Cyberprzestępcy nie muszą „hackować”. Po prostu się logują
Autor. Freepik.com
Niejednokrotnie na filmach pokazuje się cyberprzestępców jako kogoś, kto używa niesamowicie skomplikowanych technik do uzyskania dostępu. Czasami faktycznie tak jest, choć nie jest to regułą. Należy pamiętać o tym, że wielu incydentom można było zapobiec poprzez stosowanie dwuetapowego uwierzytelniania czy unikalnych haseł.
Cyberprzestępcy mogą uzyskiwać dostęp do systemów na różne sposoby. Wśród najpopularniejszych wektorów należy wymienić m.in. wykorzystanie podatności w oprogramowaniu – mowa tutaj zarówno o przestarzałych systemach oraz 0-day’ach, czyli podatnościach, które dotychczas nie zostały załatane przez producenta.
Kluczowe jest to, że cyberprzestępcy wcale nie muszą szukać podatnych systemów, aby uzyskać nieuprawniony dostęp do danych. Czasem wystarczy zdobyć poświadczenia logowania, co pokazują raporty dotyczące wycieków danych.
Czytaj też
Logowanie, nie „hackowanie"
Raporty globalnych firm jednoznacznie pokazują, że logowanie do systemów wciąż jest jednym z głównych sposobów na zdobycie pierwszego dostępu do infrastruktury (ang. initial access).
W raporcie Verizon dot. wycieków danych za 2024 rok możemy zobaczyć, że według VERIS (metodyki opisywania incydentów) dominującym działaniem podczas wycieków danych jest wykorzystanie skradzionych danych logowania – dotyczyło to 24% takich zdarzeń. Jednocześnie, udział „ludzkiego elementu” zarejestrowano w przypadku 68% wycieków danych. Należy jednak podkreślić, że procentowy udział wykorzystania danych logowania oraz phishingu zmalał na przestrzeni czterech lat, lecz nadal jest dominujący.
W analizie Mandianta dot. trendów za 2025 rok wykorzystanie wykradzionych danych logowania zajęło drugie miejsce na liście wektorów ataku. Jednocześnie, pierwsze miejsce niezmiennie zajmują exploity. W opracowaniu stwierdzono, że wykorzystanie infostealerów (złośliwego oprogamowania wykradającego dane) wciąż rośnie.
CrowdStrike w artykule z lutego 2025 podkreślił, że 79% ataków mających na celu uzyskanie pierwszego dostępu do infrastruktury nie wykorzystuje złośliwego oprogramowania. Jednocześnie podkreślono, że reklamy tzw. access brokerów (osób zajmujących się handlem danymi logowania) wzrosły o 50% w stosunku do poprzedniego roku.
Realne incydenty
W sieci cyklicznie pojawiają się tzw. combolisty, czyli pliki tekstowe zawierające dane logowania – zazwyczaj w formie „[mail]:[hasło]”. Na łamach naszego portalu opisywaliśmy podobne przypadki, m.in. upublicznienie 21 mln rekordów dot. polskich użytkowników oraz wyciek danych 140 tys. unikalnych kont wraz z wskazaniem portalu, na których zostały wykorzystane.
Przykładem incydentu z realnymi skutkami dla niecałych 200 osób było upublicznienie danych uczniów z platformy SIOEZ CKE z kwietnia br. Do zdarzenia doszło wskutek ponownego wykorzystania hasła przez jednego z pracowników polskiej szkoły. „Z ustaleń CKE wynika, że nieautoryzowany dostęp był możliwy, gdyż pracownik szkoły wykorzystywał to samo hasło do prywatnych celów” - przekazała nam wówczas Komisja.
Nie wykorzystano wówczas żadnej podatności w oprogramowaniu – cyberprzestępca po prostu użył uprzednio zdobytego loginu i hasła.
Głośnym przypadkiem był atak ransomware na Colonial Pipeline w USA, który miał miejsce w 2021 roku. Reuters stwierdził, żecyberprzestępcom udało się uzyskać dostęp do infrastruktury za pomocą „pojedynczego hasła” do VPN-a, który nie wymagał dwuetapowego uwierzytelniania.
Czytaj też
Wodociągi i oczyszczalnie
Odbiegając nieco od świata IT, niejednokrotnie niedostateczny poziom zabezpieczeń widzimy w świecie OT. W Polsce byliśmy świadkami wielu ataków na stacje uzdatniania wody i oczyszczalnie ścieków. Ofiary ataków w dużej mierze wykorzystywały nieskomplikowane hasła do paneli sterowania, np. czteroznakowe - taką długość wymuszało dane środowisko.
W przypadku wspomnianej infrastruktury ICS/OT w sektorze wodno-kanalizacyjnym – panele sterowania nigdy nie powinny być widoczne z poziomu sieci, nawet przy silnych hasłach, o czym pisał CERT Polska już w maju 2024 roku. W przypadku niektórych środowisk hasła są ograniczone do kilku znaków (np. ośmiu) oraz nie posiadały maksymalnej liczby prób, co umożliwiało atak brute-force.
O skali stosowania prostych haseł dobrze pokazuje liczba znalezionych VNC z niedostatecznym poziomem zabezpieczeń. CERT Polska znalazł 299 takich instancji w ramach swoich działań, co opisano w raporcie za zeszły rok.
Proste remedium
Musimy się nauczyć, że hasło nie jest wystarczającym zabezpieczeniem. W dzisiejszych czasach koniecznością staje się wykorzystanie dwuetapowego uwierzytelniania – wszędzie tam, gdzie to możliwe. Oczywiście nie jest to panaceum na wszystkie bolączki związane z przejmowaniem kont, lecz pozwala znacząco zmniejszyć prawdopodobieństwo takiego zdarzenia.
Rekomendowanym drugim składnikiem są klucze fizyczne (U2F), lecz kody z aplikacji uwierzytelniających czy SMS-ów potrafią zapobiec wielu próbom ataku. Jednocześnie, kluczowe jest stosowanie unikalnych haseł. W tym celu zalecane jest korzystanie z menedżerów haseł.
Microsoft stwierdził, że 99,9% przejętych kont w ich środowisku nie wykorzystywało dwuetapowego uwierzytelniania.
Incydenty w sektorze wodno-kanalizacyjnym pokazują również, że nie powinniśmy wystawiać usług do Internetu, jeśli nie jest to konieczne.
Inwestycje w „wysokopoziomowe” cyberbezpieczeństwo mogą być bezcelowe bez odpowiednich fundamentów.
Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do formularza w zakładce „Kontakt” (u dołu strony).
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?