Wiesz co pandemio? Idź już sobie... Lockdowny, siedzenie w domu, padające biznesy i wszechobecne maseczki to jedno. To zdecydowanie poważne kwestie, ale kolejna bezpieczniacka konferencja znów sprzed komputera? Pierwsze były czymś nowym, kolejne powodują, że wszyscy tęsknimy za spotkaniami twarzą w twarz... Póki jednak tak się nie stanie, odwiedzamy „konfy” zdalnie. We wtorek i środę z wygodnego wnętrza własnej sypialni odwiedziłem Confidence Legends – 20. edycję istniejącej od 2005 czołowej (i najstarszej) bezpieczniackiej konferencji w Polsce.
Przynajmniej jedna kwestia na pewno jest plusem konferencji w formule online. Dzięki temu, że łatwiej wziąć w niej udział (nie ma mowy o delegacjach, przejazdach, hotelach) może wziąć w niej udział praktycznie każdy. Nigdy nie liczyłem osób obecnych na „fizycznych” imprezach, ale liczba bliska 2500 – bo prawie tyle osób wchodziło na najpopularniejsze prelekcje – robi duże wrażenie.
Confidence Legends – tak samo jak „zwykłe” edycje tej imprezy – to w zasadzie dwie konferencje w jednej. Z jednej strony mamy bowiem prelekcje łatwe do zrozumienia nawet dla sieciowych/bezpieczniackich hobbystów, z drugiej zaś – te przepełnione informacjami tak bardzo technicznymi, że jak dla mnie można by je było prowadzić w języku chińskim. Siłą rzeczy poniżej skupiłem się, jak zawsze przy relacjach z konferencji, na tej pierwszej grupie.
Pięciu jeźdźców phishingowej apokalipsy
A w niej zacznę... Nie, nie jak zazwyczaj od Piotra Koniecznego i Adama Haertle. Najbardziej wbiło mi się bowiem w pamięć zdanie komisarza Dominika Rozdziałowskiego, naczelnika Wydziału ds. walki z cyberprzestępczością KWP w Kielcach.
Co jest tak naprawdę zagrożeniem w sieci? Nieostrożność, chciwość, głupota, nadzieja, rutyna.
Idealnie w punkt, nie sądzicie? Biorąc pod uwagę, że dominującym wektorem ataku od lat jest phishing, a my:
- nieostrożnie klikamy w linki/załączniki
- bowiem wiedzie nas do tego czasem chciwość
- a czasem nadzieja na nagły zastrzyk finansowy
- zdarza się, że wpisujemy swoje wrażliwe dane na dziwnych stronach, mimo iż słyszeliśmy o atakach phishingowych – czasem z głupoty...
- ...a czasem z rutyny (bo to przecież kolejny „taki mail”)
Jeśli z całego tekstu mielibyście zapamiętać tylko jedno, to wydrukujcie sobie tych pięciu jeźdźców apokalipsy i powieście przed komputerem. Jeśli jeszcze zaczniecie tego przestrzegać, stawiam, że zmniejszycie ryzyko udanego ataku phishingowego na siebie o jakieś 98%.
Wg. źródeł Dominika Rozdziałowskiego w Niemczech i Francji pandemia koronawirusa wyraźnie wpłynęła na wzrost poziomu cyberprzestępczości. Inaczej niż u nas – w CERT Orange Polska zauważyliśmy, iż gdy Covid stał się głównym motywem phishingów, spadła liczba pozostałych. Tymczasen we Francji w ciągu roku liczba cyberprzestępstw wzrosła czterokrotnie!
Jeśli chodzi o polskie realia, policja zauważyła wzrost tematyki Covidowej, coraz bardziej istotną rolę dezinformacji, a także powrót vishingu (czyli phishingów przez telefon). Jakie przestępstwa oparte o sieć były najpopularniejsze u nas w ostatnich trzech latach? Na niemal 253 tysiące 148 tys. to oszustwa, a jedynie 7% to naruszenia prawa autorskiego.
(czasami) Nie ignoruj pijanego
O przestępcach opowiadał też w trakcie Confidence Legends wspominany na wstępie Piotr Konieczny, przytaczając popularne w ostatnich tygodniach sprawy „Edisona” (przypadkiem „wyciekł” sporo informacji z serwerów Taurona) i WML, który „testował” podatności Profilu Zaufanego. Pierwszy po wizycie policjantów i epizodzie w areszcie siedzi już w domu, drugi zaś na razie na państwowym wikcie, choć wygląda na to, że żaden z nich nie miał złej woli. Jak doradził prelegent – warto przyjrzeć się art. 267-269c Kodeksu Karnego jeśli kiedyś najdzie nas ochota na niezamówione testy penetracyjne. A pracując w dużej firmie nie warto ignorować kogoś, kto w niechlujnie napisanym mailu informuje, że ma nasze dane. Nie musi mieć manii prześladowczej – może po prostu (jak Edison) okazać się pijany.
Zastanawialiście się kiedyś, ile ofiar ransomware płaci okup? Według Senada Aruca z Advanced Threats, który poświęcił duuużo czasu obserwując aktywności związane z ransomwarem LockBit – ok. 20% (przy średniej kwocie ok. 85 tys. USD). Kluczem jest jednak to, że płacą głównie Ci, na których przestępcom najbardziej zależy. Nowoczesny ransomware nie hasłuje wszystkiego „na rympał” – kryminaliści najpierw rozglądają się po sieci, do której się dostali, zbierają nie tylko dane, ale też informacje z kim tak naprawdę mają do czynienia. W efekcie nie męczą tych, którzy i tak nie zapłacą, skupiając się na tych, którym zależy po pierwsze na korzystaniu z zaszyfrowanych danych, po drugie zaś – na tym, by nie wyciekły. „Nieważne ile masz ofiar! Ważne jakie to ofiary” – podsumował podejście przestępców prelegent.
Cheaty poprawiają bezpieczeństwo (w pewnym sensie)
Co ciekawe, podobnie jest z atakami, przypisywanymi służbom specjalnym Korei Północnej, skupiającymi się na okradaniu portfeli kryptowalutowych. Z ciekawej i rozbudowanej prezentacji Svevy Vittorii Scenarelli z PwC dowiedzieliśmy się m.in. co łączy trzy wydawać by się mogło odrębne kampanie malware (m.in. fakt, iż związane z każdą z nich aktywności miały miejsce w godzinach pracy wg Korean Standard Time). No i o tym, że złośliwy ładunek, rozpoznając, że na docelowym komputerze nie ma portfela kryptowalut, po prostu wykrada mu podstawowe dane i usuwa się. Dopiero, gdy okaże się, iż ofiara dysponuje BTC lub podobnymi, doinstalowują się dodatkowe, wyspecjalizowane moduły.
Ciekawą dla mnie okazała się być jedna z ostatnich prezentacji Confidence Legends, autorstwa Jana Seredyńskiego, zajmującego się zagrożeniami mobilnymi w Guardsquare. Pokazała mi świat – hmmm, można to chyba nazwać zagrożeniami – dla urządzeń mobilnych z zupełnie innej perspektywy. Wiecie, co przekonały wielu mobilnych developerów do pracy nad bezpieczeństwem aplikacji? Cheaty! Nie instalacja złośliwego kodu, czy wykradanie danych, ale ułatwianie sobie gry darmowym usunięciem reklam, czy szybkim wzbogaceniem o kosztujące zazwyczaj prawdziwe pieniądze diamenty, czy inne cuda.
No i pamiętajcie, że aplikacje, ściągane z nieoficjalnych sklepów mobilnych to z założenia nie jest coś, czemu powinniście ufać. No bo zastanówcie się. Gra kosztuje 40 złotych, ktoś ją sobie ściągnął i teraz oddaje innym za darmo? Widzicie w tym jakiś sens? Bo ja niekoniecznie... No chyba, że odrobinę ją zmienił, dodając linki do reklam, za które wpadają mu pieniądze (wersja łagodna) lub dodając złośliwy kod, których wysyła w tle wysokopłatne SMSy, za terminowanie których pieniądze wpadają na konto oszusta. Jasne, nigdy nie wiemy, na jaką opcję trafimy. Kto chce sprawdzić na własnej skórze, ręka w górę!
No właśnie.
Komentarze
Michale chyba nikt nie chce sprawdzać takich praktyk oszustów. Trzeba być naprawdę ostrożnym Moja żona dostała dziś krótkie połączenie z Afryki. Miała oddzwonić. Powiedziałem STOP, to oszustwo. Zona jest na nieszczeście u zielonych, nie chce przejść na pomarańczową stronę mocy ;p
OdpowiedzMichale chyba nikt nie chce sprawdzać takich praktyk oszustów. Trzeba być naprawdę ostrożnym Moja żona dostała dziś krótkie połączenie z Afryki. Miała oddzwonić. Powiedziałem STOP, to oszustwo. Zona jest na nieszczeście u zielonych, nie chce przejść na pomarańczową stronę mocy ;p
Odpowiedz