W artykule przeczytasz:

• czym jest phishing, który może spowodować wyciek danych,
• jakie błędy popełniają twórcy aplikacji i administratorzy,
• w jaki sposób zabezpieczyć się przed wyciekiem danych.

 

 

Czym jest phishing, który może spowodować realny wyciek danych?

Wśród historii najczęściej opowiadanych przez osoby, które pracują w bezpieczeństwie teleinformatycznym dominują te, dotyczące dużych luk bezpieczeństwa. Bardzo popularne są również historie związane z efektywną socjotechniką, np. phishingiem. Ta praktyka polega na wysyłaniu e-maili, które mają skłonić ludzi, aby ujawnili swoje dane osobowe, hasła czy numery kart kredytowych. Dzieje się tak nie bez powodu – to właśnie tego typu ataki powodują największe straty finansowe i wizerunkowe.

 

Jedna z moich ulubionych historii dotyczy przygotowania się do phishingu, które miało podnieść świadomość pracowników na temat zagrożeń w sieci. Scenariusz był prosty: krótka wiadomość z linkiem, techniczny język, nakłanianie do kliknięcia oraz temat sugerujący jakiś problem. Wyglądało to mniej więcej tak:

Temat: WAŻNE! Przekroczono dopuszczalną pojemność skrzynki!

Ze względu na trwającą w naszej Spółce migrację usługi poczty korporacyjnej na nowe środowisko pojawiły się problemy związane z przepełnieniem skrzynek pocztowych i dostępem do nowych wiadomości e-mail.

Przyczyną awarii jest brak integralności danych pomiędzy kontrolerem domeny, a usługą archiwizacji poczty e-mail.

Aby zwiększyć pojemność skrzynki i uzyskać pewność, że otrzymujesz wszystkie przychodzące wiadomości kliknij w poniższy link i zaloguj się wykorzystując swoje firmowe dane.

 

Skuteczność przy tak prostym ataku była zaskakująco wysoka (około 130/300 efektywnych kliknięć i wpisanych danych domenowych). Bardziej zdumiewające okazało się jednak coś innego. Przed takimi badaniami nasz klient wyznacza koordynatorów, którzy sprawdzają, czy atak się powiódł – czy filtry antyspamowe nie zablokują wiadomości. Zazwyczaj kilka dni przed zaplanowanym badaniem ustalamy szczegóły dotyczące wiadomości, aby dać szansę pracownikowi na identyfikację zagrożenia, np. niepoprawna domena lub błędy w treści. Co się stało, gdy wysłałem wiadomości testowe? Część z koordynatorów zaczęła w panice usuwać wiadomości z poczty, aby uzyskać trochę miejsca… Jak widać pracownicy często działają automatycznie, nawet gdy wiedzą o wykonywanej próbie. Prawie wszystkie interakcje  klientów ze sprzedawcami internetowymi odbywają się za pośrednictwem telefonu lub poczty elektronicznej. Z tego powodu strony e-commerce są szczególnie podatne na ataki inżynierii społecznej. Chiński haker z drugiego końca świata może udawać mamę z Sosnowca lub księgową z Nowego Jorku. Właściciele sklepów internetowych muszą być szczególnie czujni na tego typu manipulacje. Żadna technologia nie jest w stanie całkowicie zapobiec sytuacji, w której pracownik zostanie oszukany i zmanipulowany do podania poufnych informacji na temat klientów firmy, w której pracuje. Mogą to być adresy, daty urodzenia, numery telefonów, a nawet hasła do rejestracji, których klienci mogą używać również na innych stronach i portalach internetowych.

 

Zadaniem specjalistów ds. bezpieczeństwa cybernetycznego jest opracowanie procedur i zabezpieczeń, które pozwolą sprawdzić tożsamość osoby, zanim ujawnimy jej poufne informacje. Często prowadzi to do napięć związanych z obsługą klienta, która w tym obszarze nie należy do najłatwiejszych. Warto przy tym pamiętać, aby ciągle budować świadomość  pracowników na temat bezpieczeństwa. Mogą to być np. szkolenia, kontrolowane ataki socjotechniczne lub newsletter o nowych zagrożeniach w sieci.

Wyjątkowe możliwości mogą powodować dużo luk bezpieczeństwa – czyli najczęstsze błędy programistów i administratorów

Na stronach e-commerce działa wiele różnych programów do obsługi koszyka i transakcji. Jeśli tworzymy oprogramowanie we własnym zakresie, należy zwrócić szczególną uwagę, by ograniczać błędy i luki na poziomie tworzenia kodu. Natomiast, gdy korzystamy z oprogramowania zewnętrznego, powinniśmy wykonać testy lub otrzymać raport, że aplikacja nie ma żadnych luk bezpieczeństwa.    

 

I znowu… sytuacja z życia. Musimy pamiętać, że atakujący nie będzie marnował czasu, aby znaleźć bardzo skomplikowane luki i metody, dzięki którym zdobędzie nasze dane. Nie zawsze chodzi również o to, aby uzyskać dane, a często po prostu o kilkudniowy paraliż w działaniu sklepu.

W trakcie testów zauważyłem, że klient ma na stronie podatności dotyczące bazy danych. Wystarczyło wysłać proste zapytanie, aby na kilkanaście minut usunąć zawartość bazy. Oczywiście, strona miała automatyczne narzędzia, dzięki którym sklep, wracał do poprawnego działania, jednak powtarzanie jednej konkretnej akcji, powodowało paraliż aplikacji. Jak można uniknąć tego problemu? Prostym rozwiązaniem jest ograniczenie metod dostępnych dla użytkownika, a ponadto weryfikacja zasobów widocznych z sieci publicznej.

Inna powszechna luka w e-commerce, która dotyka zarówno pracowników, jak i klientów, znana jest jako cross-site scripting (XSS). Niektóre strony zachęcają użytkowników, aby wypełnili ankiety lub zostawili informacje zwrotne na temat zakupionego produktu. Ataki XSS polegają na tym, że w formularzach umieszcza się złośliwy kod, który uderza w innych użytkowników.

 

Hakerzy mogą zbierać informacje z komputerów użytkowników, którzy wchodzą na daną stronę. Np. umieszczają na niej kod javascript, który pobiera dane, gdy klient kliknę w ocenę danego produktu. Nieostrożni administratorzy witryn mogą paść ofiarą tych skryptów tak samo łatwo jak klienci. Zespoły bezpieczeństwa muszą pracować nad tym, aby dane użytkowników nie zawierały złośliwego kodu (walidacja danych). Ponadto należy pamiętać, aby cyklicznie sprawdzać stronę, ponieważ z dnia na dzień pojawiają się nowe luki bezpieczeństwa i zagrożenia.

 

Zabezpieczenie przed wyciekiem danych to nie jedyne zalety

Niektórzy właściciele e-commerce odkrywają, że zwracanie szczególnej uwagi na bezpieczeństwo może być czymś więcej niż tylko środkiem obronnym. W niektórych sytuacjach może ono zapewnić prawdziwą przewagę biznesową nad konkurencją. Komu klient zaufa bardziej, gdy podaje dane swojej karty kredytowej? Organizacji, która cyklicznie robi testy penetracyjne i ma wdrożone skuteczne procedury, które pozwalają na szybką reakcję w razie wycieku danych? Czy firmie, która teoretycznie ma wdrożone zabezpieczenia, które prawdopodobnie działają? Nie zapominajmy również o potencjalnych karach i odszkodowaniach wynikających z zaniedbań, które bezpośrednio wpływają na ciągłość finansową naszej firmy.

 

Oto 7 wskazówek, które mogą uchronić nas przed stratą finansową podczas zakupów online i pomogą wykryć oszustów:

1. Najlepiej płać kartami kredytowymi lub przez usługi płatnicze, takie jak Paypal. Karty debetowe są powiązane z Twoim kontem bankowym, więc jesteś o wiele bardziej narażony na ryzyko, że ktoś dostać się do Twojego konta. Właściciel sklepu powinien zapewnić różne możliwości płatności za produkt, w tym
2. Zanim wprowadzisz dane osobowe lub finansowe, upewnij się, czy strona, na której jesteś, jest bezpieczna. Sprawdź, czy na początku adresu strony jest "https" . Jeśli nie widzisz "s", tylko "http", wtedy strona nie jest zaszyfrowana i Twoje dane nie będą bezpieczne. Wszystkie legalne zakupowe strony internetowe mają literę "s".
3. Zawsze korzystaj z aktualnego oprogramowania. Dzięki temu ochronisz swoje informacje, poprawisz bezpieczeństwo i zwalczysz nowe ataki. Również właściciele sklepów powinni zwrócić uwagę na aktualność oprogramowania na swoich serwerach.
4. Nie otwieraj e-maili od kogoś, kogo nie znasz lub od strony, której nie odwiedziłeś. Uważaj zwłaszcza na fałszywe wiadomości z banku lub innej instytucji finansowej, które mówią o alarmie lub problemie z Twoim kontem. Zawsze dzwoń bezpośrednio do banku, aby sprawdzić ewentualne problemy i nigdy nie podawaj informacji o swoim koncie w odpowiedzi na taki e-mail. Również święta, to idealny czas dla oszustów, aby wysyłać wirusy i złośliwe oprogramowanie pod pretekstem prezentu lub oferty specjalnej.
5. Uważaj na oferty, które pojawiają się na portalach społecznościowych. Zwróć uwagę na niewiarygodne oferty oraz świąteczne prezenty i bonusy. Zanim klikniesz, upewnij się, czy są wiarygodne np. weryfikując ofertę na stronie konkretnego sklepu.
6. Długie i unikalne hasła są Twoimi najlepszymi strażnikami, jeśli chodzi o bezpieczeństwo Twoich prywatnych informacji. Nie używaj tego samego hasła na wielu stronach i portalach. Dla właściciela sklepu, ważne jest aby hasła użytkowników były przechowywane w bezpieczny sposób z wykorzystaniem np. sprawdzonych metod hashowania.
7. Zwróć uwagę, czy na stronie jest polityka bezpieczeństwa i prywatności. Ważne, aby sklep poinformował Cię, jak będzie wykorzystywać udostępnione dane. Dodatkowo niektóre sklepy umieszczają na stronie informacje dotyczące np. zgodności z międzynarodowymi standardami i normami – co zwiększa poczucie bezpieczeństwa klienta.

 

---

 

Autor: Krzysztof Jakubik