Ponieważ nie wszyscy są wielbicielami linkedin, przytoczę najciekawsze, moim zdaniem, przypadki naruszeń cyberbezpieczeństwa:
- Wielkopolskie Centrum Medycyny Pracy - zmieniając w przeglądarce numer ID, można było zobaczyć wyniki badań innych pacjentów.
- Przejęto konto lekarza w aplikacji Medfile - wyciekły dane pacjentów - imię, nazwisko, płeć, adres, PESEL, numer telefonu, dane medyczne; atakujący wygenerował po 1-2 recepty na środki narkotyczne na dane ok. 30 osób.
- Podstawiona sieć wifi na lotnisku - atakujący wykorzystywał urządzenie WiFi Pineapple i wykradał dane logowania.
- Dziura w AI-owej przeglądarce Comet od Perplexity – dzięki niej można wykasować zawartość Google Drive ofiary.
- Atak hakerski na serwery spółki Dom Development - nieuprawnione pobranie danych: imię, nazwisko, adres, dane dotycząc dowodu, PESEL, numer rachunku bankowego, adres mailowy, numer telefonu, stan cywilny, numer księgi wieczystej, informacja o prowadzonej działalności gospodarczej, wysokość zadłużenia, dane dotyczące roszczeń, dane dotyczące transakcji i zakupionych produktów, NIP, wynagrodzenie, informacje nt. członków rodziny, w tym data urodzenia.
- Lewa apka podszywająca się pod bank Pekao, reklamująca się jako "klucz bezpieczeństwa Pekao" - appka instaluje "dodatkowy komponent", który prawdopodobnie daje atakującym zdalny dostęp do telefonu (przez VNC). Atak działa tylko na Androidy.
- Podatność Chrome’a na atak 0day – konieczność zaktualizowania przeglądarki.
- Najnowsza wersja: 143.0.7499.109/.110 Windows/Mac, 143.0.7499.109 Linux.
- Włamanie do konta pracownika sklepu internetowego WK DZIK – wyciek danych (ok 125000 rekordów), w tym e-maile / adresy dostawy / imiona i nazwiska / nr telefonów. Atakujący wystawił je na sprzedaż.
- Uwaga: W serwisie bezpiecznedane gov pl można sprawdzić, czy nasze dane zostały wykradzione.
- Włamanie się do kilku skrzynek pocztowych pracowników Urzędu Zamówień Publicznych – wyciek danych.
- Włamanie do systemu rezerwacji Schroniska Murowaniec - wyciek danych osobowych.
- Włamanie do polskiego systemu obsługującego hotele / wille / obiekty hotelowe [KWHotel] - atakujący posiadając dane rezerwacji ofiar, wysyłają za pomocą WhatsApp / e-mail fałszywe wiadomości, nakłaniające do podania danych kart płatniczych (pod pozorem potwierdzenia / anulowania rezerwacji).
- Maile podszywającego się pod mBank – atakujący ominęli (bardzo dobre) filtry antyspamowe Google. Sugerują konieczność "aktualizacji numeru telefonu".
- Kolejne włamanie na konta lekarzy – tym razem na gabinet[.]gov[.]pl - i ponownie generowanie recept na środki narkotyczne. Przestępcy skorzystali z wycieków, dzięki którym pozyskali dane logowania. Były to na tyle wrażliwe dane, że mogli założyć konta bankowe na lekarzy. Umożliwiło to logowanie „logowanie się bankiem" niezbędne w przypadku gabinetGOV. Dane osobowe lekarzy miały posłużyć też do „wyłudzenia kredytu, ukrywania środków płatniczych pochodzących z korzyści związanych z popełnieniem czynu zabronionego".
- Zhackowanie systemów portowych w Antwerpii - zadziałała socjotechnika – atakujący pracownika portu do umieszczenia pendrive’a w komputerze mającym dostęp do systemów portowych. Umożliwiło mu to „niewidoczne przerzucanie narkotyków" (dostęp do systemów umożliwiających kontrolę sterowania wejściem, info o rozkładzie kamer) po portach w Europie. Jak wyjaśnia Michał, pendrive mógł klawiaturą, bądź pracownik po prostu odpalił malware z pendrive (który mógł udawać np. prosty plik PDF).
- Na koniec - temat ostatnio gorący - seria „włamań” do dzienników elektronicznych w polskich szkołach. Jednak, jak pisze Michał z sekuraka, sprawa jest im znana od dłuższego czasu, gdyż już kilka miesięcy temu otrzymali zgłoszenie o incydencie z dwóch krakowskich szkół. „Atakujący najczęściej wysyłają "dziwne wiadomości", czasem z linkami do wszystkich użytkowników (w szczególności uczniów).” Przyczyna:
- Mega słabe hasła np. Barbara2026! Mimo wymaganej liczby różnorodnych znaków (małe / duże litery, znak specjalny) łatwo je złamać, korzystając z publicznych baz wycieków. Ludzie nagminne używają tego samego hasła w różnych serwisach. Gdy hasło wycieknie z jednego z nich – pojawia się problem.
- Zapisywanie danych logowania w przeglądarce, na komputerze w pracowni szkolnej.
- Malware na komputerze, z którego loguje się nauczyciel (w pracowni szkolnej, prywatnie, na losowym publicznym komputerze na wycieczce, etc)
- Brak weryfikacji dwuetapowej (2FA), a nawet brak świadomości że coś takiego w ogóle istnieje. I tu Michał przytacza słowa jednego z nauczycieli "2FA na librusie wymaga aplikacji na prywatnym telefonie i działa strasznie - po aktywacji trudno się zalogować a lekcja trwa tylko 45 minut”.
- Wyjście nauczyciela na przerwę i pozostawienie komputera z zalogowanym Librusem".
Jak się bronić – ogólne zasady, które mogłyby zapobiec powyższym incydentom:
- Skonfigurowanie 2FA (uwierzytelnianie dwuskładnikowe) - na kontach społecznościowych i skrzynki pocztowych.
- Silne / unikalne hasło – najlepiej zdanie o długości kilkunastu znaków (Michał proponuje15+ znaków, np. 4-5 nieoczywistych słów sklejonych ze sobą)
- Unikanie logowania się do swojego konta z publicznych / podejrzanych komputerów
- Nie zapisywanie swoich danych logowania w przeglądarce na publicznych komputerach
- Nie korzystanie z publicznych sieci WiFi (nie wszystkie są bezpieczne) oraz publicznych ładowarek USB (np. na lotnisku, w galerii, hotelu). Użycie takiego sprzętu może wiązać się z ryzykiem ataku tzw. juice jacking – przez port ładowania da się przesyłać nie tylko prąd, ale też dane. Uwaga: Jeśli jednak zdecydujecie się na przeglądanie stron łącząc sie z publicznym WiFi, nie podawajcie swoich prawdziwych danych logowania na stronach wyświetlanych po połączeniu (tzw. captive portal / akceptacja regulaminu)
- Nie używanie cudzych pendrive’ów, szczególnie otrzymanych w formie „prezentu”.
- Nie udzielanie kontroli nad przeglądarką (zalogowaną do maila / google drive / banku /...) agentowi, który na ślepo będzie wykonywać zewnętrzne polecenia.
- Instalowanie apek bankowych tylko z linków umieszczonych na stronach banków, a innych też z pewnych źródeł.
- Minimalizowanie liczby rozszerzeń w przeglądarce.
- Zastrzeżenie umeru PESEL, co zapobiegnie ewentualnemu założeniu konta bankowego na nasze dane.
- I - moim zdanie najważniejsze – czujność wobec socjotechniki. Podstawa to krytyczne myślenie.
To oczywiście nie wszystko, co ustrzeże nas przed nieprzyjemnymi niespodziankami. O reszcie możecie posłuchać na kanale Digital Wizards – projektu poświęconemu nie tylko cyberbezpieczeństwu, ale i AI, higienie cyfrowej i marketingowi cyfrowemu.
#Cyberbezpieczeństwo #Sekurak #Securitum #BezpieczeństwoDanych #Phishing #CyberEdu #EdukacjaCyfrowa #DigitalWizards
