Czwórka superbohaterów z ikonami telefonu, laptopa, dysku sieciowego i dysku przenośnego na tle błyskawic.

Obronisz swoje dane?

Ostatnie lata z punktu widzenia bezpieczeństwa IT były dość ponure. Według ekspertów z Malwarebytes, od 2015 do 2017 roku liczba ataków ransomware wzrosła niemal 20-krotnie. Specjaliści zaznaczają, że hakerzy często do zdobycia komputerów i kont wykorzystują proste sposoby.

Autorzy raportu CERT Polska pt. „Wydarzenia 2017” podkreślają, że niestety prognozowane przez nich zagrożenia ze strony tzw. internetu rzeczy stały się faktem. Co to oznacza? Tylko tyle, że dziś nawet nie trzeba mieć komputera, by stać się ofiarą cyberprzestępcy lub narzędziem w jego rękach. Wiele skutecznych ataków przeprowadzono dzięki słabym zabezpieczeniom w takich urządzeniach jak np. podłączone do sieci kamery IP.

W Polsce, choć większość nowoczesnego sprzętu klasy IoT jest dostępna, to jednak – jak podkreśla Juliusz Brzostek, dyrektor Narodowego Centrum Cyberbezpieczeństwa, w strukturach którego działa zespół CERT Polska – wciąż popularne są oszustwa wykorzystujące niewiedzę lub nieuwagę internautów. Zdaniem Brzostka, najczęstszy typ incydentu to phishing. W ostatnich dniach zespół CERT otrzymał zgłoszenie o pojawieniu się nowej akcji phishingowej, wycelowanej w klientów sieci sklepów Biedronka.

fałszywa biedronka
Przestępcy posługiwali się domeną bony-biedronka.com, pod którą znajdowała się strona, przypominająca prawdziwą witrynę sieci sklepów (graf. CERT Polska)

Przestępcy wyłudzali pieniądze od internautów, skuszonych fałszywą ofertą na zakup bonu zniżkowego na 50 zł. Na fałszywej stronie potencjalnym ofiarom prezentowano niezbyt starannie przygotowany tekst, zachęcający do „zakupu” bonu. Osoby, które nabrały się na ten chwyt, były przekierowywane na stronę, która z kolei podszywała się pod bramkę płatności Dotpay. W tym przypadku przestępcy postarali się już znacznie bardziej i jak widać na poniższej ilustracji, fałszywa strona Dotpay dla laika jest praktycznie nieodróżnialna od oryginalnej bramki.

fałszywy dotpay
Fałszywa bramka Dotpay wykorzystywana w ataku phishingowym na klientów Biedronki (graf. CERT Polska)

Co więcej, atakujący zadbali również o to, by ofiary odwiedzające fałszywą bramkę realizacji płatności online, miały wyświetlaną „zieloną kłódkę” w swoich przeglądarkach. Innymi słowy, strona przygotowana przez oszustów posługiwała się certyfikatem SSL, wystawionym przez Let’s Encrypt. Oczywiście certyfikat ten nie ma nic wspólnego z certyfikatem oryginalnej strony Dotpay, ale problem polega na tym, że przeglądarka nie jest w stanie odróżnić czy certyfikat SSL jest prawidłowy dla danej strony.

Zresztą sami eksperci CERT Polska podkreślają, że certyfikat SSL (czyli owa „zielona kłódka”) mówi wyłącznie o tym, że połączenie z danym serwisem internetowym jest szyfrowane. Certyfikaty nie muszą zawierać informacji o tożsamości podmiotu, niemniej warto pamiętać, że w przypadku serwisów realizujących płatności online, jak Dotpay, korzysta się z odpowiednich certyfikatów SSL OV (Organization Validation). Z takiego też certyfikatu o rozszerzonej walidacji korzysta oryginalny Dotpay. Praktycznie wszystkie popularne w Polsce bramki płatności korzystają właśnie z SSL OV. Jednak czy zwykły „Kowalski” może odróżnić certyfikat SSL bez walidacji od pożądanego w przypadku bramek płatniczych certyfikatu SSL OV? Tak – i to bardzo łatwo. Spójrzcie na poniższy obrazek.

oryginalny dotpay
Pasek adresu w przypadku witryny z SSL OV (graf. CHIP)

Jak widać, prawdziwa wersja bramki Dotpay znajduje się pod adresem: https://ssl.dotpay.pl/, a dzięki wykorzystywanemu przez nią certyfikatowi SSL OV użytkownik przeglądarki (na ilustracji – Google Chrome) oprócz zielonej kłódki widzi również nazwę firmy przypisanej do certyfikatu (tu: Dotpay S.A. [PL]). Dlatego pamiętajmy, że sama zielona kłódka to za mało! Podczas łączenia się z bramkami płatniczymi sprawdzajmy, czy oprócz kłódki wyświetlana jest prawidłowa nazwa podmiotu obsługującego daną bramkę. I jeszcze podpowiadamy – za organizacją CERT – jakie powinny być informacje o operatorach poszczególnych bramek oraz ich poddomenach (stan na 15.04.2018r.).

bramki płatności popularne w Polsce
Prawidłowe informacje o operatorach popularnych w Polsce bramek płatniczych (graf. CERT Polska)

Pamiętajmy też, by po przekierowaniu z bramki płatności do serwisu transakcyjnego danego banku ponownie sprawdzić nazwę domeny oraz nazwę firmy na certyfikacie (czy jest właściwa dla wybranego banku). W razie jakichkolwiek wątpliwości co do właściwej domeny czy nazwy firmy na certyfikacie, lepiej zrezygnować z podawania danych karty i płacenia.

Phishing, to jednak zaledwie niewielka część arsenału cyberprzestępców. Mimo ciągłego rozwoju narzędzi ochronnych, liczba ataków wciąż rośnie. Owszem, branża antywirusowa stara się wykorzystywać nowoczesne metody wykrywania złośliwego kodu i różnych form ataków na dane czy tożsamość internautów, ale niestety – technologia nie jest skuteczna we wszystkich dziedzinach. Oprogramowanie antywirusowe, nawet najnowocześniejsze, najbardziej wyrafinowane, wykorzystujące złożone i kompleksowe mechanizmy ochronne, bazujące na sztucznej inteligencji i kolektywnych danych, przetwarzanych w chmurze, będzie chronić tylko w przypadku, gdy jest używane w połączeniu z odpowiednimi konfiguracjami aktualizowanego systemu i dodatkowymi narzędziami.

W dalszej części artykułu podpowiemy w jaki sposób można dowiedzieć się, czy twoje laptopy, komputery stacjonarne, smartfony i konta internetowe są… wciąż twoje. Bo jeżeli jakakolwiek usługa czy urządzenie zostało przejęte przez przestępców, to obecność oprogramowania antywirusowego niewiele już zmieni.


Na kolejnej stronie piszemy o ochronie kont internetowych.