Dezinformacja na czele globalnych zagrożeń
Według najnowszej edycji raportu Global Risks 2024, opracowanego przez Światowe Forum Ekonomiczne, dezinformacja jest obecnie jednym z największych globalnych zagrożeń.
Badania przeprowadzone przez Koalicję "Razem Przeciw Dezinformacji" pokazują, że 81% Polaków uważa, iż w ciągu ostatniej dekady znacznie wzrosła skala dezinformacji w Internecie. Dane te zostały opublikowane w raporcie "Dezinformacja oczami Polaków".
Fałszywe informacje są rozpowszechniane na różne sposoby, z dużym udziałem mediów społecznościowych. Jednak dezinformacja przenika również do wiarygodnych kanałów informacyjnych, pojawiając się jako niesprawdzone materiały redakcyjne lub w wyniku bezpośrednich działań cyberprzestępców, jak miało to miejsce w przypadku niedawnego incydentu w Polskiej Agencji Prasowej.
- Najprawdopodobniej do przejęcia konta pracownika PAP doszło przez malware, czyli złośliwe oprogramowanie zainstalowane na komputerze. Nie jest jednak jasne, czy atakujący wykradł poświadczenia czy sesję – wytłumaczył Bartosz Cieszewski, Solution Architect w Secfense, firmie działającej w obszarze cyberbezpieczeństwa.
– Ta pierwsza sytuacja jest bardzo częsta. Cyberprzestępcy używają wykradzionych czy przejętych danych, czyli loginu i hasła, by zalogować się do różnych serwisów i wykonać jakieś czynności, np. wydać polecenie przelewu, czy – jak w przypadku PAP – opublikować fałszywą depeszę. W sytuacji drugiej przestępca wykrada sesję. Uzyskuje więc dostęp do istniejącej już sesji, wykradając na przykład ciasteczko sesyjne z przeglądarki ofiary. Innym słowem nie potrzebuje danych uwierzytelniających użytkownika. Korzysta z działającej sesji i tym samym może wykonywać wszelkie operacje, do których dostęp ma legalny użytkownik danego zasobu, np. redaktor serwisu informacyjnego — dodał ekspert.
Logowanie za pomocą hasła to za mało
Z danych Cisco Talos Incident Response wynika, że w 2023 roku w co czwartym incydencie bezpieczeństwa wykorzystywano przejęte konta użytkowników. Cyberprzestępcy uzyskują dostęp do danych uwierzytelniających, stosując różne metody, w tym phishing.
W tego typu cyberatakach podszywają się pod zaufane instytucje lub osoby, aby wyłudzić poufne informacje, takie jak dane logowania czy numery kart kredytowych. Ataki te często wykorzystują e-maile, wiadomości tekstowe, fałszywe strony internetowe oraz komunikaty w mediach społecznościowych.
W 2023 roku CERT Polska otrzymał łącznie 95 696 zgłoszeń dotyczących phishingu.
- Przed wykorzystaniem przez przestępców przejętych danych uwierzytelniających chronią użytkownika mechanizmy dwu- lub wieloskładnikowego uwierzytelniania. Jeśli ktoś w danym serwisie włączy dodatkowy składnik, a może być nim np. kod wysłany SMS-em, PIN czy potwierdzenie tożsamości za pomocą biometrii, utrata loginu i hasła nie stanowi aż takiego problemu, bowiem nie są one wystarczające do tego, by uzyskać dostęp do serwisu czy usługi. Warto także rozważyć korzystanie z passkeys. Ta technologia chroni przed phishingiem i eliminuje w ogóle konieczność stosowania łatwych do przejęcia haseł – wyjaśnił Bartosz Cieszewski z Secfense.
Groźne przejęcia sesji
Wieloskładnikowe uwierzytelnianie nie zawsze chroni przed przejęciem sesji, czyli rodzajem cyberataku, w którym atakujący przejmuje kontrolę nad aktywną sesją użytkownika w danym serwisie. Oznacza to, że przestępca uzyskuje dostęp do zasobów i danych, do których ma uprawnienia legalny użytkownik, bez konieczności posiadania loginów i haseł.
- Gdy użytkownik loguje się w aplikacji czy na stronie internetowej, serwer tworzy sesję, która identyfikuje tę osobę. Informacje o sesji są przechowywane w pliku cookie, w nagłówkach HTTP lub w zmiennych sesji. Każda sesja ma swój unikalny identyfikator i to on jest celem atakującego, ponieważ pozwala mu na przejęcie sesji. Przed tego typu atakiem nie ochroni więc wieloskładnikowe uwierzytelnianie. W tym przypadku sprawdzą się mikroautoryzacje – powiedział Bartosz Cieszewski.