Bajban a cégek: soha nem látott szintre emelkedhet a kibertámadások által okozott kár

https://cdn.portfolio.hu/articles/images-xl/g/e/t/gettyimages-860310248-432860.jpg
Megosztás/Share

2020. július 15-én amerikai idő szerint este 8 órakor 130 nagy látogatottságú Twitter fiók egyszerre posztolta, hogy minden egyes nekik küldött bitcoinért kettőt fizetnek vissza. Történelmi jelentőségű pillanat volt. Nem azért, mert a csalók óriási összeget nyertek volna ki a gyanútlan felhasználóktól – összesen talán 120.000 dollárnyi bitcoin mozdult meg a hír hallatán –, hanem azért, mert a csaló social engineering módszereket alkalmazva ennél sokkal nagyobb kárt is okozhatott volna. A 130 Twitter fiók között olyan nevek is voltak, mint Joe Biden vagy Bill Gates.

A fenti eset egyike a tipikus, COVID-hoz kapcsolódó, kibertámadásoknak.

Az elkövető egy otthonról dolgozó, kisebb beosztású Twitter-munkatárs adatait telefonos csalással megszerezve jutott el a Twitter egyik adminjához, akinek a hozzáférésével lényegében bármit megtehetett volna a közösségi média szolgáltató felületein. Az, hogy nem tette, csupán a szerencsén múlott.

A Twitter másfél óra elteltével közleményt adott ki a csalásról és azonnal megkezdte a hozzáférések szigorítását. A járvány nyomán, 2020 elején általánossá váló távolról való munkavégzés végtelen lehetőséget nyitott meg a rosszindulatú támadók előtt. Nagyon sok vállalkozás a home office-ra átállást gyors ütemben és nem jól átgondolt előkészületek után valósította meg. Az organikus átállást kiváltotta egy előre nem látható “káosz”, ami háttérbe szorította az aggódó szakértők véleményét. Az idei davosi Világgazdasági Fórumon is központi témává vált a kiberbűnözés, az informatikai szakmák keresettsége között pedig 10 év után először, ismét élre ugrottak a biztonsági szakemberek.

Egyszerű felhasználóként túlzó aggodalomként éljük meg, amikor a céges IT részleg erős jelszavakat és azok időről időre történő módosítását várja el tőlünk. Óva int attól, hogy személyes információkat osszunk meg magunkról a közösségi térben, vagy nyaggat, hogy ugyanazon a héten harmadjára is letöltsük a vállalati szoftver aktuális frissítéseit. Pedig a helyzet az, hogy a vállalatóriások, hasonlóan a magánemberekhez, pontosan ugyanannak a módszertannak válhatnak az áldozataivá.

De mi is az a Social Engineering és azon belül a Spear Phishing?

A spear phishing az adathalászat célzott formája. A támadás során az elkövető tud néhány részletet az áldozatról. Ezen adatok felhasználásával a csaló bizalmat ébreszt az áldozatban, akár azt is elhiteti vele, hogy régóta ismerik egymást, csak “ezer éve nem találkoztak”. Vagy például azt állítják, hogy a gyerekeik közös oviba járnak. Az ilyen részleteket az elkövetők a neten keresik és találják meg, elsősorban a közösségi médiaoldalakon. Gyakori az is, hogy korábban kompromittálódott (feltört) e-mail-fiókokban kutatnak másutt fel nem lelhető adatok után, ez az óvatosabb felhasználókat is megtéveszti.

Egy ilyen adatszerzéssel nemcsak a munkáltatónk kerül veszélybe, hanem mi magunk is. És nemcsak arról van szó, hogy kikerülhet a netre az idétlen családi videó, hanem arról is, hogy “eltűnik” a  számlánkról a pénzünk. “Egy atombomba az egész napodat tönkreteheti” — szól a hippimozgalmak nagy mondása a 60-as évekből, tartsuk ezt észben, amikor az adatainkról van szó.

Az adatok megszerzésére kiválóan alkalmas a SIM-kártya cserés csalás. Ez úgy történik, hogy a támadó kapcsolatba lép a mobilszolgáltatóval, és adataink bemondásával sikeresen meggyőzi a telefonközpont munkatársát arról, hogy az áldozat beszél. Innentől kezdve semmiből sem áll, hogy a támadó összekapcsoltassa a mi telefonszámunkat az ő SIM-kártyájával. Ha ez sikerült, az összes bejövő hívás és szöveges üzenet az új SIM-kártyát tartalmazó telefonra érkezik. Ezek közé tartoznak sajnálatos módon az elfelejtett jelszavak helyett küldött újak, vagy a banki tranzakciók ellenőrző kódjai is, vagyis ez a visszaélés nagyon komoly közvetlen kárt okozhat.

Az adathalászat azonban nemcsak ilyen direkt módon működik. A vállalati informatikusok nem véletlenül teszik kötelezővé a jelszavak rendszeres módosítását. Nagyon sokan használják ugyanazt a jelszót több helyen, és ez sokszor nagyon kitetté tesz bennünket és a cégünket is, akinek dolgozunk.

A Zoom alig ismert márkából a járvány miatt nőtte ki magát azzá, aminek ma ismerjük, de tavaly tavasszal még magán viselte egy kis alkalmazás összes hibáját. Az alkalmazás rivaldafénybe kerülése a hackerek figyelmét is felkeltette.

A mára legendássá vált Zoom-bombing alatt a támadó kitalálhatta a Zoom értekezlet azonosító kódját, és ameddig a Zoom nem védte a ’meetingeket’ jelszavakkal, addig akármilyen tartalmat meg tudott osztani.

Válaszul a Zoom első körben egy 6 jegyből álló számkódot iktatott a rendszerbe, ám ez maximum egymillió különböző jelszó változatot eredményez, amit bármilyen hekkerszoftver másodpercek alatt lefuttat.

A hekkerek ezután a jól ismert adatbányákhoz nyúltak. Ezek az internet sötétebb bugyraiban fellelhető, korábbi szivárgások adatait tartalmazó listák, amelyek könnyen beszerezhetőek. Ezek az adatcsomagok azért létezhetnek, mert számos korábbi adatszivárgásról nem értesülünk – vagy senki nem tudja, hogy megtörtént, vagy az adatgazda elhallgatja – vagy ha értesülünk is, nem tesszük meg a szükséges lépéséket, nem módosítjuk a jelszavainkat. A hekker az adott alkalmazást használók gépein végigpróbálja ezeket a jelszavakat. A Zoom esetében ehhez elég volt egy chatüzeneten keresztül egy szoftvercsomagot bejuttatni a felhasználó gépére és máris elindult annak telepítése. Mivel a Zoom nem ellenőrizte, hogy beszélgetés közben kik írnak a chatbe, lényegében semmilyen nehézségbe nem ütközött.  

Sok millió ilyen üzenetet elküldve a csalók találtak is félmillió olyan jelszót, ami aktív volt, és kezdődhetett a nagy játék. Szerencse a szerencsétlenségben, hogy nem hallgatózni akartak, hanem trollkodni, és oda nem illő tartalmakat tolni a céges megbeszélésekbe. Ez sem kellemes, de sokkal jobb, mintha a kényes céges információk megszerzése hajtotta volna őket, mert ezekhez is hozzáférhettek volna, mégpedig úgy, hogy közben észrevétlenek maradnak.

A fenti esetekből felhasználóként is levonhatunk következtetéseket:

  • A fiókjainknál, ahol lehetséges, érdemes több faktoros azonosítást használni a bejelentkezéshez
  • Személyes adataink megadásakor mindig legyünk körültekintőek
  • Ne használjuk ugyanazokat a jelszavakat különböző fiókjainkhoz
  • A folyamatosan felvillanó frissítési üzenetek egy idő után bár idegesítőek tudnak lenni, de nagyon fontos, hogy mindig telepítsük a legújabb frissítéseket.

Mai ismereteink szerint nem 2020 volt a valaha volt legnagyobb adatszivárgások éve, de sok jelentős támadás történt, és nem elsősorban a rendszerek technikai hibái miatt. Ezeknek az eseteknek a nagyrészében a támadók a munkavállalók körében találták meg azt a rést, amin keresztül hozzáfértek az adatokhoz. A KPMG Cyber Lab tapasztalatai szerint képzésekkel és valódi támadásokat szimuláló gyakorlatokkal mindig lehet javítani a felkészültségen, ami kézzelfogható eredményekhez vezet.

Életünk szinte teljesen átkerült a cybertérbe, ezért felhasználóként a tudatos internethasználat saját érdekünk és felelősségünk.

Jelentősebb kibertámadások 2020-ban:

  • Microsoft: Január – több szervere mindenféle védelem nélkül elérhető volt az interneten
  • Dán adóhivatal: Február – 1,26 millió dán állampolgár adószáma kikerült az internetre
  • MGM szállodalánc: Február – 142 millió felhasználó adatai szivárogtak ki, köztük lakcímek, születési adatok és telefonszámok is.
  • General Electric: Március – a cég kiadott egy közleményt, hogy illetéktelen behatolás történt a rendszerükbe a Canon egyik szolgáltatásának a sérülékenységeit kihasználva
  • WHO: Április – 25 000 email és jelszó ellopása
  • Mitsubishi: május – Adatlopás alkalmával egy kísérleti rakéta terveit is ellopták
  • Kaliforniai egyetem: Június – Az egyetem 1,14 millió dollárt fizetett bitcoinban a támadóknak, hogy „visszavásárolják” a Covid kutatási eredményeiket.
  • Couchsurfing: Július – 17 millió felhasználó adatát lopták el és publikálták az interneten
  • Intel: Augusztus – 20 Gigabájtnyi érzékeny céges információt loptak el és publikáltak az interneten
  • Fehérorosz rendvédelem: Szeptember – 1000 magasrangú rendőrtiszt személyes adatát szivárogtatták ki
  • Egyesült Nemzetek Nemzetközi Tengerészeti Szervezete (United Nations International Maritime Organisation): Október – Sikeresen behatoltak a szervezet IT rendszereibe.
  • Campari: November – Egy zsarolóvírus-támadás alkalmával a váltságdíj megtagadása után az italgyártó vállalat rendszerei elérhetetlenek lettek
  • Vancouver város tömegközlekedése: December – egy zsarolóvírus támadás következtében használhatatlanná váltak a közlekedési vállalat fizetőrendszerei.

A szerző a KPMG Cyber Biztonsági Laborjának operatív vezetője.

Címlapkép: Getty Images

Megosztás/Share

Forrás: https://www.portfolio.hu/gazdasag/20210218/bajban-a-cegek-soha-nem-latott-szintre-emelkedhet-a-kibertamadasok-altal-okozott-kar-470288