Atak na skrzynki mailowe polskiej firmy. Dbaj o 2FA

Pod koniec listopada br. polska spółka akcyjna poinformowała o możliwym naruszeniu ochrony danych osobowych, który miał miejsce dwa dni wcześniej. Z racji na prośbę o zachowanie poufności zawartą w zawiadomieniu nie wskazano jej nazwy w artykule.

Zgodnie z komunikatem, nieznane osoby miały „nielegalnie uzyskać dostęp do skrzynek poczty elektronicznej” trzech pracowników. Następnie dojść do rozsyłania maili, gdzie cyberprzestępcy podszywali się pod pracowników firmy. Wiadomości miały zawierać link do pobrania pliku, co zostało uznane za potencjalnie niebezpieczną treść. Warto podkreślić, że organizacja odpowiedzialnie podeszła do incydentu w zakresie m.in. informowania osób oraz świadomości powagi zdarzenia.

Wśród działań naprawczych wymieniono m.in.:

• wylogowanie wszystkich zalogowanych urządzeń;
• zmianę haseł wraz z dwuetapowym uwierzytelnianiem przez SMS lub aplikację;
• przeskanowanie komputerów pod kątem złośliwego oprogramowania;
• zgłoszenie incydentu do UODO, CERT Polska i prokuratury;
• zlecenie przeprowadzenia audytu.

Zakres ewentualnego naruszenia i skutki

Obecnie nie stwierdzono, czy cyberprzestępcy uzyskali nieuprawniony dostęp do danych, lecz słuszne jest założenie spółki, że takie zdarzenie mogło mieć miejsce z racji na przełamanie zabezpieczeń konta. Wśród rodzajów danych, które mogły ulec naruszeniu ochrony, wskazano m.in.:

• imię i nazwisko;
• e-mail;
• telefon kontaktowy;
• dane z zawartych umów;
• numer PESEL lub seria i numer dokumentu tożsamości.

Warto podkreślić, że skutki zdarzenia mogą wykraczać poza zaatakowaną organizację. Firma przestrzegała przed otwieraniem podejrzanych załączników (np. w formatach RAR czy ZIP) i linków. Zaznaczyła również, że może dochodzić do prób wyłudzenia danych osobowych.

Kolejny taki incydent

„(…) jest tego mnóstwo, ale pierwszy raz widzę, by ktoś się publicznie przyznał…” – skwitował jeden z naszych czytelników w komentarzu na LinkedIn pod artykułem dotyczącym naruszenia ochrony danych osobowych wskutek udanego ataku phishingowego na skrzynki pocztowe, co niedawno opisywaliśmy na naszych łamach.

Bezpośrednie wskazanie phishingu jako wektor ataku nie jest codziennością, lecz wiemy, że najprawdopodobniej w ten sposób doprowadzono do wypisania kilkudziesięciu fałszywych recept – celem udanego ataku była wrocławska lekarka, której konto przejęli cyberprzestępcy.

W kwietniu br. informowaliśmy o nieuprawnionym dostępie do skrzynek mailowych, które należały do polskich podmiotów publicznych. Podobne zdarzenie miało również miejsce w jednym z ośrodków pomocy społecznej kilka miesięcy temu.

Jak się chronić?

Cyberprzestępcy pozyskują dane logowania do kont na różne sposoby, takie jak:

• działanie złośliwego oprogramowania (np. infostealery;
• phishing (wyłudzenie poświadczeń logowania poprzez podszywanie się pod inną stronę, np. Outlooka);
• wycieki danych (upublicznienie funkcji skrótu haseł).

W celu jak najlepszej ochrony kont, zarówno służbowych i prywatnych, rekomenduje się korzystanie z dwuetapowego uwierzytelniania (2FA). Nie ochroni to nas przed wszystkimi rodzajami nieuprawnionego dostępu - co pokazała historia Troya Hunta, założyciela HaveIBeenPwned - lecz pozwoli uniknąć ataków opierających się na wykorzystaniu loginu i hasła. Dzięki temu nasze konto będzie chronione za pomocą dodatkowego składnika, takiego jak jednorazowy kod (z SMS lub aplikacji) czy wykorzystanie klucza fizycznego.

W przypadku 2FA zaleca się rozważenie kluczy fizycznych (U2F) lub tzw. „passkeys” z racji na większy poziom bezpieczeństwa względem jednorazowych kodów (OTP). Warto również korzystać z menedżerów haseł, dzięki czemu będą one odpowiednio skomplikowane i unikalne.

Hasła i apel

Zachęcamy do zapoznania się z analizą haseł Polaków na bazie czterech zbiorów, opublikowaną na łamach naszego portalu. Długość haseł, zarówno złamanych hashy jak i wykradzionych poprzez działanie infostealera, raczej nie napawa optymizmem.

Warto zadbać o silne i unikalne hasła, dzięki temu wyciek loginu i funkcji skrótu hasła (hasha) nie umożliwi przejmowania kont bez 2FA. Wbrew pozorom, obecnie lepszym haseł jest np. „Lub13J3scOrz3szkiZ1emne3” niż  „Bezpieczne()$%”, co opisano w poradniku CERT Polska o hasłach.

„Nie wiedziałam, że te dwuetapowe logowanie może być takie ważne. (…) Gdybym miała ją włączoną, zapewne nie byłoby całej tej sytuacji” - przekazała nam Amelia, której konto na Facebooku zostało wykorzystane przez cyberprzestępców do wykradania środków finansowych od znajomych.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.