Chyba każdy niejednokrotnie korzystał z urządzeń podłączanych do komputera przez port USB. Bywa, że nie znamy źródła ich pochodzenia. Może to być cudzy nośnik pamięci, mysz pochodząca od nieznanego producenta lub darmowy gadżet. Takie pozornie niegroźne urządzenia mogą doprowadzić do destabilizacji całej organizacji tak, jak miało to miejsce w poniżej opisanej historii.
ATAK NA WARSZAWSKI ODDZIAŁ ZNANEJ MIĘDZYNARODOWEJ KORPORACJI
Cyberprzestępcy w celu wzbudzenia zaufania potencjalnej ofiary podszywają się pod konkretne osoby oraz instytucje. Zapewne każdy słyszał o atakach, w których przestępcy podszyli się pod policjantów, instytucje rządowe czy banki. Warto wiedzieć, że oszuści mogą udawać… dostawców pizzy.
Pracownicy warszawskiego oddziału jednej ze znanych międzynarodowych korporacji zostali drogą mailową poinformowaniu o rzekomym otworzeniu nowej pizzerii w sąsiedztwie. Lokal miał z tej okazji przygotować specjalny rabat dla pierwszych klientów w wysokości 30%, a dodatkowo do realizowanego zamówienia były dołączane gadżety.
Pracownicy postanowili skorzystać z promocji. Menu pizzerii dostępne było na stronie internetowej, która (jak się później okazało) była fałszywa i miała na celu uwiarygodnienie ataku. Po jakimś czasie w organizacji pojawił się dostawca ze zrealizowanym zamówieniem oraz gratisami, którymi były podłączane do komputera za pomocą USB lampki LED zmieniające kolor w rytm muzyki.
Pracownicy miło zaskoczeni gadżetami bez wahania postanowili je wypróbować i podłączyli do służbowych komputerów. Niestety w ten sposób umożliwili przestępcom dostęp do urządzeń. Jak się okazało upominki pełniły w tym przypadku rolę konia trojańskiego. Dzięki takiemu dodatkowemu, niezabezpieczonemu wejściu do systemu teleinformatycznego, dokonano wyłomu w zabezpieczeniach organizacji. Chociaż odpowiadały one najwyższym standardom, nie uwzględniono tej metody ataku.
TO TYLKO ĆWICZENIA
Ta historia ma swój szczęśliwy finał. Atak od początku był zaplanowany, a stała za nim firma przeprowadzająca audyt bezpieczeństwa. Celem „ćwiczeń” miało być zweryfikowanie obszarów, które podatne są na zagrożenia. Scenariusz ćwiczeń był w zasadzie oparty tylko na kilku krokach. Na początku stworzono fałszywą stronę internetową i zamówiono naklejki z nazwą i logo fikcyjnej pizzerii. Następnie na służbowe maile wysłana została wiadomość informująca o promocji. Gdy pracownicy „złapali haczyk” osoba działająca w imieniu firmy audytującej dostarczyła pizzę z prawdziwej pizzerii, a na kartony nakleiła logo fikcyjnego lokalu i przekazała prezenty w postaci lampek LED. Urządzenia były zainfekowane złośliwym oprogramowaniem.
„SYSTEM BEZPIECZEŃSTWA JEST TAK SKUTECZNY, JAK JEGO NAJSŁABSZE OGNIWO”
Firma audytorska zadała sobie wiele trudu, aby przeprowadzić opisane ćwiczenia. Ten trud się opłacił, ponieważ wykryto istotną podatność. Być może pracownicy nie zostali skutecznie przeszkoleni pod względem bezpieczeństwa. Możliwe też, że pomimo odpowiedniego szkolenia nie zastosowali się do zaleceń. Ponadto organizacja nie zabezpieczyła odpowiednio portów USB.
Miejmy nadzieję, że „ćwiczenia” były dla pracowników cenną lekcją i w przyszłości będą przestrzegać zasad bezpieczeństwa. Historia ta pokazuje również, że nawet organizacja posiadająca najwyższej jakości systemy bezpieczeństwa może stać się ofiarą ataków socjotechnicznych. Dlatego tak ważne jest stałe podnoszenie świadomości wśród pracowników oraz rutynowa kontrola przestrzegania przez nich zasad bezpieczeństwa. Jak powiedział Kevin Mitnick (jeden z najbardziej znanych komputerowych włamywaczy, autor książki pt. „Sztuka podstępu. Łamałem ludzi, nie hasła”) „system bezpieczeństwa jest tak skuteczny, jak jego najsłabsze ogniwo – człowiek”.
O TYM WARTO PAMIĘTAĆ
Na co dzień pracownicy korzystają z wielu urządzeń podłączanych za pomocą portów do komputera. Są to nie tylko gadżety, ale również sprzęt niezbędny do codziennej pracy – taki jak myszki, kamery, mikrofony, głośniki i nośniki pamięci. Korzystający z nich użytkownicy mogą być nieświadomi zagrożeń, jakie te urządzenia mogą wywołać. W celu minimalizacji zagrożeń warto stosować się do poniższych wskazówek:
- Nie podłączaj urządzeń nieznanego pochodzenia
Tak jak w przypadku oddziału międzynarodowej korporacji obce urządzenie może doprowadzić do utraty kontroli nad systemem informatycznym całej organizacji. Dlatego jeżeli urządzenie nie pochodzi z zaufanego źródła korzystanie z niego nie jest dobrym pomysłem.
- Staraj się unikać kupowania urządzeń nieznanych producentów
Na portalach aukcyjnych (takich jak np. Allegro bądź AliExpress) dostępne są urządzenia w znacznie niższych cenach. Niestety często marka tych produktów nie jest podana bądź wskazuje na nieznanego producenta. Takich urządzeń należy unikać, ponieważ ich sprzedaż może mieć na celu zainfekowanie komputera ofiary złośliwym oprogramowaniem.
- Wybieraj urządzenia pochodzące z autoryzowanych sklepów
Cyberprzestępcy wiedzą, że potencjalne ofiary najchętniej wybierają sprzęt od znanych producentów. Dlatego mogą oni podrobić oryginalny przedmiot i sprzedać go na aukcji internetowej (np. na wyżej wymienionych portalach). Dlatego ważne jest, aby wybierać autoryzowane sklepy, które sprzedają produkty pochodzące z zaufanych źródeł.
- Pamiętaj, że nawet podłączony telefon może zainfekować komputer
Podłączając telefon do komputera (np. w celu przesłania plików lub ładowania) należy pamiętać, że może być on zainfekowany, co z kolei może stanowić zagrożenia dla komputera i całej sieci teleinformatycznej organizacji. Dlatego staraj się unikać tego typu działań. Jeżeli musisz przesłać pliki skorzystaj np. z bluetooth lub z Chmury (np. Dysku Google, który umożliwia synchronizację plików znajdujących się na różnych urządzeniach). Natomiast jeżeli chcesz podładować telefon lepszym rozwiązaniem będzie skorzystanie z tradycyjnej ładowarki, podłączonej do prądu.
- Ustaw blokadę portów USB lub autoryzację podłączonych urządzeń
Jeżeli nie korzystasz często z portów USB, dobrym rozwiązaniem może być ich zablokowanie lub przynajmniej blokada trybu „autorun” (instrukcja znajduje się tutaj). Możliwa jest również autoryzacja urządzeń podłączanych przez USB (więcej informacji można znaleźć tutaj).
- Podnoś swoją świadomość w zakresie zagrożeń bezpieczeństwa
Cyberprzestępcy wciąż opracowują nowe metody ataków. Dlatego ważne jest, aby na bieżąco podnosić świadomość w zakresie bezpieczeństwa.