Cyberuzależnieni dyrektorzy zagrożeniem dla biznesu

11-03-2019, 23:13

Komunikaty ostrzegające przed ryzykownymi technologiami, zakaz posiadania szpiegujących smartwatchów, blokowanie obcych na rzecz tworzenia własnych mediów społecznościowych - to tylko kilka przykładów, jak kraje rozwinięte technologicznie radzą sobie z cyberzagrożeniami wynikającymi z rozwoju cyfrowych technologii uzależniających. Jak na tym tle wypada Polska?

Konieczność skutecznego przeciwdziałania niektórym skutkom cyfrowych technologii uzależniających (tzw. CTU) jest nie tylko paląca, ale wręcz niezbędna dla zapewnienia odpowiedniego poziomu bezpieczeństwa. Tę świadomość mają wysoko rozwinięte technologicznie kraje, które od lat inwestują w narzędzia, mające eksplorować zjawiska CTU i zapobiegać ich negatywnemu wpływowi na ludzi, a przez to na bezpieczeństwo narodowe.

Za dobry przykład można wziąć Niemcy, gdzie służby na bieżąco publikują informacje ostrzegające przed ryzykownymi technologiami lub wręcz zakazują stosowania niektórych z nich, jak np. szpiegujących smartwatchów. Aktywnie przed wpływem CTU bronią się także Chiny i Rosja, które zablokowały dostęp do obcych mediów społecznościowych i stworzyły własne, alternatywne wersje.

Dawid Bałut, ekspert od cyberbezpieczeństwa z Testarmy CyberForces, uważa, że w kwestii cyberbezpieczeństwa Polska na tle innych krajów rozwiniętych wypada co najwyżej przeciętnie. Odpowiednie protokoły bezpieczeństwa dopiero zaczynają powstawać, tak jak i inicjatywy, których celem ma być edukacja osób mających dostęp do krytycznych danych.

Uczmy się na błędach innych - case study

Cyberprzestępcy są kreatywni, atakując nie tylko częściej, ale wykorzystując do tego trudne do przewidzenia sposoby. Same praktyki OSINT (Open Source Intelligence, wywiad źródeł jawnych) i zbierania informacji na temat celu ataku istnieją od dekad. Problem z ich wykrywaniem nasilił się jednak, gdy do równania wprowadzone zostały aplikacje z potencjałem uzależniającym. Psychologiczne zjawiska wpływające na zachowanie użytkowników prowadzą do sytuacji, w których nawet przeszkoleni dyrektorzy korporacji padają ofiarą ataków socjotechnicznych. Przemęczeni i w ciągłym pośpiechu, chcą osiągnąć cel jak najszybciej, jednocześnie pozostając produktywnymi. Ich umysł ignoruje czerwone flagi, które normalnie pojawiają się u osób niebędących uzależnionymi od używania danego medium.

Czasem więc wystarczy mail w znajomej sprawie czy z niepokojącą informacją, np.: “czy widziałeś kompromitujące zdjęcia swojej córki w internecie?”, aby w przypływie emocji kliknąć w link podany w mailu i nie zauważyć, że zamiast zostać przekierowanym na oficjalną stronę, ofiara trafia na stronę kontrolowaną przez atakującego. Witryna wygląda tak samo, jak znana sobie strona i wymaga logowania.

W sytuacji, w której człowiek nie jest pod ciągłym wpływem czynnika uzależniającego, mógłby zadać sobie pytanie: “dlaczego muszę się logować, skoro jeszcze 15 minut temu korzystałem z aplikacji będąc zalogowanym i nie było żadnego problemu?”. Jednak ofiara chce jak najszybciej dostać się do zniesławiających danych. Loguje się, wchodzi na stronę i faktycznie widzi informację o tym, że jego córka wzięła udział w “nietypowej” imprezie będąc na wakacjach we Włoszech. Zdjęcia są do pobrania, załączone w archiwum .zip. Historia brzmi wiarygodnie, bo rzeczywiście córka była w tym konkretnym terminie w tej właśnie lokalizacji. Ufa więc informacji i pobiera archiwum .zip. W środku nie ma nic, oprócz złośliwego kodu, który wykonuje się w momencie wypakowania plików .docx.

Niepewna ofiara ataku może zgłosić się do swojego działu IT z prośbą o pomoc, podejrzewając, że pakiet MS Office nie działa, bo zdjęcia nie mogły się otworzyć. Taka reakcja byłaby pożądana, ponieważ daje IT szansę na analizę i rozpoznanie ataku. Umożliwia wywołanie odpowiednich mechanizmów odpowiedzi na incydent bezpieczeństwa, powstrzymanie ataku i ochronę przed kompromitacją danych ofiary i jego firmy.

W pesymistycznym dla bezpieczeństwa biznesu scenariuszu ofiara uznaje, że była to marna prowokacja, ociera pot z czoła i wraca do swoich codziennych zadań. W tym czasie złośliwe oprogramowanie umożliwia cyberprzestępcom dostęp do wewnętrznej infrastruktury firmy oraz portali. Na tym skandal się nie kończy, gdyż zdobyte dane logowania, oprócz ataku na firmę, zostają wykorzystane do eskalacji uderzenia poprzez faktyczny atak na prywatne życie ofiary, wydobycie historii rozmów prowadzonych przez media społecznościowe i szantaże.

Prosty atak rozgrywający się w zaledwie kilka minut doprowadza więc do ogromnych strat dla biznesu i osoby, która w wyniku braku odpowiedniej edukacji padła jego ofiarą!

Nasuwa się pytanie, skąd przestępca zdobył informacje pozwalające mu stworzyć scenariusz ataku? Dawid Bałut tłumaczy, że o ile zaatakowany dyrektor czy pracownik przechodzi proste programy edukacji bezpieczeństwa w swojej korporacji, o tyle jego rodzina już nie. Przejrzenie ich profili w mediach społecznościowych i wyciągnięcie potrzebnych danych to dla cyberprzestępcy to kwestia minut. Niestety jest to bardzo powszechny i niebezpieczny wektor ataku, często pomijany w programach edukacji osób zajmujących kierownicze stanowiska.

Przykłady ataków socjotechnicznych

Skandale polityczne, ingerencja w przebieg wyborów, manipulacja giełdą - historia zna wiele sytuacji wykorzystania mediów społecznościowych do przeprowadzenia ataków socjotechnicznych. Przykładów można by mnożyć:

1. Mapa baz wojskowych USA

Strava to serwis dla sportowców wspomagający rozwój dzięki udostępnianiu setek indywidualnych statystyk. Po zebraniu 3 bilionów punktów pochodzących z geolokalizacji użytkowników, w listopadzie 2017 r. opublikował mapę cieplną pokazującą popularne trasy, m.in. biegowe i rowerowe. Robiąc to serwis prawdopodobnie ujawnił także aktywność korzystających z aplikacji żołnierzy amerykańskich, doprowadzając do wskazania lokalizacji sekretnych baz wojskowych USA - m.in. w Turcji, Syrii i Jemenie.

2. Algorytmy oparte o fake news

23 kwietnia 2013 r. z konta amerykańskiej agencji informacyjnej Associated Press na Twitterze została udostępniona informacja o dwóch wybuchach w Białym Domu, w wyniku których ranny został prezydent Barack Obama. Informacje były fałszywe, ale prawdziwa była odpowiedź giełdy, która chwilę po domniemanym ataku zanotowała straty w wysokości 136.5 miliarda dol. Do akcji przyznała się grupa Syrian Electronic Army, ale winą za nagły krach specjaliści obarczają algorytmy giełdowe, które podejmują predefiniowane decyzje finansowe bazując m.in. na śledzonych kanałach informacyjnych.

3. Tweet za 20 mln dolarów

7 sierpnia 2018 r. Elon Musk, CEO Tesli, udostępnił 25 milionom osób obserwujących jego konto na Twitterze informację o możliwości zdjęcia spółki z giełdy po cenie 420 dol za walor. Jak okazało się, tweet miliardera nie miał żadnych podstaw, a jego celem było uderzenie w inwestorów i wpłynięcie na kurs akcji producenta. Komisja Papierów Wartościowych (SEC) odstąpiła od nałożenia 20 mln dol, kary tylko pod warunkiem, że Elon Musk już nigdy nie zamieści na Twitterze wpisu o Tesli. Dlatego kilka dni temu, chcąc podzielić się informacją na temat marki, bystry miliarder na kilka godzin zmienił swoje nazwisko na... Elon Tusk.

Takie proste przykłady ataków socjotechnicznych są tylko wierzchołkiem góry lodowej. Choć fenomen cyfrowych technologii uzależniających wzbudza coraz większe zainteresowanie ze strony psychologów i socjologów, minie jeszcze sporo czasu zanim rezultaty badań będą wiarygodne w stopniu, który nie tylko pozwoli odeprzeć aktualne ataki, ale przygotować się na przyszłościowe zagrożenia, wynikające np. z faktu tracenia umiejętności utrzymania koncentracji na konkretnym zadaniu.

Żródło: TestArmy CyberForces


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2019»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
252627282930