Polowanie w internetowej sieci

0

Oszustwa internetowe to bolączka współczesnego świata. Stały rozwój sieci WWW daje oszustom duże pole do działania. Największym zagrożeniem dla firmy nie są jednak złośliwe programy lecz… niefrasobliwość pracowników, których zachowanie potrafi niejednego specjalistę bezpieczeństwa IT przyprawić o ból głowy.

Niewątpliwie ludzie są najsłabszym ogniwem korporacyjnej sieci. Dokładnie mówiąc – jej użytkownicy. Przed zagrożeniem z zewnątrz można się uchronić montując i instalując najlepsze zabezpieczenia lecz nic nie obroni organizacji przed głupotą pracowników. Przykład? Proszę bardzo – wystarczy przypomnieć ile już razy zdarzyło się, że pracownik ściągnął, świadomie czy nie, złośliwe oprogramowanie i zainstalował je „niechcący” w firmowym komputerze za pomocą pendriva. Dostał mail z podejrzanym załącznikiem i zignorował ostrzeżenia programu antywirusowego bo niezwykle interesowało go co to takiego ciekawego otrzymał na swoją skrzynkę. Po prostu musiał otworzyć i sprawdzić a administratorzy sieci mieli potem przysłowiowy twardy orzech do zgryzienia, zastanawiając się skąd przyszedł atak.

Ci ostatni też często nie są bez winy, ufając zbytnio zaporze firewall na serwerze, pomijając konieczność instalacji firewalla na komputerach użytkowników. Powód – koszta, skutek – zwykle wszystko jest w porządku póki użytkownik nie wyniesie firmowego sprzętu poza biuro, gdzie połączy się z niezabezpieczoną siecią. Może nie za pierwszym razem ale za którymś kolejnym nieszczęście mamy gotowe. Zapora Windows nie jest wystarczającą ochroną. Wedle badania Checkpoint „Global Retail Theft Barometer” liczba ataków cybercrime’u zmniejszyła się nieco w 2010 roku lecz mimo to warto uzbroić pracowników w minimalną wiedzę, pozwalającą im ominąć przynajmniej niektóre ataki lub jeśli już nastąpią, rozpoznać je i zminimalizować ich skutki. Poniżej omówienie najpopularniejszych typów oszustw internetowych:

Phishing – rodzaj oszustwa zmierzającego do wyłudzenia danych, najczęściej danych do konta mailowego lub bankowego (login, hasło), numerów kart kredytowych, etc. Realizowany poprzez fałszywe wiadomości e-mail z przekierowaniem na podrobioną lecz wyglądającą na autentyczną stronę e-banku. Działanie niebezpieczne głównie dla użytkownika, ze względu na możliwość wyłudzenia numerów karty kredytowej i jej PIN. Może być problemem dla firmy, jeśli użytkownik używa służbowych kart płatniczych lub ma dostęp do firmowego konta. Odpowiadając na taką wiadomość lub klikając w link potwierdza poprawność swojego adresu e-mail (phisher rozsyła spam, rzadko zna bezpośredni adres e-mail) co naraża go na dalsze ataki w przyszłości. Aktualne oprogramowanie antywirusowe, firewall, antyspyware plus rozsądek użytkownika i charakterystyczne cechy maila, którego otrzymał (żaden bank nie prosi np. o numer PIN w ten sposób) pozwoli uniknąć kłopotów.

Pharming – bardziej skomplikowana i przez to często bardziej niebezpieczna odmiana phishingu. Przestępca dokonuje ataku DNS poisoning, dzięki czemu przekierowuje użytkownika na fałszywą stronę WWW mimo korzystania z niego przez poprawny link przeglądarki. Innym sposobem ataku jest zainfekowanie komputera trojanem, co pozwala na modyfikację plików w komputerze w taki sposób, że przekierują użytkownika na fałszywą stronę mimo iż wpisał prawidłowy adres. Obrona i działania niepożądane podobne jak w przypadku Phishingu, należy dodatkowo zwrócić uwagę na elementy zabezpieczeń strony jak certyfikat SSL (działający po kliknięciu znak certyfikujący – Verisign, GeoTrust) czy protokół bezpiecznego połączenia https// lub inne odbiegające od normy zachowania witryny.

Kradzież tożsamości – działanie zmierzające do pozyskania jak największej ilości danych osobowych użytkownika celem wykorzystania ich do oszustw finansowych. W większości dotyczy osób fizycznych. Dane firm są powszechnie dostępne w systemach informacji, takich jak KRS. Kradzież tożsamości jest jednak szkodliwa dla pracowników firmy, którzy ponoszą konsekwencje własnej niefrasobliwości a możliwe następstwa mogą być uciążliwe dla firmy. Absencja pracownika z powodu aresztowania przez policję nie wróży nic dobrego, zwłaszcza że zamknięty w areszcie raczej nie będzie w stanie przekazać osobom, które mogłyby go zastąpić w firmie co mają robić.

W drugą stronę – jeśli firma przechowuje jakiekolwiek dane różnych osób, musi dopilnować by nie zostały wykradzione i użyte do celów przestępczych. Podobnie – pracownicy mający dostąp do bazy danych powinni zdawać sobie sprawę z konsekwencji ich „wycieku” na zewnątrz. Niestety doniesienia medialne o wyciekach danych z firm i instytucji pojawiają się dość często co świadczy o lekceważeniu przez firmę przechowującą dane, lub jej pracowników, obowiązującej w każdej firmie polityki i procedur bezpieczeństwa. Zapobieganie polega na uświadamianiu pracowników i restrykcyjnym dopilnowaniu przestrzegania firmowych procedur.

Oszustwo 419 – zwane inaczej Oszustwem Nigeryjskim polega na wysłaniu spamu w postaci wiadomości informujących o gigantycznych wygranych, niebotycznych majątkach – spadkach po krewnych (nieznanych), etc. Osoba wysyłająca maile podaje się najczęściej za prawnika. Warunkiem jest podanie pełnych danych osobowych, nr. kont, etc. Oszustwo to jest tak płytkie w swej prostocie, że prawie nikt nie daje się na nie nabrać a oszuści są szybko namierzani i unieszkodliwiani. Problemem może być sytuacja, w której użytkownik odpowie na takiego maila lub potwierdzi jego otrzymanie. Zostaje wtedy dopisany do listy kont, na które sensownie jest wysyłać spam a jego kłopoty dopiero się zaczną.

Fałszywy sklep internetowy/Company Fraud – próby wyłudzeń przez firmy oferujące produkty po cenach zdecydowanie niższych niż rynkowe lub oferujące zakup produktów danej firmy w dużych ilościach bez negocjacji cen. Pierwszy przypadek jest dość charakterystyczny gdyż fałszywy sklep przyjmuje płatności głównie kartami kredytowymi. Cel jest prosty – wyłudzenie numerów kart kredytowych. Problem dla firmy może być dość znaczny, jeśli jest to służbowa karta pracownika. Przypadek drugi jest również charakterystyczny. Zleceniodawca chce zapłacić czekiem, który nawet jeśli wygląda na wystawiony przez wiarygodny bank, jest oczywiście fałszywym. Jest to oszustwo łatwe do rozpoznania, każdą firmę można sprawdzić w systemach rejestrowych (GUS, KRS), także zagranicznych. Każda firma wystawia faktury i jest w stanie zapłacić przelewem.

Wiadomości z niebezpiecznym załącznikiem – który może zawierać szkodliwe oprogramowanie wyszukujące i wysyłające do oszusta dane z komputera. Problem dla użytkownika prywatnego, raczej nieszkodliwy dla firmy gdyż w większości przypadków komputery w firmach mają zainstalowane stale aktualizowane oprogramowanie antywirusowe. O ile użytkownik nie zignoruje alarmów systemów zabezpieczeń nie powinno być kłopotów. Jeśli to zrobi, wiadomość o problemie zostanie wkrótce przekazana administratorom sieci bo problem może być poważny, o czym niżej. W tym przypadku często kończy się na krótkiej rozmowie o premii (w sensie jej braku) może szybko zdyscyplinować bezmyślnego pracownika bo szkoda dla firmy, wynikające z celowego działania użytkownika może być znaczna.

Rogueware – przypadek wynikający najczęściej z rozmyślnego otwierania załączników i linków w przeglądarkach mimo wyraźnych alarmów systemów bezpieczeństwa oprogramowania. Rogueware jest niebezpieczne i stosunkowo najbardziej groźne ze wszystkich prób wyłudzeń internetowych z kilku przyczyn. Po pierwsze łączy w sobie wszystkie najgorsze cechy szkodników komputerowych: kradnie dane, paraliżuje pracę komputera i użytkownika (a więc i firmy), potrafi się rozmnażać i atakować kolejne komputery w sieci a ostatecznie często niszczy dane w komputerze. Po drugie, jest trudne do usunięcia z komputera. Jeśli już zostało uruchomione skutecznie ukrywa się przed antywirusem i deaktywuje firewall. Po trzecie, wyświetlając dramatyczne komunikaty o problemach z komputerem często powoduje, że przerażony, bojący się konsekwencji użytkownik pozwala na kolejne działania programu (rogeware wyglądem i symulacją działania przypomina najczęściej oprogramowanie antywirusowe) czym jeszcze bardziej pogarsza sytuację.

Szkody dla firmy są znaczne. Komputera nie da się łatwo naprawić i zabić szkodnika, ludzie od IT będą mieli z nim trochę problemu a pracownik nie może wykonywać swoich zadań. Wszystkie te osoby poświęcają czas pracy a tym samym firmowe pieniądze na przeciwdziałanie zagrożeniu zamiast zajmować się swoją standardową pracą. Rogueware, podobnie jak klasyczny szkodnik, może zniszczyć dane w komputerze a często są one o wiele cenniejsze niż sam sprzęt. Co gorsze, może nie udać się ich odzyskać. Zapobieganie polega na stosowaniu dobrego oprogramowania zabezpieczającego i przykładnym karaniu osób rozmyślnie nie stosujących się do systemów i procedur bezpieczeństwa.

Ataki kombinowane – polegające na nakłonieniu użytkownika do wzięcia udziału w konkursach, zabawach internetowych, etc. By poznać wyniki rywalizacji należy wysłać SMS. Bardzo drogi, koszty sięgają kilkudziesięciu złotych. Skutki finansowe dla firmy są żadne… o ile pracownicy nie używają służbowych telefonów komórkowych do takiej „zabawy”. Oszustwo nie do udowodnienia, użytkownik wysyłając SMS akceptuje regulamin dostępny na stronie (dobrze ukryty, żeby go za szybko nie znalazł) więc działanie jest legalne. A to, że tego regulaminu nie czytał… Jego strata. Jego lub firmy, dla której pracuje i której budżet uszczupla. Co więcej, zamiast pracować, zajmuje się zabawą. Jeśli jednak zapłaci za rachunek telefoniczny, powinno to nieco go ochłodzić.

Rodzajów oszustw internetowych jest znacznie więcej. Są one wariacją powyższych, stanowią ich połączenie lub są rozszerzone o dodatkowe elementy. Oprogramowanie instalowane w firmowym sprzęcie powinno skutecznie zapobiec przynajmniej niektórym z nich, nic jednak nie uchroni od problemów lepiej niż własna zapobiegliwość i ostrożność w korzystaniu z internetowej sieci.

Zasady bezpieczeństwa

1.Lepsze są słabe zabezpieczenia komputera niż całkowity ich brak.
2.Komputer musi mieć zainstalowane oprogramowanie antywirusowe, które powinno być regularnie uaktualniane.
3.Jeśli komputery są używane w sieciach zewnętrznych warto zainstalować dodatkowo firewall i antyspyware. Wewnętrzny firewall serwera w tym przypadku nie pomoże.
4.Komputery powinny przechodzić regularne, pełne skanowanie antywirusowe.
5.Pracownicy muszą bezwzględnie stosować się do polityki i procedur bezpieczeństwa firmy.
6.Podstawa to zdrowy rozsądek, oprogramowanie nie pomoże jeśli użytkownik rozmyślnie zignoruje jego ostrzeżenia.

PODZIEL SIĘ

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ