Ataki związane z wykradaniem danych osobowych są coraz częstsze, a cyberprzestępcy wciąż szukają nowych sposobów na ich pozyskanie. Ponieważ znacząca część naszego życia rozgrywa się obecnie w świecie wirtualnym, to właśnie ta przestrzeń dla wielu przestępców stała się głównym polem działalności. 

W Internecie kupujemy i sprzedajemy, w Internecie mamy konta bankowe, na których trzymamy oszczędności, w Internecie prowadzimy życie towarzyskie, przez Internet łączymy się z klientem, z pracodawcą, ze szkołą, w Internecie spędzamy czas wolny.

Abyśmy mogli wykonywać większość aktywności w sieci, musimy się zarejestrować, podając nasze dane osobowe, na podstawie czego uzyskujemy dostęp do indywidualnego konta czy profilu. Jeśli chcemy dostać się do konta bankowego, do poczty internetowej, na Facebook lub Netflix albo skorzystać z platformy handlowej – Allegro czy OLX, musimy podać nasze unikalne login i hasło – to one otwierają nam drzwi do wirtualnych przestrzeni, które wcześniej w jakiś sposób uwierzytelniliśmy. To właśnie te przestrzenie stały się obecnie niezwykle kuszącym miejscem dla przestępców. Włamując się do nich i podszywając pod nas, oszuści mogą dokonywać szeregu rozmaitych operacji, z których większość nastawiona jest na uzyskanie korzyści majątkowych.

Złodzieje tożsamości mogą działać bezpośrednio lub pośrednio. Mogą wykradać dane, by osobiście przejąć nasze konta lub odsprzedać informacje o nas. Mogą okraść nas, bądź podszywając się pod nas, okradać innych. Nasze dane mogą posłużyć złodziejom do oszustw lub szantażu w celu oszkalowania nas lub do zdobycia dzięki nam cennych informacji (np. tajnych informacji firmowych). Kradzież tożsamości to dziś ogromny biznes, a jedną z jej form jest tzw. ATO (Account Takeover Fraud) – oszustwo związane z przejęciem konta. Warto wiedzieć, jakimi sposobami posługują się w tym celu cyberprzestępcy, by wdrożyć odpowiednie działania zapobiegawcze.

Złośliwe oprogramowanie

„Najpopularniejszą metodą wykradania naszych danych jest instalacja na naszych urządzeniach, za pomocą których łączymy się ze środowiskiem internetowym, złośliwego oprogramowania. Istnieje już nawet grupa programów dedykowana temu właśnie procederowi. To tzw. infostealery” – ostrzega mgr inż. Łukasz Skibniewski z Wydziału Cybernetyki WAT.

Według Computer Security Incident Response Team Komisji Nadzoru Finansowego „programy te mają na celu wykradanie różnych informacji o użytkownikach – głównie danych do logowania, ciasteczek i numerów kart płatniczych. Dane pozyskane z tych programów są często sprzedawane na tzw. „podziemnych marketach”, gdzie przestępcy kupują dane do konkretnych platform – tych, z których potrafią wygenerować zysk (m.in. dane do kont bankowych i innych serwisów płatniczych, konta do serwisów społecznościowych, skrzynek pocztowych)”.

„Takie złośliwe oprogramowanie możemy zainstalować na urządzeniu zupełnie nieświadomie, otwierając załącznik do wiadomości e‑mail, klikając w nieznany link, instalując nową aplikację, ściągając pliki z niepewnych źródeł, wchodząc na strony internetowe, których zabezpieczenia zostały złamane. Oprogramowanie takie może nam także zostać zainstalowane na urządzeniu, gdy korzystamy z publicznych sieci Wi-Fi” – wyjaśnia mgr inż. Skibniewski.

Złośliwe programy najczęściej pozyskują dane z plików znajdujących się na dysku zainfekowanego urządzenia, gdzie zapisywane są wprowadzane wcześniej przez użytkownika hasła. Inną metodą jest śledzenie naszych ruchów na klawiaturze i uzyskiwanie w ten sposób dostępu do naszych danych takich jak login czy hasło.

„Wiele osób może uznawać za niewinne pliki cookie, które wprawdzie nie gromadzą naszych haseł, ale dane do uwierzytelnienia pozyskane z serwera już tak. Tutaj przestępcy mogą posłużyć się atakiem typu „session hijacking”. Aby przeprowadzić przechwycenie sesji, napastnik musi poznać identyfikator sesji użytkownika. Może go pozyskać, korzystając z różnych metod, m.in.: poprzez kradzież sesyjnego pliku cookie lub nakłonienie ofiary do kliknięcia w złośliwy odnośnik, który zawiera przygotowany identyfikator sesji. Gdy cyberprzestępca użyje skradzionego identyfikatora sesji w swojej własnej sesji przeglądarki, to jest w stanie oszukać serwer docelowy – ten traktuje połączenie atakującego jak pierwotną sesję użytkownika. Cyberprzestępca ma więc pełen dostęp do konta ofiary i wszystkich zamieszczonych na nim danych. Po przejęciu sesji można zrobić wszystko, do czego autoryzowany użytkownik ma uprawnienia. W praktyce oznacza to np. kupowanie przedmiotów w imieniu ofiary, kradzież tożsamości, uzyskanie dostępu do danych osobowych, poufnych firmowych informacji lub transfer pieniędzy z konta bankowego. To również jest sposób na przeprowadzenie ataku typu ransomware – napastnik może ukraść, a następnie zaszyfrować dane znajdujące się na dysku twardym, tak aby ofiara straciła do nich dostęp, i zażądać okupu za usunięcie blokady. Gorsze w skutkach będą przypadki większych firm, dlatego że tam pewnie będzie uruchomiona usługa SSO (ang. Single sign-on), która umożliwia dostęp do wielu różnych serwisów za pomocą jednego procesu uwierzytelniania” – tłumaczy mgr inż. Łukasz Skibniewski.

Złośliwe oprogramowanie często instalowane jest w aplikacjach udających antywirusy. Głośno było m.in. o trojanie bankowym SharkBot, który zaszyto w aplikacjach dostępnych w sklepie Google Play. Program ten przechwytywał dane logowania do bankowości internetowej i zapisywał je na serwerze cyberprzestępców.

Innym wykorzystywanym przez złodziei danych sposobem jest instalacja w popularnych aplikacjach, np. do edycji filmów czy zdjęć, programów śledzących. Programy takie sprawdzają, czy dana osoba korzysta na swoim urządzeniu z innej popularnej aplikacji – np. Facebooka, a następnie instalują w urządzeniu nakładki na tę aplikację udającą jej interfejs i żądają od użytkownika ponownego zalogowania.

Niektóre złośliwe oprogramowania mają też zdolność przechwytywania ekranu urządzenia i w ten sposób pozyskiwania naszych loginów oraz haseł.

Podstępna kopia

Kolejną metodą na kradzież naszych danych jest tzw. phishing, rodzaj opartego na inżynierii społecznej cyberataku, który nie wymaga od przestępcy bycia technologicznym omnibusem. Wystarczy, że ten opanuje pewne techniki manipulacji, ma podstawowe rozeznanie o tym, jak zachowują się ludzie i wykaże się odrobiną sprytu.

Phishing to metoda oszustwa, w której oszust podszywa się pod osobę bądź instytucję, np. doradcę bankowego czy innego pracownika obsługi klienta firmy, z której usług korzystamy, by wyłudzić od nas poufne dane, np. do logowania.

Z raportu „Krajobraz bezpieczeństwa polskiego internetu” CERT wynika, że ataków phishingowych stale przybywa. W 2021 roku w Polsce phishing był najpopularniejszym typem incydentów związanych z cyberbezpieczeństwem. Liczba incydentów zaklasyfikowanych jako phishing w porównaniu z rokiem poprzednim wzrosła o 196 proc. i osiągnęła wartość 22 575.

Wiele tych incydentów ma miejsce w mediach społecznościowych, zwłaszcza na Facebooku. Tam przestępcy m.in. zachęcają do obejrzenia filmików, do których dostęp można uzyskać dopiero po potwierdzeniu tożsamości poprzez konto na tym portalu. Uzyskawszy dostęp do naszego konta, przestępcy wykorzystują je potem do tzw. oszustw na BLIK lub do wysłania wiadomości do znajomych z prośbą o udział w loterii pod załączonym linkiem, który odsyła do fałszywej strony logowania.

„Najczęściej jednak phishing wygląda tak, że przestępcy najpierw pozyskują nasz adres e‑mail lub numer telefonu, a następnie rozsyłają mailowy lub SMS-owy spam udający podmiot, z którego usług korzystamy. W spamie tym znajduje się zwykle jakaś alarmowa wiadomość, np. o zablokowaniu konta i konieczności zmiany hasła do logowania, o pilnej konieczności uzupełnienia danych do zakończenia jakiejś transakcji czy o niedopłacie do rachunku, co ma wymusić na nas akcję skutkującą podaniem poufnych informacji. W wiadomości takiej zwykle znajduje się link do strony internetowej danego podmiotu, np. sklepu, instytucji, urzędu, firmy, operatora płatności etc., tyle że klikając w niego, tak naprawdę przenosimy się i logujemy nie do autentycznej strony danego podmiotu, tylko do kopii tej strony stworzonej przez oszustów. Przestępcy potrafią też zadzwonić pod nasz numer telefonu, podając się np. za pracownika takiego podmiotu i pod pretekstem włamania na nasze konto czy podejrzanego przelewu wyłudzić od nas dane do logowania. Co bardziej wyspecjalizowani pod względem technologicznym potrafią zadzwonić dokładnie z numeru telefonu – np. BOK banku czy sieci telefonii komórkowej – jaki mamy zapisany wśród kontaktów w swoim smartfonie” – opisuje mgr inż. Łukasz Skibniewski.

Używający phishingu przestępcy coraz częściej atakują użytkowników urządzeń mobilnych. Nic dziwnego, skoro – zgodnie z raportem CERT Polska – między styczniem 2020 roku a styczniem 2021 roku liczba użytkowników urządzeń mobilnych na świecie zwiększyła się o 93 miliony, co stanowi wzrost o 1,8 proc. W 2021 roku do CERT Polska trafiło ponad 17 500 zgłoszeń dotyczących szkodliwych aplikacji na systemy operacyjne Android.

Oprócz phishingu bardzo podobnie działa tzw. spoofing. W odróżnieniu jednak od tego pierwszego, który przeprowadzany jest głównie przy użyciu socjotechnik, spoofing – również polegający na podszywaniu się pod źródło, któremu ufasz – instaluje na urządzeniu złośliwe oprogramowanie, które kradnie dane.

Jak się przed tym chronić?

Im bardziej poszerza się nasza obecność w wirtualnym świecie, tym bardziej swoje pole ekspansji i pomysły na podbój stref naszej bytności w Internecie poszerzają cyberprzestępcy. Nie zawsze jesteśmy w stanie obronić się przed nimi. Niemniej warto trzymać się pewnych podstawowych zasad bezpieczeństwa, które mogą ochronić nas przed niektórymi zakusami sieciowych oszustów. Przede wszystkim:

– uważać na podejrzane pliki w załącznikach, zwłaszcza te z nieznanym nam rozszerzeniem (np. exe, docm, xlsm, msi, scr, rar, zip),

– uważać na podejrzane e‑maile, SMS‑y i telefony, w których ktoś zachęca nas pod pozorem alarmującego wydarzenia do zalogowania się na któreś z naszych kont bądź niezwłocznego podania naszych danych osobowych,

– nie stosować jednego hasła do wielu kont,

tworzyć silne, unikatowe hasła i często je zmieniać, a tam, gdzie to możliwe, wybierać dwuskładnikowe uwierzytelnianie dostępu do konta,

– aktualizować system operacyjny na urządzeniach elektronicznych, na których łączymy się z siecią oraz aktualizować programy używane przez nas na urządzeniach elektronicznych,

– nie korzystać z publicznych sieci Wi-Fi, zwłaszcza na urządzeniach, na których przechowujemy osobiste dane,

– unikać instalacji aplikacji pochodzących z nieznanych źródeł,

– zwracać uwagę na zgody, jakie musimy wyrazić przy instalacji danej aplikacji, nierzadko bowiem bezmyślnie klikając w pojawiające się w okienkach zgody, wyrażamy przy okazji zgodę na instalację niepożądanego oprogramowania,

– szyfrować wrażliwe dane na urządzeniach i same urządzenia – zdarza się, że przestępcy łatwo pozyskują nasze dane osobowe i dostęp do kont, po prostu kradnąc nam sprzęt (laptop, smartfon, dysk przenośny, pendrive), który nie został odpowiednio zabezpieczony,

– być czujnym podczas użytkowania mediów społecznościowych, w szczególności Facebooka, którego szczególnie upodobali sobie cyberprzestępcy; nie klikać w podejrzane linki, nie otwierać wiadomości oferujących dostęp do sensacyjnych artykułów w zamian za logowanie przez FB, nie odpowiadać bez uprzedniego potwierdzenia u źródła na prośby znajomych dotyczące wpłat na konto, pożyczek, 

– w przypadku gdy nie mamy pewności, że połączenie telefoniczne, które otrzymaliśmy, faktycznie pochodzi z wyświetlanego numeru telefonu – najlepiej rozłączyć się i oddzwonić, samodzielnie wybierając numer z klawiatury,

– stosować zasadę minimalizacji danych – podawać ich jak najmniej, tylko tam, gdzie to konieczne,

– stosować zasadę separacji tożsamości, polegającą na oddzieleniu komputerowej przestrzeni służbowej od prywatnej lub dzieleniu tej przestrzeni, np. poprzez tworzenie osobnej skrzynki mailowej do spraw urzędowych, zakupów online, serwisów rozrywkowych,

– monitorować incydenty i reagować na informacje o nich, np. wiadomości o tym, że określone aplikacje zostały zainfekowane i trzeba je usunąć, albo że doszło do wycieku danych; weryfikować te informacje u źródła; wprowadzić czynności zaradcze, np. zresetować bądź usunąć konto, wprowadzić nowe hasła, poinformować o zajściu odpowiednie podmioty (np. bank, policja), wyrobić nowy dowód tożsamości,

– śledzić cykl „Bądź bezpieczny z #cyberWAT”: https://promocja.wat.edu.pl/cyberwat/.

Marek Baranowski
Projekt graficzny: Mariusz Maciejewski