Skip to main content
Loading...
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.

Jakie lekcje płyną z cyberataku na PAP?

Jakie lekcje płyną z cyberataku na PAP?

Do konta jednego z pracowników Polskiej Agencji Prasowej hakerzy uzyskali dostęp, publikując spreparowaną depeszę. Choć nie wiadomo jeszcze, jak przestępcy przedostali się do systemów PAP, tego typu incydentom można zapobiec przez wdrożenie odpowiednich środków ochrony i procedur bezpieczeństwa. Razem z Secfense przyjrzymy się szczegółom tego ataku, omówimy potencjalne luki w zabezpieczeniach oraz zaproponujemy kroki, które mogą pomóc w uniknięciu podobnych sytuacji w przyszłości.  

Ustawa Kamilka

Dezinformacja na czele globalnych zagrożeń

Według najnowszej edycji raportu Global Risks 2024, opracowanego przez Światowe Forum Ekonomiczne, dezinformacja jest obecnie jednym z największych globalnych zagrożeń.

Badania przeprowadzone przez Koalicję "Razem Przeciw Dezinformacji" pokazują, że 81% Polaków uważa, iż w ciągu ostatniej dekady znacznie wzrosła skala dezinformacji w Internecie. Dane te zostały opublikowane w raporcie "Dezinformacja oczami Polaków".

Fałszywe informacje są rozpowszechniane na różne sposoby, z dużym udziałem mediów społecznościowych. Jednak dezinformacja przenika również do wiarygodnych kanałów informacyjnych, pojawiając się jako niesprawdzone materiały redakcyjne lub w wyniku bezpośrednich działań cyberprzestępców, jak miało to miejsce w przypadku niedawnego incydentu w Polskiej Agencji Prasowej.

- Najprawdopodobniej do przejęcia konta pracownika PAP doszło przez malware, czyli złośliwe oprogramowanie zainstalowane na komputerze. Nie jest jednak jasne, czy atakujący wykradł poświadczenia czy sesję – wytłumaczył Bartosz Cieszewski, Solution Architect w Secfense, firmie działającej w obszarze cyberbezpieczeństwa.

– Ta pierwsza sytuacja jest bardzo częsta. Cyberprzestępcy używają wykradzionych czy przejętych danych, czyli loginu i hasła, by zalogować się do różnych serwisów i wykonać jakieś czynności, np. wydać polecenie przelewu, czy – jak w przypadku PAP – opublikować fałszywą depeszę. W sytuacji drugiej przestępca wykrada sesję. Uzyskuje więc dostęp do istniejącej już sesji, wykradając na przykład ciasteczko sesyjne z przeglądarki ofiary. Innym słowem nie potrzebuje danych uwierzytelniających użytkownika. Korzysta z działającej sesji i tym samym może wykonywać wszelkie operacje, do których dostęp ma legalny użytkownik danego zasobu, np. redaktor serwisu informacyjnego — dodał ekspert.

Logowanie za pomocą hasła to za mało

Z danych Cisco Talos Incident Response wynika, że w 2023 roku w co czwartym incydencie bezpieczeństwa wykorzystywano przejęte konta użytkowników. Cyberprzestępcy uzyskują dostęp do danych uwierzytelniających, stosując różne metody, w tym phishing.

W tego typu cyberatakach podszywają się pod zaufane instytucje lub osoby, aby wyłudzić poufne informacje, takie jak dane logowania czy numery kart kredytowych. Ataki te często wykorzystują e-maile, wiadomości tekstowe, fałszywe strony internetowe oraz komunikaty w mediach społecznościowych.

W 2023 roku CERT Polska otrzymał łącznie 95 696 zgłoszeń dotyczących phishingu.

- Przed wykorzystaniem przez przestępców przejętych danych uwierzytelniających chronią użytkownika mechanizmy dwu- lub wieloskładnikowego uwierzytelniania. Jeśli ktoś w danym serwisie włączy dodatkowy składnik, a może być nim np. kod wysłany SMS-em, PIN czy potwierdzenie tożsamości za pomocą biometrii, utrata loginu i hasła nie stanowi aż takiego problemu, bowiem nie są one wystarczające do tego, by uzyskać dostęp do serwisu czy usługi. Warto także rozważyć korzystanie z passkeys. Ta technologia chroni przed phishingiem i eliminuje w ogóle konieczność stosowania łatwych do przejęcia haseł – wyjaśnił Bartosz Cieszewski z Secfense.

Groźne przejęcia sesji  

Wieloskładnikowe uwierzytelnianie nie zawsze chroni przed przejęciem sesji, czyli rodzajem cyberataku, w którym atakujący przejmuje kontrolę nad aktywną sesją użytkownika w danym serwisie. Oznacza to, że przestępca uzyskuje dostęp do zasobów i danych, do których ma uprawnienia legalny użytkownik, bez konieczności posiadania loginów i haseł.

- Gdy użytkownik loguje się w aplikacji czy na stronie internetowej, serwer tworzy sesję, która identyfikuje tę osobę. Informacje o sesji są przechowywane w pliku cookie, w nagłówkach HTTP lub w zmiennych sesji. Każda sesja ma swój unikalny identyfikator i to on jest celem atakującego, ponieważ pozwala mu na przejęcie sesji. Przed tego typu atakiem nie ochroni więc wieloskładnikowe uwierzytelnianie. W tym przypadku sprawdzą się mikroautoryzacje – powiedział Bartosz Cieszewski.

Mikroautoryzacje to dodatkowy element ochrony, który wymaga od użytkownika ponownego uwierzytelnienia za każdym razem, gdy próbuje uzyskać dostęp do określonych zasobów lub wykonać określone działania w chronionej aplikacji. Na przykład, gdy użytkownik chce opublikować depeszę w serwisie informacyjnym, musi ponownie się uwierzytelnić.

Ochrona przed przejęciem sesji

Mikroautoryzacje działają w dwóch modelach – modelu właściciela i modelu przełożonego. W pierwszym modelu użytkownik jest proszony o ponowne potwierdzenie swojej tożsamości.

W drugim modelu, autoryzacja określonego działania jest zlecana osobie trzeciej, na przykład redaktorowi naczelnemu. W obu przypadkach mikroautoryzacje zabezpieczają przed wykonaniem krytycznych akcji przez atakującego, który wcześniej przejął sesję ofiary.

- Mikroautoryzacje można dodawać i uruchamiać w dowolnym miejscu w aplikacji. To jej właściciel czy administrator decyduje zatem, które z działań są na tyle newralgiczne, że potrzebują dodatkowej ochrony. Oczywiście, mikroautoryzacje mają sens tylko wtedy, gdy są łatwe w użyciu. Osobiście zalecam wykorzystanie mechanizmów uwierzytelnienia FIDO2, czyli otwartego standardu uwierzytelniania w sieci przy wykorzystaniu lokalnych urządzeń uwierzytelniających, takich jak smartfony czy laptopy. Dostęp do chronionego zasobu wymaga od użytkownika w takim wypadku, na przykład, dotknięcia czytnika linii papilarnych na smartfonie. A to oznacza, że żadna niepowołana osoba nie będzie mogła wykonać chronionej czynności, nawet mając dostęp do wykradzionej sesji – dodał ekspert z Secfense.

– Wracając do przypadku PAP-u. Zabezpieczenie akcji „dodaj depeszę” mechanizmem mikroautoryzacji zniweczyłoby plany atakującego. Nawet z ukradzioną sesją zostałby zapytany o 2FA przy próbie opublikowania depeszy - zaznaczył Bartosz Cieszewski.

Dezinformacja jest coraz poważniejszym problemem. Media muszą więc zwracać szczególną uwagę nie tylko na weryfikację prawdziwości zamieszczanych informacji, ale również na odpowiednie zabezpieczenie swoich systemów przed cyberprzestępcami.

Zdjęcie główne wygenerowane przez AI

AI Impact

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa