Prokuratura Okręgowa w Warszawie wszczęła właśnie śledztwo w sprawie cyberataku na Polską Agencję Prasową. 31 maja w serwisie PAP dwukrotnie została opublikowana fałszywa informacja. Atakujący uzyskali dostęp do konta jednego z pracowników agencji i zamieścili spreparowaną depeszę. Na razie nie wiadomo, jak przestępcy dostali się do systemów PAP-u. Podobnych sytuacji można jednak uniknąć.
Z najnowszej edycji raportu Global Risks 2024 opracowanego przez Światowe Forum Ekonomiczne wynika, że dezinformacja znajduje się aktualnie na czele globalnych zagrożeń. Co więcej, 81 proc. Polaków badanych przez Koalicję „Razem Przeciw Dezinformacji” jest zdania, że w ciągu ostatniej dekady wzrosła skala rozpowszechnianej w Internecie dezinformacji. Takie dane opublikowane zostały w materiale „Dezinformacja oczami Polaków”.
Nieprawdziwe informacje rozpowszechniane są na różne sposoby. Znaczącą rolę odgrywają w tym procesie media społecznościowe. Fałszywie wiadomości pojawiają się jednak także w wiarygodnych kanałach informacyjnych. Czasem jako opublikowany przez redakcję materiał zawierający niesprawdzone dane, a czasem – jak w przypadku incydentu w PAP – w wyniku bezpośredniego działania cyberprzestępców.
– Najprawdopodobniej do przejęcia konta pracownika PAP doszło przez malware, czyli złośliwe oprogramowanie zainstalowane na komputerze. Nie jest jednak jasne, czy atakujący wykradł poświadczenia czy sesję – tłumaczy Bartosz Cieszewski, Solution Architect w Secfense, firmie działającej w obszarze cyberbezpieczeństwa. – Ta pierwsza sytuacja jest bardzo częsta. Cyberprzestępcy używają wykradzionych czy przejętych danych, czyli loginu i hasła, by zalogować się do różnych serwisów i wykonać jakieś czynności, np. wydać polecenie przelewu, czy – jak w przypadku PAP – opublikować fałszywą depeszę. W sytuacji drugiej przestępca wykrada sesję. Uzyskuje więc dostęp do istniejącej już sesji, wykradając na przykład ciasteczko sesyjne z przeglądarki ofiary. Innym słowem nie potrzebuje danych uwierzytelniających użytkownika. Korzysta z działającej sesji i tym samym może wykonywać wszelkie operacje, do których dostęp ma legalny użytkownik danego zasobu, np. redaktor serwisu informacyjnego.
Czy można zabezpieczyć się przed takimi atakami? W pierwszym przypadku pomocne są mechanizmy silnego uwierzytelniania, w drugim natomiast mikroautoryzacje.
Na skróty:
Login i hasło to za mało
Z danych Cisco Talos Incident Response wynika, że w 2023 roku w co czwartym incydencie bezpieczeństwa wykorzystywano przejęte konta użytkowników. Cyberprzestępcy uzyskują dostęp do danych uwierzytelniających, stosując między innymi phishing, czyli cyberatak, w którym podszywają się pod zaufane instytucje czy osoby po to, by wyłudzić poufne informacje, w tym dane logowania i numery kart kredytowych. W atakach tych często używają e-maili, wiadomości tekstowych, fałszywych stron internetowych czy komunikatów w mediach społecznościowych.
W 2023 roku CERT Polska otrzymał łącznie 95 696 zgłoszeń phishingu.
– Przed wykorzystaniem przez przestępców przejętych danych uwierzytelniających chronią użytkownika mechanizmy dwu- lub wieloskładnikowego uwierzytelniania. Jeśli ktoś w danym serwisie włączy dodatkowy składnik, a może być nim np. kod wysłany SMS-em, PIN czy potwierdzenie tożsamości za pomocą biometrii, utrata loginu i hasła nie stanowi aż takiego problemu, bowiem nie są one wystarczające do tego, by uzyskać dostęp do serwisu czy usługi. Warto także rozważyć korzystanie z passkeys. Ta technologia chroni przed phishingiem i eliminuje w ogóle konieczność stosowania łatwych do przejęcia haseł – wyjaśnia Bartosz Cieszewski z Secfense.
Niebezpieczne ciasteczka
Wieloskładnikowe uwierzytelnianie nie ochroni jednak przed przejęciem sesji. Jest to rodzaj cyberataku, w którym atakujący przejmuje kontrolę nad aktywną sesją użytkownika w danym serwisie. Co to oznacza? Przestępca uzyskuje dostęp do zasobów i danych, do których ma uprawnienia legalny użytkownik. I nie potrzebuje do tego loginów i haseł.
– Gdy użytkownik loguje się w aplikacji czy na stronie internetowej, serwer tworzy sesję, która identyfikuje tę osobę. Informacje o sesji są przechowywane w pliku cookie, w nagłówkach HTTP lub w zmiennych sesji. Każda sesja ma swój unikalny identyfikator i to on jest celem atakującego, ponieważ pozwala mu na przejęcie sesji. Przed tego typu atakiem nie ochroni więc wieloskładnikowe uwierzytelnianie. W tym przypadku sprawdzą się mikroautoryzacje – mówi Bartosz Cieszewski.
Mikroautoryzacje to dodatkowy element ochrony, który wymusza na użytkowniku ponowne uwierzytelnienie za każdym razem, gdy ten próbuje uzyskać dostęp do określonych zasobów lub chce wykonać określone działania w chronionej aplikacji, np. gdy próbuje opublikować depeszę w serwisie informacyjnym.
Mikroautoryzacje, czyli ochrona przed przejęciem sesji
Mikroautoryzacje działają w dwóch modelach – w modelu właściciela i przełożonego. W tym pierwszym to użytkownik jest proszony o ponowne potwierdzenie swojej tożsamości. W tym drugim – o autoryzację jakiegoś działania proszona jest osoba trzecia, np. redaktor naczelny. W obu przypadkach zabezpieczają przed wykonaniem jakiejś krytycznej akcji przez atakującego, który już wcześniej w ten czy inny sposób przejął sesję ofiary.
– Mikroautoryzacje można dodawać i uruchamiać w dowolnym miejscu w aplikacji. To jej właściciel czy administrator decyduje zatem, które z działań są na tyle newralgiczne, że potrzebują dodatkowej ochrony. Oczywiście, mikroautoryzacje mają sens tylko wtedy, gdy są łatwe w użyciu. Osobiście zalecam wykorzystanie mechanizmów uwierzytelnienia FIDO2, czyli otwartego standardu uwierzytelniania w sieci przy wykorzystaniu lokalnych urządzeń uwierzytelniających, takich jak smartfony czy laptopy. Dostęp do chronionego zasobu wymaga od użytkownika w takim wypadku na przykład dotknięcia czytnika linii papilarnych na smartfonie. A to oznacza, że żadna niepowołana osoba nie będzie mogła wykonać chronionej czynności, nawet mając dostęp do wykradzionej sesji – dodaje ekspert z Secfense. – Wracając do przypadku PAP-u. Zabezpieczenie akcji „dodaj depeszę” mechanizmem mikroautoryzacji zniweczyłoby plany atakującego. Nawet z ukradzioną sesją zostałby zapytany o 2FA przy próbie opublikowania depeszy.
Dezinformacja staje się coraz większym problemem. Media powinny więc zwracać szczególną uwagę nie tylko na prawdziwość informacji zamieszczanych w serwisach, ale też na odpowiednią ochronę swoich systemów przed cyberprzestępcami.
