa dopiero zaczynają powstawać, tak jak i inicjatywy, których celem ma być edukacja osób mających dostęp do krytycznych danych. Trwają też intensywne prace, realizowane we współpracy z organizacjami okołorządowymi, zmierzające do powstania krajowego programu edukacji, który podniesie wiedzę w zakresie cyberbezpieczeństwa i cyberuzależnień, minimalizując w ten sposób negatywne skutki CTU – tłumaczy Dawid Bałut, ekspert od cyberbezpieczeństwa z Testarmy CyberForces.

Uczmy się na błędach innych – case study

Cyberprzestępcy są kreatywni, atakując nie tylko częściej, ale wykorzystując do tego trudne do przewidzenia sposoby. Same praktyki OSINT (Open Source Intelligence, wywiad źródeł jawnych) i zbierania informacji na temat celu ataku istnieją od dekad. Problem z ich wykrywaniem nasilił się jednak, gdy do równania wprowadzone zostały aplikacje z potencjałem uzależniającym.

Psychologiczne zjawiska wpływające na zachowanie użytkowników prowadzą do sytuacji, w których nawet przeszkoleni dyrektorzy korporacji padają ofiarą ataków socjotechnicznych. Przemęczeni i w ciągłym pośpiechu, chcą osiągnąć cel jak najszybciej, jednocześnie pozostając produktywnymi. Ich umysł ignoruje czerwone flagi, które normalnie pojawiają się u osób niebędących uzależnionymi od używania danego medium.

Czasem więc wystarczy mail w znajomej sprawie czy z niepokojącą informacją, np.: “czy widziałeś kompromitujące zdjęcia swojej córki w internecie?”, aby w przypływie emocji kliknąć w link podany w mailu i nie zauważyć, że zamiast zostać przekierowanym na oficjalną stronę, ofiara trafia na stronę kontrolowaną przez atakującego. Witryna wygląda tak samo, jak znana sobie strona i wymaga logowania.

W sytuacji, w której człowiek nie jest pod ciągłym wpływem czynnika uzależniającego, mógłby zadać sobie pytanie: “dlaczego muszę się logować, skoro jeszcze 15 minut temu korzystałem z aplikacji będąc zalogowanym i nie było żadnego problemu?”. Jednak ofiara chce jak najszybciej dostać się do zniesławiających danych.

Loguje się, wchodzi na stronę i faktycznie widzi informację o tym, że jego córka wzięła udział w “nietypowej” imprezie będąc na wakacjach we Włoszech. Zdjęcia są do pobrania, załączone w archiwum .zip. Historia brzmi wiarygodnie, bo rzeczywiście córka była w tym konkretnym terminie w tej właśnie lokalizacji. Ufa więc informacji i pobiera archiwum .zip. W środku nie ma nic, oprócz złośliwego kodu, który wykonuje się w momencie wypakowania plików .docx.

Niepewna ofiara ataku może zgłosić się do swojego działu IT z prośbą o pomoc, podejrzewając, że pakiet MS Office nie działa, bo zdjęcia nie mogły się otworzyć. Taka reakcja byłaby pożądana, ponieważ daje IT szansę na analizę i rozpoznanie ataku. Umożliwia wywołanie odpowiednich mechanizmów odpowiedzi na incydent bezpieczeństwa, powstrzymanie ataku i ochronę przed kompromitacją danych ofiary i
jego firmy.

W pesymistycznym dla bezpieczeństwa biznesu scenariuszu ofiara uznaje, że była to marna prowokacja, ociera pot z czoła i wraca do swoich codziennych zadań. W tym czasie złośliwe oprogramowanie umożliwia cyberprzestępcom dostęp do wewnętrznej infrastruktury firmy oraz portali. Na tym skandal się nie kończy, gdyż zdobyte dane logowania, oprócz ataku na firmę, zostają wykorzystane do eskalacji uderzenia poprzez faktyczny atak na prywatne życie ofiary, wydobycie historii rozmów prowadzonych przez media społecznościowe i szantaże.

Prosty atak rozgrywający się w zaledwie kilka minut doprowadza więc do ogromnych strat dla biznesu i osoby, która w wyniku braku odpowiedniej edukacji padła jego ofiarą! Nasuwa się pytanie, skąd przestępca zdobył informacje pozwalające mu stworzyć scenariusz ataku?

O ile zaatakowany dyrektor czy pracownik przechodzi proste programy edukacji bezpieczeństwa w swojej korporacji, o tyle jego rodzina już nie. Przejrzenie ich profili w mediach społecznościowych i wyciągnięcie potrzebnych danych to dla hakera kwestia minut. Niestety jest to bardzo powszechny i niebezpieczny wektor ataku, często pomijany w programach edukacji osób zajmujących kierownicze stanowiska
– tłumaczy Dawid Bałut.

Media społecznościowe – ulubione przez hakerów CTU

Skandale polityczne, ingerencja w przebieg wyborów, manipulacja giełdą – historia zna wiele sytuacji wykorzystania mediów społecznościowych do przeprowadzenia ataków socjotechnicznych. Przykładów można by mnożyć:

1. Mapa baz wojskowych USA

Strava to serwis dla sportowców wspomagający rozwój dzięki udostępnianiu setek indywidualnych statystyk. Po zebraniu 3 bilionów punktów pochodzących z geolokalizacji użytkowników, w listopadzie 2017 r. opublikował mapę cieplną pokazującą popularne trasy, m.in. biegowe i rowerowe. Robiąc to serwis prawdopodobnie ujawnił także aktywność korzystających z aplikacji żołnierzy amerykańskich, doprowadzając do wskazania lokalizacji sekretnych baz wojskowych USA – m.in. w Turcji, Syrii i Jemenie.

2. Algorytmy w oparciu o fake news

23 kwietnia 2013 r. z konta amerykańskiej agencji informacyjnej Associated Press na Twitterze została udostępniona informacja o dwóch wybuchach w Białym Domu, w wyniku których ranny został prezydent Barack Obama. Informacje były fałszywe, ale prawdziwa była odpowiedź giełdy, która chwilę po domniemanym ataku zanotowała straty w wysokości 136.5 miliarda USD. Do akcji dezinformacyjnej przyznała się grupa hakerów komputerowych Syrian Electronic Army, ale winą za nagły krach specjaliści obarczają algorytmy giełdowe, które podejmują predefiniowane decyzje finansowe bazując m.in. na śledzonych kanałach informacyjnych.

3. Tweet za 20 mln USD

7 sierpnia 2018 r. Elon Musk, CEO Tesli, udostępnił 25 milionom osób obserwujących jego konto na Twitterze informację o możliwości zdjęcia spółki z giełdy po cenie 420 USD za walor. Jak okazało się, tweet miliardera nie miał żadnych podstaw, a jego celem było uderzenie w inwestorów i wpłynięcie na kurs akcji producenta. Komisja Papierów Wartościowych (SEC) odstąpiła od nałożenia 20 mln USD kary tylko pod warunkiem, że Elon Musk już nigdy nie zamieści na Twitterze wpisu o Tesli. Dlatego kilka dni temu chcąc podzielić się informacją na temat marki, bystry miliarder na kilka godzin zmienił swoje nazwisko na… Elon Tusk.

Potrzebna ciągła i kreatywna edukacja!

Takie proste przykłady ataków socjotechnicznych są tylko wierzchołkiem góry lodowej. Choć fenomen cyfrowych technologii uzależniających wzbudza coraz większe zainteresowanie ze strony psychologów i socjologów, minie jeszcze sporo czasu zanim rezultaty badań będą wiarygodne w stopniu, który nie tylko pozwoli odeprzeć aktualne ataki, ale przygotować się na przyszłościowe zagrożenia, wynikające np. z faktu tracenia umiejętności utrzymania koncentracji na konkretnym zadaniu.

Być może dojdziemy do poziomu rozproszenia, w którym będziemy padać ofiarą ataków socjotechnicznych, na które nie zareagujemy nawet po fakcie. Zwyczajnie nie będziemy pamiętać, że w ogóle wykonaliśmy jakąś czynność online, która mogła wygenerować ryzyko skompromitowania naszych danych. A może ze względu na otaczającą nas technologię będziemy coraz lepiej uczyć się zarządzania chaosem i łatwiej będzie nam rozpoznawać ataki, które są wynikiem odchylenia od tego, do czego jesteśmy na co dzień przyzwyczajeni.

Dlatego teraz, bardziej niż kiedykolwiek wcześniej, istotna jest ciągła i kreatywna edukacja osób mających dostęp do krytycznych danych, czyli ludzi pełniących kluczowe role w swoich firmach czy powiązanych z bezpieczeństwem państwa. Ataków możemy spodziewać się coraz więcej, ale ich siła tkwi nie w ilości, ale w mnogości wektorów, wykorzystywanych przez kreatywnych hakerów na trudne do przewidzenia sposoby.