Bezpieczeństwo

(nieudany) Cyberatak na Wojtka!

Michał Rosiak

17 grudnia 2020

Dziś bohaterem Czwartku z Bezpieczeństwem będzie Rzecznik himself, że tak sobie ze staroangielska pozwolę, ale jakoś tak mi pasowało :) Bohaterem pozytywnym - żeby nie było. Takim przykładem, że warto czytać o bezpieczeństwie.

Zaczęło się od maila. Jestem sobie w stanie wyobrazić licznych, którzy w coś takiego akurat klikną, bo atak faktycznie jest całkiem nieźle przygotowany:

Wszystko ładnie wystylizowane, żadnych błędów stylistycznych (no, może ten "Password" z wielkiej mógłby dać co ostrożniejszym do myślenia). Tym niemniej żadnego bełkotu, bez przesady z użyciem nazwy/marki, całkiem sensowna treść. No i ta zachęta, że wystarczy tylko kliknąć, by zachować stare hasło!

Nie klikajcie w takie linki!

Tzn. w sumie kliknąć w wielu przypadkach można, przynajmniej raz. To nie są ataki wstrzykujące malware tylko ukierunkowane na wykradnięcie loginu i hasła. Ja jednak na wszelki wypadek udawałem Wojtka na maszynie wirtualnej, bo kto wie, co wymyślili tym razem? A wymyślili całkiem ładny panelik, który bez problemu można byłoby wziąć za nasz, firmowy:

Żadnych niepotrzebnych informacji, tylko panel logowania. Gdyby Wojtek nigdy nie logował się do naszej poczty przez interfejs webowy mógłby się nawet dać oszukać. Ba, jestem w stanie poświęcić mały palec u prawej dłoni, że skuteczność takiego ataku w firmie mogłaby przekroczyć 10%. A to nie jest dobra informacja.

Co się stanie, gdy wpiszemy hasło?

Nie bój się Wojtek, nie znam Twojego hasła, a wpisałem takie, które na pewno Twoje nie jest :) Mam przeczucie graniczące z pewnością, że po wpisaniu prawdziwego też zobaczylibyśmy powyższy komunikat, ale przestępcy mieliby już otwarte drzwi do naszej firmowej sieci.

Co robić?

Zawsze na końcu zadaję takie pytanie, bo chciałbym, by te moje wpisy były jak bajki Krasickiego - z morałem :) Przede wszystkim nie klikać bez zastanowienia w podane linki. Szczególnie takie, które sugerują nam aktywności związane z kontem e-mailowym, czy w ogóle danymi wrażliwymi. Jeśli mamy wątpliwości, a mail udaje wysyłany przez nasze firmowe IT - najlepiej zadzwonić albo do działu IT albo do bezpieczeństwa. To ostatnie zrobił Wojtek, pisząc do mnie :) I bardzo dobrze - bo po pierwsze wie, co w takich sytuacjach robić, po drugie zaś - ma mnie niejako pod ręką. Załóżcie po prostu, że loginy i hasła wpisujemy, gdy my tak chcemy, a nie wtedy, gdy ktoś nam to sugeruje. Nawet jeśli przesadzimy z ostrożnością - zawsze to lepsze, niż przesadzić w drugą stronę.

Please prove you are human by selecting the tree.

*Wyrażam zgodę na przetwarzanie przez Orange Polska S.A. z siedzibą w Warszawie moich danych osobowych podanych w niniejszym formularzu w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska.

Administratorem Pani/Pana danych osobowych podanych w niniejszym formularzu jest Orange Polska S.A. z siedzibą w Warszawie, pod adresem Aleje Jerozolimskie 160, 02-326 Warszawa (dalej Orange Polska). Dane kontaktowe inspektora ochrony danych w Orange Polska: inspektorochronydanych@orange.com

Więcej o celu zbierania danych, przysługujących Pani/Panu prawach, o sposobie ich przetwarzania.

Pani/Pana dane zostaną umieszczone w bazie danych dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i wykorzystywane w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska. Na podstawie podanych w formularzu informacji dotyczących redakcji, dla której Pani/Pan pracuje, może być Pani/Pan przypisana/y do odpowiedniego segmentu według kryterium tematycznego i terytorialnego redakcji, dzięki czemu będzie Pani/Pan otrzymywać komunikaty dostosowane do zasięgu terytorialnego i profilu tematycznego redakcji, dla której Pani/Pan pracuje.

Podstawą umieszczenia Pani/Pana danych w bazie dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i przekazywania skierowanych do mediów informacji telefonicznie lub przesyłania ich na podany adres e-mail będzie udzielona przez Panią/Pana zgoda. Przyporządkowanie do określonego segmentu stanowi natomiast realizację uzasadnionego interesu Orange Polska.

Podanie danych jest dobrowolne, nie stanowi obowiązku ustawowego ani umownego, nie jest też warunkiem zawarcia jakiejkolwiek umowy.

Pani/Pana dane będą przekazywane agencji Havas PR Warsaw, ul. Dziekońskiego 1, 00-728 Warszawa, która na zlecenie Orange Polska utrzymuje platformę informatyczną obsługującą serwis prasowy Orange Polska. Havas PR Warsaw może je przekazywać FreshMail Sp. z o.o. z siedzibą w Krakowie przy Al. 29 Listopada 155c, która obsługuje proces wysyłania komunikatów prasowych na podany przez Panią/Pana adres e-mail.

Podane w niniejszym formularzu dane będą przetwarzane do czasu odwołania zgody na ich przetwarzanie. Po odwołaniu zgody, Pani/Pana dane będą przetwarzane w okresie i dla celów dochodzenia i obrony przed roszczeniami.

Przysługuje Pani/Panu prawo do:

cofnięcia zgody w dowolnym momencie; przy czym cofnięcie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania danych na podstawie zgody w okresie przed jej cofnięciem,
żądania dostępu do Pani/Pana danych przetwarzanych przez Orange Polska,
sprostowania (poprawiania) danych,
usunięcia danych lub ograniczenia ich przetwarzania,
wniesienia sprzeciwu wobec przetwarzania danych,
przeniesienia danych, co oznacza prawo do otrzymania przez Panią/Pana danych przetwarzanych przez Orange Polska lub żądanie ich przeniesienia do innego podmiotu.

Zakres każdego z tych praw oraz sytuacje, w których można z nich skorzystać, wynikają z przepisów prawa. To, z którego uprawnienia może Pani/Pan skorzystać, zależeć będzie np. od podstawy prawnej oraz celu przetwarzania danych.

Jeśli uzna Pani/Pan, że Orange Polska przetwarza Pani/Pana dane niezgodnie z prawem może Pani/Pan wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.

Komentarze

muddy 08:31 17-12-2020

Zakładam, że samo hasło nie wystarczy, by dostać się do Waszej sieci firmowej i oprócz hasła macie obowiązkowe uwierzytelnianie dwuskładnikowe, prawda? Na wszelki wypadek, gdyby ktoś jednak wpisał to hasło…

Odpowiedz

Michał Rosiak 12:28 17-12-2020

Założenie słuszne, acz szczegóły z powodów wiadomych pozwolę sobie pominąć. Tak, nie da się zalogować do naszej sieci „tak po prostu”.

Odpowiedz

muddy 09:31 17-12-2020

Odpowiedz

Michał Rosiak 13:28 17-12-2020

Założenie słuszne, acz szczegóły z powodów wiadomych pozwolę sobie pominąć. Tak, nie da się zalogować do naszej sieci „tak po prostu”.

Odpowiedz

pablo_ck 15:51 17-12-2020

Dobrze że nie chcieli nam „ukraść” Wojtka ;p ;p Ale ludzie mają pomysły, aż zaklnąłem sobie pod nosem.

Odpowiedz

Michał Rosiak 15:58 17-12-2020

Nie możesz zaklnąć, dziś jest Dzień Bez Przekleństw! No chyba, że „u licha!” albo „do kroćset”.

Odpowiedz

pablo_ck 16:50 17-12-2020

O proszę, nawet nie wiedziałem ;p

Odpowiedz

pablo_ck 16:51 17-12-2020

Dobrze że nie chcieli nam „ukraść” Wojtka ;p ;p Ale ludzie mają pomysły, aż zaklnąłem sobie pod nosem.

Odpowiedz

Michał Rosiak 16:58 17-12-2020

Nie możesz zaklnąć, dziś jest Dzień Bez Przekleństw! No chyba, że „u licha!” albo „do kroćset”.

Odpowiedz

pablo_ck 17:50 17-12-2020

O proszę, nawet nie wiedziałem ;p

Odpowiedz