Sztuczna inteligencja - sprzymierzeniec hakerów
Strategiczne podejście do kwestii cyberbezpieczeństwa w firmach wygląda bardzo różnie - większość z nich ma wdrożone procedury na wypadek ataków hakerów. Pomysłowość cyberprzestępców niestety z reguły wyprzedza działania bezpieczników, a rozwój technologii tylko im w tym pomaga.
Otwierający spotkanie Adam Lange, ekspert Threat Intelligence, autor branżowych analiz i komentarzy, specjalizujący się w zagrożeniach geopolitycznych i ich wpływie na systemy finansowe, zadał uczestnikom pytanie, czy uważają, że ich organizacja jest w pełni bezpieczna?
Wskazał na powszechne obecnie wdrażanie w przedsiębiorstwach rozwiązań opartych na AI i ryzyku, jakie ze sobą niosą. Bardzo często podczas pracy ze sztuczną inteligencją pracownicy korzystają z różnych modeli i zapominają, że mają one API, poprzez które można podpiąć się do konta użytkownika.
Co więcej, nawet bez użycia sztucznej inteligencji cyberprzestępcy mają się dobrze - mimo szkoleń, ostrzeżeń i szeroko nagłaśnianych przykładów oszustw użytkownicy z całego świata padają ofiarą phishingu, który nadal jest główną metodą wyłudzenia zarówno pieniędzy, jak i haseł dostępu.
Fałszywy profil prezesa
– Skąd najłatwiej pozyskać dane? Najpopularniejsze są obecnie wycieki danych z portali społecznościowych – wyjaśniał Adam Lange.
Oszuści analizują gotowe pakiety danych pobrane z kont użytkowników portali społecznościowych i albo wykorzystują je w konkretnych, celowanych atakach, albo sprzedają zainteresowanym odbiorcom. Często włamanie na koncie nie kończy się na jednorazowym pobraniu danych - szpiedzy pozostają w ukryciu i monitorują nasze działania. Długotrwała obserwacja pozwala zebrać na tyle wiarygodne dane, które z powodzeniem mogą posłużyć do stworzenia profilu określonej osoby i dzięki temu oszukać dużą grupę osób.
Zapomniane domeny są atrakcyjne dla cyberprzestępców
Przykładem łatwego pozyskiwania informacji są wygasłe lub z różnych powodów porzucane domeny internetowe. Adam Lange zwrócił uwagę, że takie domeny zachowują dane, adresy email i inne powierzone im wcześniej wiadomości - wykupując je i opłacając na nowo można łatwo przejąć ich zawartość.
- Nieaktywna domena, którą można wykupić, bywa atrakcyjna dla złodziei, tym bardziej że jej ponowna rejestracja to niewielki koszt – mówił ekspert.
Dziurawe bazy danych publicznych instytucji
Innym cennym źródłem pozyskiwania informacji są dla przestępców serwisy publiczne, na których widnieją numery dowodów osobistych, dane dotyczące zameldowania i inne wrażliwe. Jeśli w wyrażonych zgodach nie zaznaczymy, że to nie jest informacja publiczna, hakerzy bardzo szybko mogą je przejąć. Częste wycieki danych są skutkiem błędów sieciowych. Ciekawym - w jego ocenie - tematem są też łańcuchy dostaw.
Często firmy nie weryfikują np. zmiany numeru konta bankowego kontrahenta. Jeżeli adres się zgadza, to często realizowany jest przelew, niestety na fałszywe konto. To samo zresztą może dotyczyć pracowników.
Bronić może się ten, kto wie, że jest atakowany
O tym, jakie są obecnie trendy na hakerskim rynku i jak można się bronić przed takimi atakami, radził Adam Haertle, założyciel i redaktor naczelny portalu Zaufana Trzecia Strona, jeden z najbardziej rozpoznawalnych ekspertów ds. cyberbezpieczeństwa w Polsce.
- Wielu z nas myśli, że działa właściwie jeśli przy wejściu na podejrzaną stronę, podaje przy logowaniu fałszywe hasło. A co robią przestępcy? Zawsze odrzucają pierwsze hasło - tłumaczył.
- Zdarzają się oszuści podszywający się pod prezesów, którzy piszą do jego współpracowników na Whatsappie z prośbą o przelew na dużą sumę. Większość z nas w takiej sytuacji by się zastanowiła, ale znany jest przypadek pewnej polskiej firmy (start-upu), gdzie pracownik faktycznie zrealizował taki przelew - zdradził Adam Haertle.
- Co więcej - poproszony o kolejną transakcję próbował zdobyć pieniądze na jej opłacenie za granicą i dopiero tam zaczęto się zastanawiać nad sytuacją - dodał.
Na ministra, wnuczka, marynarza, żołnierza, lekarza
Innym przykładem skutecznego działania przestępców było wyłudzenie ponad 100 mln EUR na podstawie rozmowy z „ministrem obrony” Francji, który rzekomo prosił o pieniądze na okup za porwanych misjonarzy, wśród których miał być syn ministra. Dlaczego wysłano pieniądze? Bo na połączeniu wideo stało solidne „ministerialne” biurko, a na nim flaga Francji. Dodatkowo proszący o pieniądze z wyglądu przypominał ministra. Dopiero potem okazało się, że był to złodziej w masce przypominającej ministra, którą zamówił za 2 tys. euro. Oszust został złapany, ale przy innej okazji.
Adam Haertle - mimo rozwoju technologii - jest jednak przekonany, że wojny robotów na razie nie będzie, choć technologia pozwala udoskonalać stare metody. Cały czas świetnie sprawdza się bowiem stara metoda manipulowania ludźmi. Wystarczy do nich zadzwonić i głosem wygenerowanym przez AI powiedzieć, co mają zrobić i zdarzają się sytuację, że to robią. Od ilu lat uczymy, że są oszustwa na wnuczka, czy policjanta i to nie działa, bo cały czas się one zdarzają. Dzwoni wnuczek i mówi, że właśnie potrącił kobietę w ciąży i babcia ma przekazać 50 tys. prokuratorowi na kaucję. Co robi babcia? Wypłaca i przekazuje, ba zapewnia, że to przecież dzwonił wnuczek, bo to był głos wnuczka.
Jak świat światem skuteczne było, jest i będzie granie na ludzkich emocjach.
- Najbardziej szokującym dla mnie oszustwem są oszustwa matrymonialne - na marynarza, amerykańskiego żołnierza, internetową miłość. Ludzie wysyłają setki tysięcy złotych do przestępcy z Nigerii - bo to oni z reguły stoją za tymi oszustwami - tylko dlatego, że ktoś się nimi zainteresował, rozmawiał, słuchał, był bardzo miły i rozkochał ich w sobie - mówił ekspert.
Aby uniknąć takich sytuacji, warto zainteresować się swoimi bliskimi, którzy czują się opuszczeni, samotni i łatwo mogą nawiązać tego typu relacje - dodał.
Technologia w służbie oszustów
Na co należy zwracać uwagę i czego pod żadnym pozorem nie robić? Fałszywe strony można rozpoznać po tym, czy da się je przesunąć poza okno laptopa, tych fałszywych się nie da, bo z reguły to tylko zdjęcie strony, a nie prawdziwa wersja. W żadnym razie nie należy też skanować żadnych podejrzanych kodów QR, bo dzięki nim człowiek wchodzi na stronę oszusta, omijając firmowe zabezpieczenia.
Adam Haertle przyznał, że czasami trudno nadążyć za przestępcą, istnieje całe mnóstwo znanych firm, które padły ofiarą nastolatków, którzy sprytem i błyskawicznym działaniem ominęli zabezpieczenia.
Hasło złożone z ośmiu, dziesięciu liter łamie się w minutę
Michał Sajdak, twórca Sekurak oraz założyciel Securitum, specjalizujący się w testach penetracyjnych i edukacji technicznej z zakresu bezpieczeństwa aplikacji zdradził, że firmy często nie zdają sobie sprawy z tego, w jaki sposób haker może je zaatakować.
- Testy bezpieczeństwa w pewnej firmie, udowodniły, że dzięki kamerom można przeniknąć do wnętrza, oglądać i słuchać, o czym mówią pracownicy - mówi Michał Sajdak.
- Było to ogromne zaskoczenie dla zarządu, bo w tym pokoju, do którego się dostaliśmy odbywały się strategiczne, wewnętrzne spotkania. Tymczasem dostanie się do takiej kamery nie jest trudne, wystarczy znać ciąg magicznych znaków - dodał.
Ekspert wyjaśnił, że łamanie haseł dziś nie jest niczym nadzwyczajnym - najłatwiej odkryć proste - do ośmiu znaków, dlatego zalecane jest, aby ustalić hasło składające się z co najmniej 12, idealnie do 15 znaków. Szyfry 8-10 znakowe haker łamie w minutę. Nieważne, czy występują w nim znaki specjalne, czy nie. Hasło typu: „mam różowy laptop w słoniki” jest praktycznie nie do złamania. Ważne też, aby były one różne, nie musimy ich pamiętać, do tego służy menedżer haseł.
Edukacja i jeszcze raz edukacja
Marzena Mielecka, dyrektor Departamentu Zarządzania Rozwojem i Kultury Organizacyjnej, w dyskusji zatytułowanej Wspólna odpowiedzialność za cyberbezpieczeństwo – organizacja vs dostawcy vs użytkownicy zwróciła uwagę na edukację pracowników w zakresie cyberbezpieczeństwa.
– Należy przedstawiać konkretne przykłady incydentów bezpieczeństwa. Im bardziej życiowa, osobista jest perspektywa tych zagrożeń, tym szybciej pracownicy zwrócą na nie uwagę, wykonując obowiązki zawodowe. Mówię tutaj oczywiście o edukacji, jednak nie mniej ważne są zabezpieczenia, tworzenie systemów szybkiego ostrzegania, zwracanie uwagi nawet na najmniejsze sygnały. Czujność pracowników na małe problemy czy usterki mityguje ryzykowne sytuacje w przyszłości – tłumaczyła.
Akademia cyberPEKAO to jedno z wielu działań edukacyjnych realizowanych przez Bank Pekao S.A. w obszarze bezpieczeństwa cyfrowego. Instytucja od lat angażuje się w budowanie świadomości wśród klientów i pracowników, udostępniając za pośrednictwem dedykowanej strony internetowej porady dotyczące bezpiecznego bankowania, aktualne ostrzeżenia oraz materiały edukacyjne, które pomagają poznać i zrozumieć współczesne zagrożenia.
– Jako bank stale angażujemy się w inicjatywy mające na celu wzmacnianie społecznej odporności na cyberzagrożenia. Nasze działania realizujemy wielowymiarowo – wewnętrznie, skupiając naszą uwagę na pracownikach i klientach, oraz zewnętrznie, chcąc mieć swój wkład w zrównoważony rozwój społeczeństwa. Dzięki wszystkim tym działaniom możemy dbać o bezpieczeństwo naszych klientów oraz budować bezpieczną cyberprzestrzeń w ramach społecznej odpowiedzialności biznesu – mówił Michał Nagórka, dyrektor Centrum Bezpieczeństwa Banku.