Niewiele ponad 2 tygodnie temu media głównego nurtu rozpisały się „wielkim wycieku danych”. W sumie to nawet ja, na stronie CERT Orange Polska, użyłem tej nazwy, choć tak naprawdę to wcale nie był wyciek… Ale na pewno ta sytuacja jest dobrym przyczynkiem by porozmawiać o tym, jak w 2023 powinno wyglądać najlepsze hasło.

Tak naprawdę najlepsze hasło to… brak hasła. Coraz więcej firm odchodzi od haseł. Na konto Microsoft można od jakiegoś czasu logować się tylko przy użyciu 2FA, Google pozwala potwierdzać logowanie kliknięciem monitu na naszym urządzeniu mobilnym. To jednak tylko dwie – choć „spore” – firmy w internetowym morzu peeeełnym usług. Więc jeśli hasło w końcu odejdzie w niepamięć, potrwa to jeszcze sporo czasu. A póki co:

Najlepsze hasło, czyli:

Niepowtarzalne. Przynajmniej jeśli chodzi o serwisy, do których utrata dostępu niosłaby za sobą dla Ciebie jakiś koszt. Przyznaję, że mam hasło „dyżurne”, którego używam np. do nieznaczących forów, na które czasem zaglądam. Na forach nie ma żadnych moich danych, zazwyczaj nawet imienia. Co więcej, akurat to „dyżurne” hasło faktycznie z raz, czy dwa gdzieś wyciekło. Jeśli jednak chodzi o Facebooka, Twittera, konto mailowe, bankowe (!), wszystkie miejsca, w których przeprowadzam transakcje finansowe, czy można w nich znaleźć moje wrażliwe dane – tam każde hasło jest inne.

Niesłownikowe/nieoczywiste. Jeśli skądś wycieknie baza haseł, a Twoje złożone jest z prostych, często używanych w języku polskim słów, nawet jeśli będzie długie, może szybko „pęknąć”.

Może niekoniecznie CorrectHorseBatteryStaple, ale pewien poziom abstrakcji w myśleniu przy tworzeniu haseł jest jak najbardziej wskazany!

Trudne/proste. Oczywiście trudne dla innych, proste zaś dla Ciebie. Jeśli hasło jest na tyle trudne, że musisz zapisać je na kartce i przykleić na biurku… Cóż, sam/a dopowiedz sobie resztę.

Długie. Naprawdę długie, co najmniej 13 znaków, a w przypadku maila, banku, czy menedżera haseł – nawet ponad 30. Takich haseł po prostu nie opłaca się łamać. Niestety wciąż jest wystarczająco dużo fra… niefrasobliwych osób, których hasła „klękają” po ułamku sekundy.

Wzmocnione drugim czynnikiem. O uwierzytelnianiu dwuskładnikowym (2FA) pisałem na blogu kilka razu. Ostatnio całkiem niedawno, zajrzyjcie do tekstu. To naprawdę nie jest rocket science, a znacząco podniesie bezpieczeństwo Waszych kont.

Zapisane w menedżerze haseł. Tu też nie będę wyważał otwartych drzwi, zajrzycie do tekstu Grześka Boruszewskiego na stronie CERT Orange Polska. Menedżery haseł jak najbardziej polecam.

A jakie hasło nie musi być?

Totalnie losowe. Jakiś czas temu panowała moda na hasła w rodzaju juYren5$#(dsHF^3. Ba – takie hasło da się zapamiętać, i gdy wpiszecie je z kartki 20 razy to kolejny raz powiecie je z pamięci wyrwani ze snu w środku nocy. Tego typu hasła mają sens tylko jeśli korzystamy z menedżera haseł, wtedy bowiem nie musimy ich nawet widzieć. Menedżer robi wszystko za nas.

Zmieniane co miesiąc. To też dawna moda, którą – na szczęście – firmy już dawno porzucają. Konieczność zmiany hasła co miesiąc = Styczen23! ; LutyLuty23! (samo Luty to za mało, byłoby zbyt krótkie) ; Marzec23!, i tak dalej… Dużo lepsze jest jedno mocne hasło zmieniane np. co pół roku.

Czy te rady wystarczą?

Nie. Sorry, ale nie. Ale na pewno znacząco utrudnią robotę przestępcom. A to dlatego, że jedyny system w stu procentach bezpieczny to taki, który nigdy nie był podłączony do internetu. W każdym innym przypadku nawet 30-znakowe mocne hasło nic nie pomoże, jeśli złapiemy się na socjotechniczną sztuczkę i sami je wpiszemy na stronie podstawionej przez przestępcę. Albo zainstalujemy dziwny program, który niby nic nie zrobi, ale w tle wykradnie nam loginy i hasła, czy też podsłucha co właśnie wpisujemy na klawiaturze. Tak, stąd właśnie w sieci wzięły się hasła z „wycieku”, o którym wspominałem na wstępie.

Najlepsze hasło to jedno, ale zdrowy rozsądek to też niezbędny element bezpiecznego korzystania z internetu. Czego Wam wszystkim – i sobie rzecz jasna – życzę.

Grafika tytułowa została stworzona przez sztuczną inteligencję w ramach projektu Dall-E (https://labs.openai.com/)

Jedne z najlepszych chwil w mojej robocie, to takie, gdy ktoś napisze, że dzięki CyberTarczy nie padł ofiarą phishingu. Albo, że dzięki lekturze bloga lub strony cert.orange.pl zorientował/a się, że ma do czynienia z oszustwem.

I tak jak – to moja prywatna opinia – szczególnie doceniam takie dowody ze strony klientów indywidualnych, zrobiło mi się miło, gdy zobaczyłem mail o tym, że obwołano nas Marką Godną Zaufania!

Najpierw fundamenty

Dobra, nie konkretnie nas, jako CERT Orange Polska, a całą firmę. Warto jednak zwrócić uwagę, że nagroda przyznawana jest w kategorii, cytuję:

Cyfrowe mury, czyli firma, która oferuje przedsiębiorcom najlepszy pakiet usług i rozwiązań dbających o bezpieczeństwo cybernetyczne firmy.

W tej sytuacji, będąc członkiem zespołu odpowiedzialnego za cyberbezpieczeństwo w naszej firmie, nie sposób nie „przytulić” się do takiego sukcesu. Usługi komercyjne to jedno, ale dbałość o bezpieczeństwo zaczyna się od trzonu sieci. Ochrona naszej sieci, a przez to i Was przed atakami DDoS. Blokowanie stron phishingowych (niebawem liczba zablokowanych złodziejskich domen dojdzie do 500 tysięcy!) i uniemożliwianie złośliwemu oprogramowaniu komunikacji z serwerami oszustów. Opisywanie nowych schematów ataków, a czasem powtarzanie do znudzenia tych samych ostrzeżeń, żeby wbić wszystkim w głowy na co muszą uważać. Bez tego wszystkiego, bez podbudowy, fundamentów – nie byłoby efektywnych usług komercyjnych.

Po poradę – prosto do nas!

Na koniec jeszcze jeden cytat:

Tytuł Marka Godna Zaufania przyznawany jest przez polskich przedsiębiorców w ogólnopolskim głosowaniu, które przeprowadza Kantar Polska. Startupowcy, menedżerowie, specjaliści, prezesi firm wskazują tych, którym ufają najbardziej – do kogo się zgłoszą po poradę, z czyją pomocą najłatwiej sprostają wyzwaniom, z kogo chcą brać przykład.

Podoba mi się to. Jasne, przejrzyste zasady i fakt, że to głos Was – decydentów, wybierających usługi – jest kluczowy dla wyników. Dzięki charakterowi mojej codziennej pracy dość często (choć nawet w 1% nie tak często jak koleżanki i koledzy z pierwszej linii, pozdrawiam serdecznie!) mam okazję odpisywać na maile zaniepokojonych klientów. Lubię to bardzo. I nawet mimo tego, że ich problemy nie zawsze dotyczą stricte cyberbezpieczeństwa, nie zostawiam ludzi bez odpowiedzi. Coś jest w zwrocie „tych, którym ufają najbardziej”…

Fajnie, że nam ufacie. Super, że z nami czujecie się bezpieczniejsi. Dzięki za nagrodę.

A teraz – do roboty. Phishingi same się nie… A nie, czekajcie – one akurat potrafią się same blokować 😉

Niedawno opublikowaliśmy 9. Raport CERT Orange Polska. Mam zaszczyt być członkiem tego zespołu i przyjemność dokładania swojej cegiełki do podsumowania naszej pracy. A Wy jak – czytaliście?

Być może u niektórych pokutuje podejście, że taki raport to geekowsko/hakerski bełkot, średnio zrozumiały dla zwykłego użytkownika. Cóż, mrugając znacząco okiem, powiem tylko, że nie tylko w mojej opinii z roku na roku Raport CERT Orange Polska jest coraz ciekawszy i coraz bardziej atrakcyjny. Jeśli więc uważacie, że zrozumieją go tylko eksperci, to – cóż, nie. Zrozumieją go również eksperci. Ale także zwykli internauci.

Raport CERT Orange Polska – czyli liczby

Jeśli czytać nasz raport jak książkę, od początku do końca, to faktycznie niektórzy mogą się zniechęcić. Jednak liczby i procenty, ze ścianą których zderza się na początku czytelnik to tak naprawdę właśnie opis roku naszej pracy. Statystyki najlepiej pokazują ogrom zdarzeń, którymi się zajmowaliśmy, przez ich pryzmat można też zobaczyć (przede wszystkim porównując rok do roku) jak zmieniał się świat cyber-zagrożeń. Uwierzcie mi – te 9 lat to naprawdę spora perspektywa! Ciekawe spostrzeżenia można mieć też w związku z tym jak zmieniła się specyfika ataków DDoS.

Co roku tę część raportu kończymy przewidywaniem trendów na rok kolejny. Można więc nawet przyjrzeć się i zobaczyć, jak dobrze nam to wychodziło 🙂 Nie analizowałem, ale mam wrażenie, że w tej materii byliśmy z kolegami całkiem skuteczni. No i kalendarium, od którego – po wstępie prezesa – zaczyna się każdy nasz raport. To takie TL;DR mijającego roku i dobre miejsce, gdy chcemy znaleźć coś o najbardziej spektakularnych zdarzeniach.

Analizy, czyli to co (niektóre) tygrysy lubią najbardziej

Klasowi menedżerowie mawiają, że siłą ich zespołów są ludzie i nie inaczej jest w przypadku Przemka Dęby, szefa naszego cyberbezpieczeństwa. Piotr Kowalczyk, ekspert od malware’u. Adam Pichlak, któremu kryptowaluty jedzą z ręki. Analityczny perfekcjonista Michał Łopacki (w tym roku opisuje zagrożenia związane z Residential VPN). Ekspert od phishingu ze świetnym piórem Piotr Zarzycki. W naturalny sposób znajdujący (dez)informacje Marek Olszewski. Wgryzający się w poszczególne złośliwe próbki niczym Reksio w soczystą kość Bartłomiej Zieliński i Iwo Graj. No i najmłodszy w ekipie Rafał Wolert, przed którym ChatGPT nie ma żadnych tajemnic. Ja też parę słów skrobnąłem.

Do tego jeszcze kilka osób spoza naszego zespołu, które gościnnie znalazły się na łamach i w efekcie jest sporo fajnego materiału do czytania. Jak z progiem wejścia? Nie będę ukrywał, że jest różnie. Niektórzy z kolegów oprócz ogromnej wiedzy naprawdę dobrze radzą sobie z przekazaniem jej tzw. statystycznemu internaucie, a część tekstów docenią przede wszystkim merytoryczni eksperci w danej dziedzinie. Mnie najbardziej spodobały się teksty o wojnie w Ukrainie, residential proxy i o tym jak nielegalnie zarobić i się narobić. A Wam? Zajrzę tu za jakiś czas i zerknę do komentarzy. Bardzo jestem ciekaw Waszych opinii!

Goście, czyli starzy przyjaciele

Pracuję w Orange Polska już tak długo, że bardzo dobrze pamiętam, gdy przygotowywaliśmy pierwszą edycję – Raport CERT Orange Polska za 2013 rok. Całą ekipę łączyło z jednej strony zaciekawienie, połączone z zaintrygowaniem, ale też niemały niepokój – jak nasz pomysł przyjmie rynek, jak przyjmie go branża. Fakt, że w roli gości naszego raportu od początku publikują ludzie w jakiś sposób stanowiący o naszej branży, jak Piotr Konieczny, Adam Haertle (choć akurat w tym roku wyjątkowo zabrakło go na łamach), Mirosław Maj, czy Borys Łącki, fakt, że pojawiają się w roli komentatorów Maciej Jan Broniarz, Grzegorz Michałek, koleżeństwo z CSIRT KNF, czy też debiutujący w tej roli w obecnej edycji Tomasz Zieliński (znany bardziej jako Informatyk Zakładowy) dowodzi, że chyba się udało. A ponieważ, gdy ktoś przyjdzie na nasze łamy to raczej nie odchodzi, można ich chyba nazwać (starymi) przyjaciółmi, co?

To jak, zaciekawiłem Was? Oczywiście przy założeniu, że jeszcze nie czytaliście. Nasz raport to z jednej strony unikalne spojrzenie na cyberbezpieczeństwo. Z drugiej zaś – sporo ciekawej, niekoniecznie standardowo dostępnej wiedzy. Jasne, jestem do niego przywiązany! Ale nie mam zwyczaju namawiać ludzi do czegoś, co mnie się nie podoba.

Tegoroczny raport znajdziecie tutaj a wszystkie dotychczas opublikowane – tutaj.

Komentarze są Wasze! Chętnie odpowiem na pytania i posłucham uwag. Krytyka wskazana – to dzięki niej stajemy się lepsi!

Dostaliście może ostatnio phishing SMS o rzekomej konieczności dopłaty do paczki? Nasze systemy wyłapują tego w ostatnich dniach mnóstwo, wyjątkowo dużo zgłoszeń od Was trafia też na naszą „zgłaszarkę” 508 700 900. Skąd przestępcy biorą numery do wysyłania dziesiątek tysięcy phishingowych SMSów? Z przejętych kont Orange Flex.

Niezły się temat trafił na urodziny Flexa, co? Phishing „na Flexa” zaobserwowaliśmy już tydzień temu, jednak wtedy – co opisywałem na stronie CERT Orange Polska – był to „próbny balon”. SMS-ów nie było wiele, a gdy podczas analizy doszedłem do momentu, gdy miałem wpisać kod potwierdzający logowanie, nie doczekałem się go. Niemniej jednak strony docelowe z tego phishingu oczywiście zablokowaliśmy, dzięki czemu bardzo wiele osób uniknęło mimowolnego współudziału w rozsyłaniu phishingu (i związanych z tym kosztów).

Phishing na Flexa, ale przez stronę

Najpierw na telefon ofiary przychodził SMS. W pierwszej fali zaobserwowaliśmy kilka wariantów:

Orange Flex : Twój numer „Orange Flex” jest zablokowany, aby go ponownie aktywować, kliknij link:
Drogi kliencie wygrywasz iphone 14 pro max od Orange, sprawdź szczegóły tutaj:
Gratulacje wygrałeś 2000 zł od orange

We wszystkich przypadkach link wyglądał tak samo – hxxps://v[.]ht/orange-flex. Później przestępcy skupili się na pierwszej wersji. Ma to sens, biorąc pod uwagę to, co było ich celem. Myślę (mam taką nadzieję!), że konieczność zalogowania się na swoje konto Flex po to, by odebrać „wygraną” spowodowałaby u większej niż zwykle części internautów wahanie, czy aby na pewno ma to sens?

Ja akurat z Flexa nie korzystam (jaki jest najlepszy plan na świecie? służbowy oczywiście! 🙂 ), ale wiem, że na stronie mogę się zalogować co najwyżej do czatu – wszystkie aktywności związane z planem dzieją się natomiast w aplikacji.

Po wpisaniu loginu i hasła, bądź numeru telefonu, pojawiał się jeszcze monit o wpisanie kodu z SMS-a:

i koniec. Tzn. tydzień temu byłby to koniec.

Po co wysyłać samemu, skoro można „kimś”?

Okazało się bowiem, że niebawem SMS-y autoryzacyjne zaczęły przychodzić. W jednym z dwóch scenariuszy, czyli wtedy, gdy ofiara wybrała opcję z numerem telefonu. Domyślacie się o co chodzi? Przestępcy podesłali phishing „na Flexa”, zalogować się jednak próbowali do serwisu Mój Orange.

Gdy im się udało, zmieniali adres e-mail na swój (lub wpisywali swój, przy logowaniu numerem telefonu). Następnie, mając pełną kontrolę nad kontem… zamawiali doń usługę eSIM! A potem, po zainstalowaniu wirtualnej „simki” rozpoczynali wolumenową wysyłkę wiadomości, które miały im już przynieść faktyczny zarobek. Trzeba przyznać, że pomysł całkiem sprytny. Tak samo – choć to akurat oczywiste – jak to, że źli ludzie zainstalowali się poza Polską, gdzie trudniej ich dopaść naszym organom ścigania. Tym razem jednak nie za wschodnią granicą, a w jednym z krajów Unii Europejskiej.

A jak to się stało, że w ogóle udało im się przejąć jakieś konta? Stawiam na korzystanie przez ofiary z WiFi „nie-Orange’owego”. CyberTarcza ochroni Wasz telefon w sieci Orange, ale jeśli podepniecie go do nie-naszej sieci bezprzewodowej, tam niestety nie pomożemy 🙁

Co robić?

Jak zawsze – myśleć za każdym razem, gdy wpisujemy gdzieś nasze loginy i hasła. Sprawdzać adres w pasku przeglądarki, szczegółowo przeczytać treść strony i jeśli trafimy na cokolwiek podejrzanego/nielogicznego – absolutnie nie podawać naszych danych.

A jeśli macie wątpliwości, możecie też napisać do nas – mailem na cert.opl@orange.com, bądź przesłać dalej podejrzanego SMS-a na nr 508 700 900.

Fałszywe inwestycje to najpowszechniejsze oszustwo minionego roku. Tak wynika m.in. z opublikowanego dzisiaj Raportu CERT Orange Polska za 2022 rok, ale nie o raporcie będę pisał choć do przeczytania Was gorąco zachęcam. Po prostu akurat w dniu premiery raportu, trafił mi się ładny przypadek tego typu oszustwa. W sam raz do opisania dla Was!

Zastanawiam się dość regularnie skąd tak duża popularność akurat tego motywu? Czemu ludzie nabierają się na fałszywe inwestycje bo inaczej przestępcy nie przeprowadzaliby tylu kampanii? Uważam, że chodzi o dwie kluczowe kwestie. Pierwsza to kryzys gospodarczy, sprawiający, że nawet podświadomie często desperacko szukamy pomysłów na wzbogacenie domowego budżetu. Druga – to fakt, że o ile Generacja Z ucieka z Facebooka („to miejsce to siara, tam siedzą starzy ludzie!”) to ci „starzy ludzie” właśnie są grupą docelową takich oszustw. Dlatego fałszywe inwestycje to motyw wielu równie fałszywych reklam krążących po największym serwisie społecznościowym. Nawet sobie nie wyobrażacie jak wiele tego świństwa lata po FB! No i potencjalna grupa docelowa takich oszustw to najczęściej ludzie z dość niską świadomością zagrożeń w sieci…

Fałszywe inwestycje – jak to wygląda?

Pierwszym kluczem w przekonaniu przyszłej ofiary jest oparcie oszustwa o znaną osobę lub markę. Idę o zakład, że niewielka grupa z Was nigdy nie widziała takich reklam. Wiecie więc, że w tle bannera widnieją albo znani politycy, albo zaufane marki, powiązane z potencjalnymi inwestycjami. Np. PGNiG:

Co ciekawe, jeśli link, który prowadzi z reklamy, otworzymy na komputerze stacjonarnym, przekierowanie poprowadzi nas do… włoskojęzycznego sklepu z ubraniami, a w zasadzie do jego kopii. Dlaczego? To już wielokrotnie wyjaśniałem. Na małym ekranie smartfona wszystko jest mniejsze, a pasek z adresem strony przy jej przewijaniu chowa się. Dlatego na komputerze jest znacznie większe ryzyko, że ofiara zorientuje się, iż jest oszukiwana.

Jeśli zainteresuje nas o jaki test chodzi, pojawi się siedem prostych pytań. Odpowiedzi na nie – jak można się spodziewać – nie mają znaczenia:

Dlaczego nie mają? Bo mimo iż tutaj:

Przekornie wybrałem ostatnią odpowiedź, to i tak:

„Inwestycje” stały się dla mnie dostępne! Czy raczej… staną, bo oczywiście warunkiem jest podanie danych kontaktowych.

To gdzie jest ta kradzież?

Na razie nigdzie, ale już lada moment. Jak być może się domyślacie pierwszym ryzykiem jest podanie naszych danych kontaktowych. To socjotechniczna sztuczka, mająca na celu zbudowanie zaufania ofiary. Już „łyknęła” temat na tyle, by podać dość wrażliwe informacje. Jest więc duża szansa, że zaufa „konsultantowi”, który do niej zadzwoni. I na przykład powie, by zainstalowała aplikację „do inwestycji”, która okaże się problemy do zdalnego pulpitu, dając przestępcom dostęp do wszystkich aktywności na komputerze ofiary!

Choć tutaj akurat jest pewna szansa, że już po wpisaniu danych zorientujemy się, że coś jest nie tak:

Kto dziękuje za przesłanie aplikacji? Tesla-X? A to nie miało być przypadkiem PGNiG? Niechlujność oszustów, którzy chwilami taśmowo „tłuką” swoje ataki, może pomóc ostrożniejszym internautom.

Co ciekawe, mimo iż mamy czekać na telefon, na koniec strona przekierowuje nas na… platformę inwestycyjną!

Witryna rxptrade[.]com została założona 2 kwietnia 2023, a gdy chcemy dowiedzieć się, kto jest jej właścicielem, okazuje się, że ten „schował” się za serwisem Privacy Guardian, gwarantującym anonimowość m.in. osobom rejestrującym strony właśnie. Przypadek – nie sądzę…

Co robić?

Każda przypowieść musi mieć swój morał. Na szczęście ten jest prosty i oczywisty.

Nie wierzyć w genialne okazje!

A jeśli już koniecznie chcemy się dowiedzieć, czy to na pewno prawda, sprawdzić adres strony. udanyprojekt[.]online brzmi ładnie (chyba, że dla bezpieczniaka, TLD .online z daleka pachnie baaaardzo brzydko), jednak jakiekolwiek aktywności związane z firmą A, czy B, na pewno będą miały w adresie strony nazwę firmy, w domenie .pl, lub ewentualnie .com. Na pewno nie .online, .shop, czy .xyz.

Bądźcie bezpieczni!