Wstęp

W poprzednim artykule zrobiliśmy wstęp do budowania świadomości na temat cyberbezpieczeństwa. Przedstawiliśmy pokrótce, m.in. co to są cyberzagrożenia, jakie mamy rodzaje, kto przeprowadza ataki, w jaki sposób należy bronić się przez cyberprzestępcami, ile kosztuje ochrona. Tematy te zostały przedstawione dość ogólnikowo. Zamiarem było podzielić się podstawowymi informacjami na ten temat. W kolejnych częściach chciałbym zagłębić powyższe punkty szerzej.

W niniejszym artykule chciałbym przedstawić szerzej, z jakimi cyberzagrożeniami możemy się spotkać. Z jakimi grupami przestępczymi mamy do czynienia. Przedstawię wybrane cyberataki na przestrzeni ostatnich lat. Postaram się przedstawić trendy w rozwoju cyberataków na kolejne lata. Ze względu na obszerny materiał, temat ten zostanie podzielony na kilka części.

Rodzaje ataków

1. Malware attack

Malware to ogólne określenie złośliwego oprogramowania, stąd słowo „mal” na początku słowa. Złośliwe oprogramowanie infekuje komputer i zmienia sposób jego działania, niszczy dane lub szpieguje użytkownika, lub ruch sieciowy, który przechodzi. Złośliwe oprogramowanie może rozprzestrzeniać się z jednego urządzenia na drugie lub pozostać na miejscu, wpływając tylko na swoje urządzenie/hosta.

Kilka opisanych powyżej metod ataków może obejmować formy złośliwego oprogramowania, w tym ataki MITM, phishing, ransomware, wstrzykiwanie kodu SQL, konie trojańskie, ataki drive-by i ataki XSS.

W przypadku ataku złośliwym oprogramowaniem oprogramowanie musi zostać zainstalowane na urządzeniu docelowym. Wymaga to działania ze strony użytkownika. Dlatego oprócz korzystania z zapór ogniowych, które mogą wykrywać złośliwe oprogramowanie, użytkownicy powinni być edukowani w zakresie typów oprogramowania, których powinni unikać, rodzajów linków, które powinni sprawdzać przed kliknięciem oraz wiadomości e-mail i załączników, z którymi nie powinni wchodzić.

2. Ataki typu phishing

Atak phishingowy ma miejsce, gdy złośliwy aktor/cracker wysyła wiadomości e-mail, które wydają się pochodzić z zaufanych, legalnych źródeł, próbując przechwycić poufne informacje od celu. Ataki phishingowe łączą socjotechnikę i technologię i są tak zwane, ponieważ atakujący w rzeczywistości „łowi” dostęp do zabronionego obszaru, używając „przynęty” pozornie godnego zaufania nadawcy.

Aby przeprowadzić atak, osoba atakująca może wysłać łącze prowadzące do witryny internetowej, która następnie nakłania do pobrania złośliwego oprogramowania, takiego jak wirusy, lub podania atakującemu prywatnych informacji. W wielu przypadkach cel może nie zdawać sobie sprawy, że został narażony na szwank, co pozwala atakującemu ścigać inne osoby w tej samej organizacji bez podejrzewania złośliwej aktywności.

Możesz zapobiegać osiąganiu przez ataki phishingowe ich celów, uważnie zastanawiając się nad rodzajami otwieranych wiadomości e-mail i linkami, w które klikasz. Zwracaj szczególną uwagę na nagłówki e-maili i nie klikaj niczego, co wygląda podejrzanie. Sprawdź parametry „Reply-to” i „Return-path”. Muszą połączyć się z tą samą domeną, która została przedstawiona w e-mailu.

3. Ataki whale-phishing

Whale-phishing to atak polegający na phishingu „grubych ryb” lub wielkich organizacji, do których zazwyczaj należą osoby z kadry kierowniczej lub inne osoby odpowiedzialne za organizację. Osoby te prawdopodobnie posiadają informacje, które mogą być cenne dla atakujących, takie jak zastrzeżone informacje o firmie lub jej działalności.

Jeśli „gruba ryba” pobierze oprogramowanie ransomware, jest bardziej prawdopodobne, że zapłaci okup, aby zapobiec wydostaniu się wiadomości o udanym ataku i nadszarpnięciu reputacji jego lub organizacji. Atakom phishingowym można zapobiegać, podejmując te same środki ostrożności, aby uniknąć ataków phishingowych, takie jak uważne sprawdzanie wiadomości e-mail oraz dołączonych do nich załączników i linków, zwracanie uwagi na podejrzane miejsca docelowe lub parametry.

Ataki spear-phishing

Spear phishing odnosi się do określonego rodzaju ukierunkowanego ataku phishingowego. Atakujący poświęca czas na zbadanie zamierzonych celów, a następnie pisze wiadomości, które cel prawdopodobnie uzna za istotne. Tego typu ataki są trafnie nazywane phishingiem „spear” ze względu na sposób, w jaki atakujący skupia się na jednym konkretnym celu. Wiadomość będzie wyglądać na wiarygodną, dlatego wykrycie ataku spear-phishing może być trudne.

Atak spear-phishing często wykorzystuje fałszowanie wiadomości e-mail, w którym informacje w części „Od” wiadomości e-mail są sfałszowane, co sprawia, że wygląda na to, że wiadomość e-mail pochodzi od innego nadawcy. Może to być osoba, której cel ufa, na przykład osoba w sieci społecznościowej, bliski przyjaciel lub partner biznesowy. Atakujący mogą również używać klonowania witryn internetowych, aby komunikacja wyglądała na uzasadnioną. W przypadku klonowania witryny atakujący kopiuje legalną witrynę, aby uspokoić ofiarę. Cel, myśląc, że witryna jest prawdziwa, czuje się komfortowo, wprowadzając swoje prywatne informacje.

Podobnie jak w przypadku zwykłych ataków phishingowych, atakom typu spear-phishing można zapobiegać, dokładnie sprawdzając szczegóły we wszystkich polach wiadomości e-mail i upewniając się, że użytkownicy nie klikają żadnych łączy, których miejsca docelowego nie można zweryfikować jako legalnego.

5. Atak na hasło / Password Attack

Hasła są narzędziem weryfikacji dostępu wybieranym przez większość ludzi, więc ustalenie hasła celu jest atrakcyjną propozycją dla crackera. Można to zrobić za pomocą kilku różnych metod. Często ludzie trzymają kopie swoich haseł na kawałkach papieru lub karteczkach samoprzylepnych w pobliżu, lub na biurku. Osoba atakująca może albo samodzielnie znaleźć hasło, albo zapłacić komuś z wewnątrz, aby je dla nich zdobył. 

Atakujący może również próbować przechwycić transmisje sieciowe w celu przechwycenia haseł, które nie są szyfrowane przez sieć. Mogą też skorzystać z socjotechniki, która przekonuje ofiarę do wprowadzenia hasła w celu rozwiązania pozornie „ważnego” problemu. W innych przypadkach osoba atakująca może po prostu odgadnąć hasło użytkownika, zwłaszcza jeśli używa hasła domyślnego lub hasła łatwego do zapamiętania, takiego jak „1234567”.

Atakujący często używają również brute-force do odgadywania haseł. Złamanie hasła metodą brute-force wykorzystuje podstawowe informacje o osobie lub jej stanowisku, aby spróbować odgadnąć hasło. Na przykład ich imię i nazwisko, data urodzenia, rocznica lub inne osobiste, ale łatwe do odkrycia dane mogą być używane w różnych kombinacjach do odszyfrowania hasła. Informacje, które użytkownicy umieszczają w mediach społecznościowych, można również wykorzystać do zhakowania hasła metodą brute-force. To, co dana osoba robi dla zabawy, określone hobby, imiona zwierząt domowych lub imiona dzieci są czasami używane do tworzenia haseł, dzięki czemu są stosunkowo łatwe do odgadnięcia przez atakujących metodą brute-force.

Cracker może również użyć ataku słownikowego, aby ustalić hasło użytkownika. Atak słownikowy to technika wykorzystująca popularne słowa i wyrażenia, takie jak te wymienione w słowniku, w celu odgadnięcia hasła celu.

Jedną ze skutecznych metod zapobiegania atakom siłowym i słownikowym jest skonfigurowanie zasad blokowania. Powoduje to automatyczne zablokowanie dostępu do urządzeń, stron internetowych lub aplikacji po określonej liczbie nieudanych prób. W przypadku zasady blokowania atakujący ma tylko kilka prób, zanim zostanie zablokowany dostęp. Jeśli masz już zasady blokady i odkryjesz, że Twoje konto zostało zablokowane z powodu zbyt wielu prób logowania, rozsądnie jest zmienić hasło.

Jeśli osoba atakująca systematycznie stosuje atak siłowy lub słownikowy w celu odgadnięcia hasła, może zanotować hasła, które nie zadziałały. Na przykład, jeśli twoje hasło to twoje nazwisko, po którym następuje rok urodzenia, a cracker spróbuje umieścić rok urodzenia przed twoim nazwiskiem przy ostatniej próbie, może uda mu się to przy następnej próbie.

6. Brute force attack

Atak brute-force bierze swoją nazwę od „brutalnej” lub prostej metodologii zastosowanej w ataku. Atakujący po prostu próbuje odgadnąć dane logowania osoby, która ma dostęp do systemu docelowego. Kiedy już to zrobią, są w środku.

Chociaż może to wydawać się czasochłonne i trudne, osoby atakujące często używają botów do złamania danych uwierzytelniających. Atakujący dostarcza botowi listę poświadczeń, które jego zdaniem mogą dać mu dostęp do bezpiecznego obszaru. Następnie bot próbuje każdego z nich, podczas gdy atakujący siedzi i czeka. Po wprowadzeniu prawidłowych poświadczeń przestępca uzyskuje dostęp.

Aby zapobiec atakom typu brute-force, należy zastosować zasady blokowania w ramach architektury bezpieczeństwa autoryzacji. Po określonej liczbie prób użytkownik próbujący wprowadzić poświadczenia zostaje zablokowany. Zwykle wiąże się to z „zamrożeniem” konta, więc nawet jeśli ktoś spróbuje z innego urządzenia z innym adresem IP, nie będzie mógł ominąć blokady.

Rozsądnie jest również używać losowych haseł bez regularnych słów, dat lub sekwencji liczb. Warto wykorzystywać generatory haseł. A długość hasła powinna być nie mniejsza niż 10 znaków. Zważywszy, że już są takie technologie, które potrafią złamać hasła w 48 minut. [1]

7. Ataki MITM

Cyberataki typu man-in-the-middle (MITM) odnoszą się do naruszeń bezpieczeństwa cybernetycznego, które umożliwiają atakującemu podsłuchiwanie danych przesyłanych tam, iż powrotem między dwiema osobami, sieciami lub komputerami. Nazywa się to atakiem „man-in-the-middle”, ponieważ atakujący ustawia się „pośrodku” lub między dwiema stronami próbującymi się porozumieć. W efekcie, atakujący szpieguje interakcję między dwiema stronami.

W ataku MITM obie zaangażowane strony czują, że komunikują się tak, jak zwykle. Nie wiedzą jednak, że osoba faktycznie wysyłająca wiadomość nielegalnie modyfikuje wiadomość lub uzyskuje do niej dostęp, zanim dotrze ona do miejsca przeznaczenia. Niektóre sposoby ochrony siebie i swojej organizacji przed atakami MITM to stosowanie silnego szyfrowania w punktach dostępu lub korzystanie z wirtualnej sieci prywatnej (VPN).

8. Atak SQL Injection

Wstrzykiwanie Structured Query Language (SQL) to powszechna metoda wykorzystywania stron internetowych, które wykorzystują bazy danych do działania (często sklepy internetowe). Klienci to komputery, które pobierają informacje z serwerów, a atak SQL wykorzystuje zapytanie SQL wysyłane od klienta do bazy danych na serwerze. Polecenie jest wstawiane lub „wstrzykiwane” do płaszczyzny danych zamiast czegoś innego, co zwykle tam się znajduje, na przykład hasła lub loginu. Następnie serwer, który przechowuje bazę danych, uruchamia polecenie i następuje penetracja systemu.

Jeśli iniekcja SQL powiedzie się, może się zdarzyć kilka rzeczy, w tym uwolnienie poufnych danych lub modyfikacja, usunięcie ważnych danych. Ponadto osoba atakująca może wykonać operacje administratora, takie jak polecenie zamknięcia, które może przerwać działanie bazy danych.

Aby uchronić się przed atakiem typu SQL injection, skorzystaj z najmniej uprzywilejowanego dostępów. W architekturze o najniższych uprawnieniach dostęp mają tylko ci, którzy bezwzględnie potrzebują dostępu do kluczowych baz danych. Nawet jeśli użytkownik ma władzę lub wpływy w organizacji, może nie mieć dostępu do określonych obszarów sieci, jeśli jego praca nie zależy od tego.

Na przykład dyrektor generalny może nie mieć dostępu do obszarów sieci, nawet jeśli ma prawo wiedzieć, co jest w środku. Stosowanie najmniej uprzywilejowanych zasad może uniemożliwić nie tylko złym crackerom dostęp do wrażliwych obszarów, ale także tym, którzy mają dobre intencje, ale przypadkowo narażają swoje dane logowania na ataki lub pozostawiają uruchomione stacje robocze z dala od swoich komputerów.

9. Web attacks

Web attacks odnoszą się do zagrożeń, których celem są luki w aplikacjach internetowych. Za każdym razem, gdy wprowadzasz informacje do aplikacji internetowej, inicjujesz polecenie generujące odpowiedź. Na przykład, jeśli wysyłasz pieniądze do kogoś za pomocą aplikacji bankowości internetowej, wprowadzone dane powodują, że aplikacja wchodzi na twoje konto, pobiera pieniądze i wysyła je na konto innej osoby. Atakujący działają w ramach tego rodzaju żądań i wykorzystują je na swoją korzyść.

Niektóre typowe ataki sieciowe obejmują injection SQL i cross-site scripting (XSS). Hakerzy wykorzystują również ataki typu cross-site request forgery (CSRF) i manipulowanie parametrami. W ataku CSRF ofiara zostaje oszukana, aby wykonać akcję, która przynosi korzyść atakującemu. Na przykład mogą kliknąć coś, co uruchamia skrypt przeznaczony do zmiany danych logowania w celu uzyskania dostępu do aplikacji internetowej. Haker, uzbrojony w nowe dane logowania, może następnie zalogować się tak, jakby był uprawnionym użytkownikiem.

Manipulowanie parametrami polega na dostosowywaniu parametrów, które programiści wdrażają jako środki bezpieczeństwa mające na celu ochronę określonych operacji. Wykonanie operacji zależy od tego, co zostanie wprowadzone w parametrze. Atakujący po prostu zmienia parametry, co pozwala mu ominąć środki bezpieczeństwa zależne od tych parametrów.

Aby uniknąć ataków internetowych, sprawdź swoje aplikacje internetowe pod kątem luk w zabezpieczeniach i napraw je. Jednym ze sposobów łatania luk w zabezpieczeniach bez wpływu na wydajność aplikacji internetowej jest użycie tokenów anty-CSRF. Token jest wymieniany między przeglądarką użytkownika a aplikacją internetową. Przed wykonaniem polecenia sprawdzana jest ważność tokena. Jeśli się sprawdzi, polecenie przejdzie, jeśli nie, zostanie zablokowane. Możesz także użyć flag SameSite, które zezwalają na przetwarzanie tylko żądań z tej samej witryny, co sprawia, że każda witryna zbudowana przez atakującego jest bezsilna.

11. Ataki XSS

Za pomocą XSS, czyli cross-site scripting , osoba atakująca przesyła złośliwe skrypty za pomocą klikalnej zawartości, która jest wysyłana do przeglądarki celu. Gdy ofiara kliknie w treść, skrypt jest wykonywany. Ponieważ użytkownik zalogował się już do sesji aplikacji internetowej, to, co wprowadza, jest postrzegane przez aplikację internetową jako uzasadnione. Jednak wykonywany skrypt został zmieniony przez atakującego, co spowodowało podjęcie niezamierzonej akcji przez „użytkownika”.

Na przykład atak XSS może zmienić parametry żądania przelewu wysyłanego za pośrednictwem aplikacji bankowości internetowej. W sfałszowanym żądaniu imię i nazwisko zamierzonego odbiorcy przekazywanych pieniędzy zostaje zastąpione nazwiskiem atakującego. Atakujący może również zmienić przekazywaną kwotę, dając sobie nawet więcej pieniędzy, niż cel pierwotnie zamierzał wysłać.

Jednym z najprostszych sposobów zapobiegania atakom XSS jest użycie białej listy (whitelist) dozwolonych podmiotów. W ten sposób nic innego niż zatwierdzone wpisy nie będą akceptowane przez aplikację internetową.

12. Ataki DoS i DDoS

Atak typu „odmowa usługi” (DoS) ma na celu przeciążenie zasobów systemu do punktu, w którym nie jest on w stanie odpowiedzieć na uzasadnione żądania usług. Rozproszony atak typu „odmowa usługi” (DDoS) jest podobny, ponieważ ma również na celu drenaż zasobów systemu. Atak DDoS jest inicjowany przez szeroką gamę zainfekowanych złośliwym oprogramowaniem hostów kontrolowanych przez atakującego. Nazywa się to atakami „odmowy usługi”, ponieważ witryna ofiary nie jest w stanie świadczyć usług tym, którzy chcą uzyskać do niej dostęp.

W przypadku ataku DoS witryna docelowa zostaje zalana nielegalnymi żądaniami. Ponieważ witryna musi odpowiedzieć na każde żądanie, wszystkie odpowiedzi zużywają jej zasoby. Uniemożliwia to normalne działanie witryny dla użytkowników i często prowadzi do całkowitego zamknięcia witryny.

Ataki DoS i DDoS różnią się od innych rodzajów cyberataków, które umożliwiają hakerowi uzyskanie dostępu do systemu lub zwiększenie obecnego dostępu. W przypadku tego typu ataków osoba atakująca bezpośrednio odnosi korzyści z ich wysiłków. Z drugiej strony, w przypadku ataków sieciowych DoS i DDoS celem jest po prostu przerwanie skuteczności usługi celu. Jeśli atakujący jest zatrudniony przez konkurenta biznesowego, może odnieść korzyści finansowe z jego wysiłków.

Atak DoS może być również wykorzystany do stworzenia podatności na inny typ ataku. Po udanym ataku DoS lub DDoS system często musi przejść w tryb offline, co może narazić go na inne rodzaje ataków. Jednym z powszechnych sposobów zapobiegania atakom DoS jest użycie zapory, która wykrywa, czy żądania wysyłane do Twojej witryny są uzasadnione. Żądania oszustów można następnie odrzucić, umożliwiając przepływ normalnego ruchu bez zakłóceń. Przykład dużego ataku internetowego tego rodzaju miał miejsce w lutym 2020 r. na Amazon Web Services (AWS). 

13. Zagrożenia wewnętrzne

Czasami najbardziej niebezpieczne ataki i potencjalnie hakerzy pochodzą z organizacji. Ludzie wewnątrz firmy stanowią szczególne zagrożenie, ponieważ zwykle mają dostęp do różnych systemów, a w niektórych przypadkach uprawnienia administratora, które umożliwiają im wprowadzanie krytycznych zmian w systemie lub jego zasadach bezpieczeństwa.

Ponadto osoby w organizacji często dogłębnie rozumieją jej architekturę cyberbezpieczeństwa, a także sposób, w jaki firma reaguje na zagrożenia. Wiedzę tę można wykorzystać do uzyskania dostępu do obszarów o ograniczonym dostępie, wprowadzenia zmian w ustawieniach bezpieczeństwa lub wydedukowania najlepszego możliwego czasu na przeprowadzenie ataku.

Jednym z najlepszych sposobów zapobiegania zagrożeniom wewnętrznym w organizacjach jest ograniczenie dostępu pracowników do wrażliwych systemów tylko do tych osób, które potrzebują ich do wykonywania swoich obowiązków. Ponadto dla nielicznych, którzy potrzebują dostępu, użyj MFA, co będzie wymagać od nich użycia co najmniej jednej rzeczy, którą znają, w połączeniu z fizycznym przedmiotem, który muszą uzyskać, aby uzyskać dostęp do wrażliwego systemu. Na przykład użytkownik może być zmuszony do wprowadzenia hasła i podłączenia urządzenia USB. W innych konfiguracjach numer dostępowy generowany jest na urządzeniu przenośnym, do którego użytkownik musi się zalogować. Użytkownik może uzyskać dostęp do obszaru chronionego tylko wtedy, gdy zarówno hasło, jak i numer są poprawne.

Chociaż MFA może nie zapobiec wszystkim atakom samodzielnie, ułatwia ustalenie, kto stoi za atakiem — lub próbą ataku — zwłaszcza, że tylko stosunkowo niewiele osób ma dostęp do wrażliwych obszarów. W rezultacie ta strategia ograniczonego dostępu może działać odstraszająco. Cyberprzestępcy w Twojej organizacji będą wiedzieć, że łatwo jest wskazać sprawcę ze względu na stosunkowo niewielką pulę potencjalnych podejrzanych.

14. Oprogramowanie ransomware

W przypadku oprogramowania ransomware system ofiary jest przetrzymywany jako zakładnik, dopóki ofiara nie zgodzi się zapłacić atakującemu okupu. Po wysłaniu płatności atakujący przekazuje następnie instrukcje dotyczące tego, w jaki sposób ofiara może odzyskać kontrolę nad swoim komputerem. Nazwa „ransomware” jest odpowiednia, ponieważ złośliwe oprogramowanie żąda od ofiary okupu.

W przypadku ataku ransomware cel pobiera oprogramowanie ransomware ze strony internetowej lub z załącznika do wiadomości e-mail. Szkodliwe oprogramowanie zostało napisane w celu wykorzystania luk, które nie zostały usunięte ani przez producenta systemu, ani przez zespół IT. Następnie ransomware szyfruje stację roboczą celu. Czasami oprogramowanie ransomware może być wykorzystywane do atakowania wielu stron poprzez odmowę dostępu do kilku komputerów lub centralnego serwera niezbędnego do prowadzenia działalności biznesowej.

Wpływ na wiele komputerów jest często osiągany przez inicjowanie przechwytywania systemów dopiero po kilku dniach, a nawet tygodniach od początkowej penetracji złośliwego oprogramowania. Złośliwe oprogramowanie może wysyłać pliki AUTORUN, które przechodzą z jednego systemu do drugiego za pośrednictwem sieci wewnętrznej lub napędów uniwersalnej magistrali szeregowej (USB), które łączą się z wieloma komputerami. Następnie, gdy atakujący inicjuje szyfrowanie, działa ono jednocześnie na wszystkich zainfekowanych systemach.

W niektórych przypadkach autorzy ransomware projektują kod w celu obejścia tradycyjnego oprogramowania antywirusowego. Dlatego ważne jest, aby użytkownicy zachowali czujność w zakresie odwiedzanych witryn i klikanych łączy. Możesz także zapobiec wielu atakom ransomware, używając zapory nowej generacji (NGFW), która może przeprowadzać głębokie inspekcje pakietów danych przy użyciu sztucznej inteligencji (AI), która szuka cech oprogramowania ransomware.

15. Poisoning URL / zatruwanie

Dzięki interpretacji adresów URL osoby atakujące zmieniają i fabrykują określone adresy URL i wykorzystują je do uzyskania dostępu do danych osobistych lub firmowych. Ten rodzaj ataku jest również określany jako zatruwanie adresów URL. Nazwa „interpretacja adresów URL” wynika z faktu, że atakujący zna kolejność, w jakiej należy wprowadzić informacje o adresie URL strony internetowej. Atakujący następnie „interpretuje” tę składnię, używając jej, aby dowiedzieć się, jak dostać się do obszarów, do których nie ma dostępu.

Aby przeprowadzić atak polegający na zatruwaniu adresów URL, haker może odgadnąć adresy URL, których może użyć, aby uzyskać uprawnienia administratora do witryny lub uzyskać dostęp do zaplecza witryny w celu uzyskania dostępu do konta użytkownika. Po przejściu na żądaną stronę mogą manipulować samą witryną lub uzyskać dostęp do poufnych informacji o osobach, które z niej korzystają.

Na przykład, jeśli haker próbuje dostać się do sekcji administracyjnej witryny o nazwie mojblog.pl, może wpisać http://mojblog.pl/admin, co spowoduje przejście do strony logowania administratora. W niektórych przypadkach nazwa użytkownika i hasło administratora mogą być domyślne „admin” i „admin” lub bardzo łatwe do odgadnięcia. Osoba atakująca mogła również poznać hasło administratora lub zawęzić je do kilku możliwości. Atakujący następnie próbuje każdego z nich, uzyskuje dostęp i może dowolnie manipulować, kraść lub usuwać dane.

Aby zapobiec sukcesom ataków związanych z interpretacją adresów URL, stosuj bezpieczne metody uwierzytelniania we wszystkich wrażliwych obszarach witryny. Może to wymagać uwierzytelniania wieloskładnikowego (MFA) lub bezpiecznych haseł składających się z pozornie losowych znaków.

16. DNS Spoofing/fałszowanie nazwy domeny

W przypadku fałszowania systemu nazw domen (DNS) haker zmienia rekordy DNS, aby skierować ruch do fałszywej lub „sfałszowanej” witryny. Po wejściu na oszukańczą stronę ofiara może wprowadzić poufne informacje, które haker może wykorzystać lub sprzedać. Haker może również stworzyć witrynę o niskiej jakości, zawierającą obraźliwe lub podżegające treści, aby przedstawić konkurencyjną firmę w złym świetle.

W przypadku ataku polegającego na spoofingu DNS osoba atakująca wykorzystuje fakt, że użytkownik uważa odwiedzaną witrynę za wiarygodną. Daje to atakującemu możliwość popełniania przestępstw w imieniu niewinnej firmy, przynajmniej z perspektywy odwiedzającego.

Aby zapobiec fałszowaniu DNS, upewnij się, że serwery DNS są aktualne. Celem atakujących jest wykorzystanie luk w zabezpieczeniach serwerów DNS, a najnowsze wersje oprogramowania często zawierają poprawki eliminujące znane luki.

17. Zero-day exploits

Exploity Zero-day to luki w zabezpieczeniach cybernetycznych, które istnieją w oprogramowaniu lub sieci bez wiedzy producenta. Na przykład firma Apple może wydać nową wersję systemu iOS, która przypadkowo zawiera sposób umożliwiający hakerom kradzież danych z usługi iCloud. Po odkryciu usterki zaatakowana firma ma „zero dni” na jej naprawienie, ponieważ jest już podatna na atak. Atak zero-day ma miejsce, gdy hakerzy wykorzystują te luki, aby dostać się do systemu w celu kradzieży danych lub spowodowania szkód. W pierwszych miesiącach 2022 roku Microsoft, Google i Apple musiały załatać błędy zero-day. Jedna z najniebezpieczniejszych luk zero-day została odkryta pod koniec zeszłego roku, kiedy badacze odkryli lukę w „Log4J” — narzędziu opartym na Javie, które jest używane we wszystkim, od Apple iCloud po Mars Rover.

18. Session Hijacking / Przejęcie sesji

Session Hijacking jest jednym z wielu typów ataków MITM. Atakujący przejmuje sesję między klientem a serwerem. Komputer używany do ataku zastępuje swój adres protokołu internetowego (IP) adresem komputera klienckiego, a serwer kontynuuje sesję, nie podejrzewając, że komunikuje się z atakującym zamiast z klientem. Ten rodzaj ataku jest skuteczny, ponieważ serwer wykorzystuje adres IP klienta do weryfikacji swojej tożsamości. Jeśli adres IP atakującego zostanie wstawiony w trakcie sesji, serwer może nie podejrzewać naruszenia, ponieważ jest już zaangażowany w zaufane połączenie.

Aby zapobiec przejmowaniu sesji, użyj VPN, aby uzyskać dostęp do serwerów o znaczeniu krytycznym dla firmy. W ten sposób cała komunikacja jest szyfrowana, a atakujący nie może uzyskać dostępu do bezpiecznego tunelu utworzonego przez VPN.

19. Cryptojacking

Cryptojacking to cyberatak, który potajemnie wykorzystuje moc obliczeniową komputera do wydobywania kryptowalut, takich jak bitcoin i Ethereum. Spowoduje to poważne spowolnienie systemów komputerowych i powstanie innych potencjalnych luk w zabezpieczeniach.

Cryptojacking (zwany również „złośliwym wydobywaniem kryptowalut”) jest coraz powszechniejszym zagrożeniem internetowym, które ukrywa się na komputerze lub urządzeniu przenośnym i wykorzystuje jego zasoby do „wydobywania” formy elektronicznych pieniędzy znanej jako kryptowaluty. Atak taki może doprowadzić do przejęcia kontroli nad przeglądarką internetową, a także wszelkiego rodzaju urządzeniami, od komputerów stacjonarnych i laptopów po smartfony, a nawet serwery sieciowe.

20. Konie trojańskie

Atak konia trojańskiego wykorzystuje złośliwy program, który jest ukryty w pozornie legalnym programie. Kiedy użytkownik uruchamia prawdopodobnie niewinny program, złośliwe oprogramowanie wewnątrz trojana może zostać użyte do otwarcia tylnego wejścia do systemu, przez które hakerzy mogą przeniknąć do komputera lub sieci. Zagrożenie to bierze swoją nazwę od historii greckich żołnierzy, którzy ukryli się w koniu, aby zinfiltrować miasto Troja i wygrać wojnę. Kiedy „dar” został przyjęty i wniesiony pod bramy Troi, greccy żołnierze wyskoczyli i zaatakowali. W podobny sposób niczego niepodejrzewający użytkownik może zaprosić do swojego systemu niewinnie wyglądającą aplikację tylko po to, by zapoczątkować ukryte zagrożenie.

Aby zapobiec atakom trojanów, należy poinstruować użytkowników, aby nie pobierali ani nie instalowali niczego, chyba że można zweryfikować ich źródło. NGFW mogą być również wykorzystywane do sprawdzania pakietów danych pod kątem potencjalnych zagrożeń ze strony trojanów.

Odmiany trojanów:

Trojan dropper

Rodzaj wirusa typu trojan, którego celem jest zainstalowanie złośliwego kodu na komputerze ofiary. Wirusy te instalują na komputerze inny złośliwy program lub nową wersję wcześniej zainstalowanego wirusa.

Trojan clicker

Rodzaj trojana, którego celem jest informowanie autora lub ,,osoby, która je kontroluje”, że złośliwy kod został zainstalowany na komputerze ofiary oraz przekazanie informacji o adresie IP, otwartych portach, adresach email itd. Wchodzi zazwyczaj w skład ,,pakietu” zawierającego inne złośliwe programy.

Trojan downloader

Rodzaj trojana służącego do instalowania złośliwego kodu na komputerze ofiary, podobnie jak trojan dropper, jest jednak bardziej użyteczny dla twórców złośliwego oprogramowania. Jest znacznie mniejszy niż trojan dropper i może być wykorzystywany do pobrania nieskończonej liczby nowych wersji złośliwego kodu.

Trojan proxy

Rodzaj trojana, który śledzi aktywność użytkownika, zapisuje zebrane informacje na dysku twardym użytkownika, a następnie przesyła je autorowi szkodnika lub ,,osobie, która go kontroluje”. Rejestrowane informacje obejmują uderzenia klawiszy i zrzuty ekranu, które wykorzystywane są do kradzieży danych bankowych lub pomagają w  przeprowadzaniu oszustw internetowych.

Trojan backdoor

Rodzaj trojana, który pozwala jego autorowi lub osobie, która go kontroluje, na zdalne zarządzanie komputerami ofiar. W przeciwieństwie do legalnych narzędzi zdalnej administracji, trojany te instalują się, uruchamiają i działają w ukryciu, bez wiedzy czy zgody użytkownika.

21. Drive-by attacks

W przypadku ataku typu drive-by cracker umieszcza szkodliwy kod w niezabezpieczonej witrynie internetowej. Gdy użytkownik odwiedza witrynę, skrypt jest automatycznie wykonywany na jego komputerze, infekując go. Oznaczenie „drive by” pochodzi od faktu, że ofiara musi tylko „przejechać” przez witrynę, odwiedzając ją, aby się zarazić. Nie ma potrzeby klikania czegokolwiek na stronie ani wprowadzania żadnych informacji.

Aby chronić się przed atakami typu drive-by, użytkownicy powinni upewnić się, że na wszystkich swoich komputerach mają zainstalowane najnowsze oprogramowanie. Możesz także użyć oprogramowania do filtrowania sieci, które może wykryć, czy witryna jest niebezpieczna, zanim użytkownik ją odwiedzi.

22. Ataki podsłuchowe

Ataki polegające na podsłuchiwaniu polegają na przechwytywaniu ruchu przesyłanego przez sieć. W ten sposób osoba atakująca może zbierać nazwy użytkowników, hasła i inne poufne informacje, takie jak karty kredytowe. Podsłuchiwanie może być aktywne lub pasywne.

Przy aktywnym podsłuchiwaniu haker umieszcza fragment oprogramowania w ścieżce ruchu sieciowego w celu zebrania informacji, które haker analizuje w celu uzyskania użytecznych danych. Pasywne ataki podsłuchowe różnią się tym, że haker „nasłuchuje” lub podsłuchuje transmisje, szukając przydatnych danych, które może ukraść.

Zarówno aktywne, jak i pasywne podsłuchiwanie to rodzaje ataków MITM. Jednym z najlepszych sposobów zapobiegania im jest szyfrowanie danych, co uniemożliwia hakerowi wykorzystanie ich, niezależnie od tego, czy stosuje podsłuch aktywny, czy pasywny.

23. Urodzinowy atak

W ataku urodzinowym osoba atakująca nadużywa funkcji bezpieczeństwa: algorytmów mieszających, które służą do weryfikacji autentyczności wiadomości. Algorytm haszujący jest podpisem cyfrowym, a odbiorca wiadomości sprawdza go przed zaakceptowaniem wiadomości jako autentycznej. Jeśli haker może utworzyć hash, który jest identyczny z tym, co nadawca dołączył do swojej wiadomości, haker może po prostu zastąpić wiadomość nadawcy własną. Urządzenie odbierające to zaakceptuje, bo ma odpowiedni hash.

Nazwa „atak urodzinowy” odnosi się do paradoksu urodzinowego, który polega na tym, że w pokoju 23 osób istnieje ponad 50% szansa, że dwie z nich mają urodziny tego samego dnia. Dlatego chociaż ludzie myślą, że ich urodziny, podobnie jak hasze, są wyjątkowe, nie są one tak wyjątkowe, jak wielu myśli.

Aby zapobiec atakom urodzinowym, użyj dłuższych skrótów do weryfikacji. Z każdą dodatkową cyfrą dodaną do skrótu szanse na utworzenie pasującej cyfry znacznie się zmniejszają.

24. Atak na Internet rzeczy (IoT).

Urządzenia Internetu rzeczy (IoT), takie jak inteligentne głośniki, telewizory i zabawki, również mogą być celem cyberataków. Atak IoT ma miejsce, gdy hakerzy kradną dane z urządzenia — lub łączą wiele urządzeń IoT w botnet — który może zostać wykorzystany do ataków DDoS. Urządzenia IoT zwykle nie mają zainstalowanego oprogramowania antywirusowego, co czyni je łatwym celem dla hakerów. Wiele z największych na świecie ataków DDoS wykorzystywało „armie botów” złożone z urządzeń IoT. Może się to wydawać mało prawdopodobne, ale nawet Twoja „inteligentna lodówka” może być nieświadomym żołnierzem w cyberataku.

25. BotNet

Potoczna nazwa sieci komputerów-zombie, czyli komputerów pozostających pod kontrolą hakerów z wykorzystaniem wirusów, koni trojańskich itp. Według statystyk ok. 1/3 komputerów w Internecie to sprzęt, nad którym kontrolę przejęli hakerzy. Użytkownik  komputera-ofiary zwykle nie ma o tym pojęcia. Komputery wchodzące w skład BotNetu wykorzystywane są najczęściej do przeprowadzania ataków typu DoS lub do wysyłania spamu. Aby uchronić się przed opanowaniem komputera przez crackera i dołączenia do grona członków BotNetu, należy stosować zaktualizowany program antywirusowy i zaporę ogniową (firewall).

26. Worms / Robaki

Szkodliwe oprogramowanie, które do rozprzestrzeniania się wykorzystuje zasoby sieci. Klasa ta nazwana została robakami z powodu jej specyficznego działania przypominającego ,,pełzanie” z komputera na komputer przy korzystaniu z sieci, poczty elektronicznej i innych kanałów informacyjnych. Dzięki temu tempo rozprzestrzeniania się robaków jest bardzo szybkie.

27. Kruegerware lub Kruegerapps

Nazwa złośliwego oprogramowania, które jest trudne do naprawienia. Nazwa pochodzi od Freddy’ego Kruegera, postaci z filmu ,,Koszmar z ulicy Wiązów” i nawiązuje do zdolności powracania do istnienia. Wirusy takie odtwarzają się nawet po usunięciu z komputera, na przykład po wykorzystaniu mechanizmu odzyskiwania systemu Windows. Najczęściej to określenie tyczy się wirusów komputerowych, malware i spyware.

28. Spyware

Oprogramowanie, które pozwala na zbieranie danych na temat konkretnego użytkownika lub organizacji, która nie jest tego świadoma. Ofiara jest całkowicie nieświadoma obecności spyware na komputerze.

Spyware to rodzaj oprogramowania, które trudno wykryć. Gromadzi informacje na temat Twoich zwyczajów, surfowania w Internecie, historii przeglądania lub poufne dane (takie jak numery kart kredytowych), często korzysta z Internetu, aby przekazać te informacje osobom trzecim bez twojej wiedzy.

29. Broweser hijacker lub porywacz przeglądarek

Złośliwe oprogramowanie, które po kryjomu zmienia ustawienia przeglądarki internetowej użytkownika. Może to wprowadzić do zmiany domyślnej strony startowej przeglądarki, przekierowania na niepożądane strony WWW, dodanie nieproszonych (czasami pornograficznych) zakładek lub generowanie niechcianych okien wyskakujących (pop-up). Do usuwania hijackerów służą programy antywirusowe. Powstały również specjalne programy do usuwania hijackerów.

30. IP Spoofing

Termin określający przekłamywanie wyjściowego adresu IP w wysyłanym przez komputer pakiecie sieciowym. Takie działanie może służyć ukryciu tożsamości atakującego (np. w przypadku ataków DoS), stwarzaniu pozorów innego użytkownika sieci i ingerowanie w jego aktywność sieciową lub wykorzystaniu uprawnień posiadanych przez inny adres.

31. Jokes

Oprogramowanie, które nie szkodzi, ale komputer wyświetla wiadomości, że szkodnik spowodował uszkodzenie lub je spowoduje. Często ostrzega użytkownika o istniejącym niebezpieczeństwie, np. wyświetla komunikaty o formatowaniu dysku twardego (choć formatowanie nie jest wykonywane), wykrywa wirusy w niezainfekowanych plikach itp.

32. Riskware

Oprogramowanie, które nie jest wirusem, ale zawiera w sobie potencjalne zagrożenie. W niektórych warunkach obecność riskware na komputerze oznacza zagrożenie dla zapisanych danych.

33. Poachware

Z ang. to poach – kłusować, nielegalnie polować. Rodzaj oprogramowania szpiegowskiego, nastawionego głównie na zdobywanie wrażliwych danych typu nazwy użytkownika czy hasła.

34. Crimeware

Program szpiegujący gromadzący poufne dane użytkownika komputera, umożliwiające uzyskanie dostępu do rachunków bankowych lub usług finansowych.

35. Bundleware

Sposób dystrybucji oprogramowania przez dołączenie go do innego, popularnego programu. W ten sposób rozpowszechniane są także programy szpiegujące, a nieświadomi użytkownicy sami je instalują.

36. Rootkit

Rootkit to określenie złośliwego oprogramowania, które zostało stworzone, aby zainfekować komputer i zainstalować w nim narzędzia, gwarantujące trwały, zdalny dostęp. Zainstalowane mechanizmy, sprawiają, że użytkownik nie ma pełnej kontroli nad funkcjonowaniem systemu swojego komputera, a jednocześnie nawet o tym nie wie. Rootkit może zawierać mechanizmy przechwytujące naciśnięcia klawiszy na klawiaturze, moduły przechwytujące hasła, dane kart kredytowych i informacje z aplikacji bankowych, a to w dalszym ciągu, nie wszystko…

Złośliwe oprogramowanie znajduje się zazwyczaj, gdzieś głęboko w systemie operacyjnym. Ukrywa się tak sprytnie i działa tak bezszelestnie, że przeciętny użytkownik, na pewno nie będzie w stanie go zauważyć, gdyż nawet programy antywirusowe, często mają problem z ich odnalezieniem! Rootkit może bowiem posiadać, możliwość wyłączania systemów zabezpieczeń komputera i funkcje, kontrolujące nawet wyspecjalizowane w ich wyszukiwaniu programy antywirusowe, by błędnie informowały, że system jest czysty.

37. Keylogger

To rodzaj oprogramowania  lub urządzenia rejestrującego klawisze naciskane przez użytkownika. Na ogół są spotykane w wersji programowej, rzadziej w sprzętowej. Keylogger może być zarówno szkodliwym oprogramowaniem służącym do zbierania haseł i innych poufnych danych, jak i oprogramowaniem celowo zainstalowanym przez pracodawcę np. w celu kontrolowania aktywności pracowników. Przechwytuje wszelkie informacje wprowadzane za pomocą klawiatury, np. hasła czy loginy.

38. Spam

Anonima, niepożądana masowa korespondencja pocztowa. Spam jest odbieraną wiadomością polityczną lub propagandową zawierającą prośby o pomoc. Inną kategorią spamu są również wiadomości oferujące wygranie wielkiej sumy pieniędzy, a maile służą do kradzieży haseł i numer kart kredytowych.

39. Likejacking

Rodzaj phishingu polegającego na gromadzeniu fanów poprzez automatyczne ,,polubienie” danego profilu lub strony na Facebooku. Użytkownik jest wabiony atrakcyjną treścią umieszczoną na wallu swojego znajomego (najczęściej o treści erotycznej), jednak w linku nie kryje się obiecywana zawartość. Po kliknięciu ten wpis przenoszeni jesteśmy do strony, która powoduje automatyczne ,,polubienie” jej przez nas bez naszej wiedzy i umieszczenie tej informacji na naszym profilu. Dzięki temu taki spam szybko rozprzestrzenia się wśród kolejnych osób, zazwyczaj na docelowej stronie znajduje się również szkodliwe oprogramowanie (trojany, wirusy itp.), które dodatkowo narażają użytkownika na niebezpieczeństwa.

40. Tabnapping

Z ang. tab kidnapping – porywanie zakładek. Rodzaj ataku sieciowego typu phishing, które polega na wykorzystywaniu faktu otwierania stron w wielu zakładkach przeglądarki internetowej. Polega na tym, że witryna atakująca podmienia zwartość innej strony znajdującej się w innej zakładce przeglądarki. Jeśli podmienioną w tle stroną jest np. strona banku, użytkownik może przypadkowo próbować się zalogować na podszywającą się pod prawdziwą witrynę banku spreparowaną stronę, która zdobędzie hasła do naszego konta bankowego.

41. Vishing

Nowa metoda oszustwa, mająca swoje podstawy w phishingu, polegająca na tym, że oszuści wykorzystujący telefonię internetową starają się podszywać przede wszystkim pod instytucje finansowe. Jedną z praktykowanych przez nich metod jest rozesłanie spamu, w którym podawany jest numer 0-800, pod którym odbiorca e-maila powinien zaktualizować swoje dane konta bankowego. Po wykręceniu podanego numeru włącza się automat, który prosi ofiarę o podanie konkretnych danych dostępowych do konta.

Podsumowanie

Na tym zakończymy dość obszerną część dotyczącą rodzajów zagrożeń. W kolejnej serii zajmiemy się grupami przestępczymi oraz statystykami ataków.

Informacje te są potrzebne dla szerszego zrozumienia rodzajów zagrożeń. Mając świadomość na temat rodzajów ataków, jesteśmy w stanie bliżej zrozumieć, w jaki sposób można się chronić. A dokładnie czego nie robić i na co uważać w sieci.

Źródła:

[1] https://www.telepolis.pl/tech/sprzet/geforce-rtx-4090-lamanie-hasel-bezpieczenstwo-wydajnosc
https://www.europarl.europa.eu/news/pl/headlines/society/20220120STO21428/cyberbezpieczenstwo-glowne-i-nowe-zagrozenia-w-2021-r-infografiki
https://www.gov.pl/web/baza-wiedzy/zagr-techniczne
https://www.mass.gov/service-details/know-the-types-of-cyber-threats
https://www.aura.com/learn/types-of-cyber-attacks
https://www.techtarget.com/searchsecurity/tip/6-common-types-of-cyber-attacks-and-how-to-prevent-them
https://www.cyber.gov.au/acsc/individuals-and-families/threats
https://www.fortinet.com/resources/cyberglossary/types-of-cyber-attacks
https://pl.wikipedia.org/
https://www.crowdstrike.com/cybersecurity-101/cyberattacks/most-common-cyberattacks/
https://trojanczyk.pl/zrozumiec-cyberbezpieczenstwo/