Najważniejsze przyczyny zainteresowania hakerów samorządami: JST mogą być „punktem wyjścia” do dalszych ataków. Samorządy gromadzą wiele cennych danych – zwłaszcza osobowych. Zabezpieczenia JST postrzegane są jako słabsze niż w przypadku firm. Samorządy nie posiadają zazwyczaj rozbudowanych zespołów IT.W poprzedni piątek, w kampanii Apteczka Security opisywaliśmy jak poradzić sobie w sytuacji, w której hacker przejmie kontrolę nad samochodem (zhackuje go). W tym tygodniu napiszemy o tym, jak sobie poradzić ze “zhakowaną” pocztą elektroniczną oraz jak sprawdzić czy Twoje dane, hasło i e-mail wyciekły do Internetu. Czy zdarzyło Ci się kiedyś, że nie mogłeś się zalogować na własne konto e-mail albo miałeś wrażenie, że ktoś przeczytał wiadomości, których jeszcze Ty nie przeczytałeś? To tylko niektóre symptomy, że coś może być nie tak z Twoim kontem pocztowym. Przejęcia skrzynek pocztowych są najczęstszym i zarazem najłatwiejszym sposobem ataku dla cyberprzestępców. Wielu zaatakowanych użytkowników nie ma nawet świadomości, że od kilku dni ktoś może czytać ich korespondencję. Dowiadujemy się o tym najczęściej post factum, gdy coś się wydarzy, zostaną skasowane maile i kontakty lub gdy ktoś z Twoich znajomych otrzyma od Ciebie „głupiego maila”. W najgorszym przypadku dowiesz się o tym, gdy utracisz dostęp do skrzynki. Wtedy jest już za późno. Dla osób, które używają poczty elektronicznej w codziennej pracy skutki zhakowania mogą być katastrofalne. Pomimo obecności innych mediów społecznościowych (Facebook, Twitter, LinkedIn, itp.) oraz aplikacji (Watsapp, Messanger) wspomagających komunikację i wymianę informacji, nadal dla większości interakcji osobistych jak również dla kontaktów między przedsiębiorstwami w dużej mierze polegamy na e-mailach. Pocztę używamy także do potwierdzeń w usługach finansowych, często możemy znaleźć w niej dane osobiste, numery kont, a nawet hasła. Jest naszym osobistym „cyfrowym portfelem” i wielu użytkowników nie posiada tej świadomości, dopiero uzyskuję ją po incydencie. Włamanie do poczty elektronicznej często jest wstępem do kradzieży tożsamości i początkiem dużego problemu. Istnieje wiele sposobów, za pomocą których można zminimalizować ryzyko wystąpienia powyższego problemu. Pisaliśmy o tym w artykule jak rozpoznać podejrzane wiadomości e-mail. Niemniej jednak nic nie jest niezawodne i nikt nie jest doskonały, więc prawdopodobieństwo, że będziemy mieli problem dotyczący włamania do naszej skrzynki pocztowej i będziemy narażeni w pewnym momencie np. na atak phishingowy, jest stosunkowo wysokie. Moja poczta została zhackowana! Co robić? Jeśli problem dotyczy Twojej głównej skrzynki pocztowej, której adresem posługujesz się na wielu portalach internetowych lub nawet w komunikacji z partnerami biznesowymi, znajomymi, bankiem, skrzynką EPUAP itp., powiemy krótko – masz duży problem. Ale spokojnie, nie denerwuj się, usiądź spokojnie i uważnie przeczytaj poniższe wskazówki. Z pewnością Ci się przydadzą i będziesz dalej mógł wymieniać maile:) Wskazówka nr 1 – Nie wpadaj w panikę. Spokój i opanowanie w sytuacji kryzysowej jest najcenniejszą cechą, ponieważ w nerwach możesz wykonać szereg niepotrzebnych czynności, które mogą Cię jeszcze bardziej pogrążyć lub nawet zdekonspirować. Być może to, że nie możesz zalogować się do poczty wcale nie oznacza, że zhakowano Ci konto – być może dostawca poczty lub dział IT w Twojej firmie w danej chwili ma problem z serwerem pocztowym lub z jakimś mechanizmem uwierzytelniania. Sprawdź, na forach u operatora lub na stronie lub skontaktuj się z działem IT w firmie i spytaj, czy występuje obecnie jakiś problem z serwerem poczty – na pewno ktoś go wcześniej zgłosił. Pamiętaj też, że sytuacje podwyższonego ryzyka wzmagają aktywność cyberprzestępców, ponieważ wiedzą oni, że czujność mechanizmów bezpieczeństwa może być zachwiana, użytkownicy postępują chaotycznie co może doprowadzić do szeregu innych pomyłek. Zwracaj na to uwagę. Jeśli okaże się, że z serwerem pocztowym jest wszystko w porządku, a Ty nadal nie możesz się zalogować przejdź do kolejnego kroku. Wskazówka nr 2 – Zmiana hasła do poczty. W sytuacji, w której widzisz, że coś jest nie tak z wiadomościami w poczcie lub otrzymałeś informację, że są wzmożone ataki na Twojego dostawcę poczty, najlepiej zmienić na niej hasło. Ustaw silniejsze hasło np. na takie jak zalecaliśmy w artykule tutaj. Przy tworzeniu hasła warto abyś pamiętał, żeby nie było one oczywiste dla atakującego i składnia nie była zbyt prosta. Warto też zabezpieczyć możliwość zalogowania się do poczty o dodatkowe uwierzytelnienie dwuskładnikowe. Część z dostawców poczty takich jak Gmail, czy Microsoft oferuje takie dodatkowe zabezpieczenie. Dzięki niemu, nawet jak cyberprzestępca przejmie Twoje hasło, nie będzie mógł zalogować się na pocztę. Fakt ten nie oznacza, że w danej sytuacji nie powinieneś zmienić hasła. Ludzie używają tych samych haseł w wielu miejscach, więc przejęcie jednego może oznaczać możliwość zalogowania się gdzie indziej, ale o tym później. Wskazówka nr 3 – Spróbuj odzyskać dostęp do konta. Jeśli cyberprzestępca po zhackowaniu Twojego konta zmienił na nim hasło, postępuj zgodnie ze wskazówkami z centrum pomocy serwisu poczty e-mail. Liczące się serwisy hostingowe, które utrzymują dla użytkowników skrzynki pocztowe z pewnością stawiają na bezpieczeństwo i oferują różne opcje zmiany hasła (reset hasła przy użyciu alternatywnego adresu e-mail lub na SMS). Podobnie jest to realizowany wśród dużych operatorów poczty takich jak Office365 lub GMail. W niektórych przypadkach hasło lub dostęp do poczty możesz odzyskać odpowiadając na pytania pomocnicze, lecz pamiętaj, że po odzyskaniu hasła warto je też zmienić na nowe. Kreatywność przy ich tworzeniu jest jak najbardziej wskazana, żeby nie były zbyt trywialne do odgadnięcia. Innym sposobem zmiany hasła oferowany przez niektórych dostawców jest podanie alternatywnego maila lub numeru telefonu, na który przychodzi kod resetujący. Warto też, abyś ustawił w ustawieniach poczty powiadomienia wysyłane do Ciebie w momencie zmiany hasła lub użył mechanizmu potwierdzania zamiany np. poprzez kod wysyłany na SMS. Będziesz wtedy bardziej zabezpieczony przed tym incydentem i poinformowany, czy robił to ktoś inny. Wskazówka nr 4 – Skontaktuj się z operatorem poczty i zgłoś mu incydent. Informując o incydencie operatora poczty możesz uzyskać od niego dalszych informacji na temat charakteru i źródła ataku. Operator powinien przechowywać logi z aktywności logowania się do Twojej poczty, z których można się dowiedzieć kiedy, skąd oraz nawet z jakiego urządzenia odbywało się logowanie i z jakiej wersji przeglądarki. Również będzie on “ostatnią deską ratunku” do umożliwienia Ci dostępu do skrzynki pocztowej, w której standardowe procedury odblokowania nie zadziałają. Lecz w tym przypadku możesz liczyć się z tym, że cały ten proces może zająć dłuższy okres czasu, ponieważ przy tego typu działaniu muszą zostać dopełnione wszelkie formalności związane z potwierdzeniem Twojej prawdziwej tożsamości. Pamiętaj, że najlepiej zrobić to jak najszybciej, ponieważ im dłużej zwlekasz tym bardziej narażone są Twoje usługi ochrony tożsamości tj.: dostęp do konta bankowego, firmy ubezpieczeniowej, czy kart kredytowych. Wskazówka nr 5 – Niezwłocznie powiadom znajomych. Możesz to zrobić w mediach społecznościowych lub wysyłając im e-maila (jeśli oczywiście masz do niego dostęp) lub dzwoniąc do nich. Skuteczną metodę dla Ciebie wybierzesz na pewno sam. Pamiętaj, że przejęcie Twojej poczty oznacza przejęcie całej korespondencji, kontaktów i załączników w niej zawartych. Cyberprzestępca na pewno wcześniej, czy później z tego skorzysta albo już skorzystał. Może też używać Twojej poczty do atakowania innych osób, aby bardziej uwiarygodnić się wśród Twoich adresatów. Wskazówka nr 6 – Nie lekceważ ustawień osobistych poczty e-mail. Zmiana takich ustawień jak alternatywny adres email czy numer telefonu, na który mają trafiać wszelkie powiadomienia może spowodować, że cyberprzestępca odetnie Tobie dostęp do możliwości zmiany hasła lub odblokowania konta opisywanego powyżej. Wtedy nie pozostanie nic innego, jak skorzystanie ze wskazówki nr 4. Haker może również zmienić pytania pomocnicze otwierając sobie tylną furtkę do Twojej poczty. Po ataku należy zwrócić na to uwagę i je zmienić. Wskazówka nr 7 – Sprawdź foldery w poczcie i skontaktuj się z administratorem poczty. Skrzynka nadawcza, elementy wysłane, robocze lub usunięte mogą zawierać ślad czy z Twojej skrzynki nie były wysyłane/kasowane inne maile. Jeśli przestępca ukrył po sobie taką aktywność, na pewno informacje o jego aktywności znajda się w logach transakcyjnych serwera pocztowego. W tym celu najlepiej jakbyś udał się do swojego operatora poczty lub poprosił administratora poczty w firmie o sprawdzenie, gdzie były wysyłane maile. Upewnisz się wtedy, czy zostałeś zhakowany zakładając, że doskonale pamiętasz, kiedy i do kogo jakie maile wysyłałeś. Inną sprawą są dane jakie umieszczają użytkownicy w poczcie. Większość z nich są to dane osobowe i finansowe. Jeśli takie masz powinieneś poinformować swoich kontrahentów, że mogły wypłynąć i dostać się w niepowołane ręce. Wskazówka nr 8 – Przeskanuj swój komputer. Jeśli doszło do ataku na Twoją pocztę najprawdopodobniej nie skończyło się tylko na niej. Mogłeś otworzyć w niej złośliwy załącznik (przykład z opisem znajdziesz tutaj oraz w artykule o Allegro), który zainfekował wirusem Twój komputer i dzięki temu cyberprzestępca uzyskał do niego dostęp. Może też kontrolować i monitorować wszystko co na nim robisz instalując na nim trojana. Przeskanowanie komputera przez zaktualizowane oprogramowanie antywirusowe może pomóc w wykryciu szkodliwego oprogramowania, ale też nie zawsze. Ale o tym napiszemy kiedy indziej. Wskazówka nr 9 – Zmiana haseł w innych systemach i stronach WWW. Jeśli używasz tego samego hasła w innym systemie, aplikacji, portalu, banku lub poczcie najlepiej je zmień. Często ułatwiamy sobie w ten sposób życie – cyberprzestępcy o tym wiedzą. Poczta e-mail to zbiór wszelkich komunikatów aplikacji czy potwierdzeń z innych portali, banków, w których masz zarejestrowane swoje konto. Twój e-mail, na który włamał się hacker zawiera wskazówki, które doprowadzą cyberprzestępców do tych właśnie portali. Wskazówka nr 10 – Bądź czujny i obserwuj! Jeśli cyberprzestępca przejmie Twoją skrzynkę, uzyska najprawdopodobniej dane takie jak numer ubezpieczenia, dowodu, numer konta lub nawet hasła do innych usług. To tak jakbyś zgubił portfel. Twój adres e-mail jest ważnym elementem Twojego portfela tożsamości, co oznacza, że możesz zminimalizować ryzyko niebezpieczeństwa kontrolując sytuację na bieżąco, a w razie konieczności w szybkim czasie zredukować szkody do minimum. Obserwuj aktywności na wszystkich portalach, do których masz dostęp. Jeśli zauważysz jakieś błędne logowania do konta w Twoim banku to sygnał, że dzieje się coś niepokojącego. Czy moje dane, hasło i e-mail wyciekły do Internetu? Oprócz naszych wskazówek odnośnie zachowania się w sytuacji, gdy Twoje konto pocztowe zostało zhackowane, warto skorzystać z ciekawego portalu w Internecie, który sprawdzi czy nasze dane wyciekły i krążą po Darknecie. Strona dostępna jest pod adresem Wystarczy podać w niej w polu wyszukiwania adres e-mail lub login, aby przekonać się czy konto zostało przechwycone. Strona sprawdzi w swojej bazie, czy konto zarejestrowane na Twoj adres email zostało już kiedykolwiek skradzione i udostępnione publicznie. Jeśli tak, dowiesz się w jakich serwisach doszło do złamania zabezpieczeń i wycieku danych. Pamiętaj, że jeśli nie otrzymasz w portalu żadnych wyników nie daje pewności, że Twoje konto nie zostało zhakowane. Po prostu jest to dodatkowe źródło danych, które możesz sprawdzić od czasu do czasu. Ciekawą funkcjonalnością na portalu jest możliwość uruchomienia powiadomień za każdym razem, gdy Twój adres email pojawi się w nowym wycieku oraz możliwość sprawdzenia czy hasło, którego chcecie użyć pojawiło się w dowolnym z wycieków. Warto przetestować stare hasła, jeśli dawno ich nie zmienialiśmy. Można to zrobić albo z poziomu wyszukiwarki na stronie albo ściągnąć bazę wszystkich haseł i na własnym dysku je przejrzeć. Czy strona, w której wpisujemy nasze dane takie jak adres e-mail, czy hasło jest bezpieczna? Z pewnością taka aktywność jest monitorowana i byś może przechowywana (chociaż twórca zapewnia, że nie jest), lecz nie o to w tym wszystkim chodzi. Korzystając z niej należy pamiętać, o tym o czym mówi sam twórca serwisu, że nie istnieje nic idealnie bezpiecznego. W związku z tym, jeśli w serwisie wpiszecie hasła, rekomendujemy je zmienić jak najszybciej. Niezależnie od tego czy okazało się, że ktoś je wcześniej wykradł czy nie. Jak zapewnia portal nie zostawiamy tam żadnych danych, a możemy dowiedzieć się bardzo dużo. RocketReach Inną ciekawą stroną do przeszukiwania naszych danych w Internecie jest RocketReach ( Dowiemy się z niej (wymagane jest zalogowanie) między innymi jaki adres e-mail lub telefon posiada szukana osoba podając jedynie jej atrybuty: imię i nazwisko. Portal sprawdzi w wewnętrznej bazie konkretną osobę i pokaże, czy jest ona zarejestrowany w portalach społecznościowych. Podsumowanie Sytuacja, w której niepowołana osoba zdobędzie dostęp do Twojej poczty e-mail, profilu na portalu społecznościowym czy jakiegokolwiek innego konta w sieci, może być dla Ciebie nie tylko niekomfortowa, ale również bardzo nieprzyjemna w skutkach. Istnieje niebezpieczeństwo, że cyberprzestępca dokona zmian w ustawieniach, dotrze do prywatnych informacji, a przede wszystkim ukradnie ważne dane. Pamiętajmy, że wszyscy jesteśmy tylko ludźmi. Popełniamy błędy, dlatego powinniśmy zwrócić większą uwagę na otoczenie, aby chronić osobiste rzeczy, które posiadamy. W dobie cyfryzacji stosowanie się do sprawdzonych i dobrych praktyk na pewno wyjdzie nam na dobre. Nie pozwólmy też, aby przez naszą nieuwagę cyberprzestępcy mogli zrobić krzywdę innym. Nigdy nie myśl „To mi się nie stanie”. Wszyscy jesteśmy zagrożeni, stawką jest Twój osobisty i finansowy dobrobyt oraz pozycja i reputacja firmy, w której pracujesz. Postępując zgodnie z powyższymi wskazówkami zminimalizujesz to ryzyko w sytuacji kryzysowej. Zapraszamy i zachęcamy do czytania innych artykułów z kampanii Apteczka Security, które publikowane będą cotygodniowo w piątki.
Prześlij firmie całą wiadomość phishingową, razem z linkiem i załącznikami, oraz postępuj według instrukcji, które Ci przekaże. W zależności od powagi sytuacji możesz się również skontaktować z instytucją prawną. Informacje o phishingu znajdziesz w oficjalnych komunikatach Ministerstwa Administracji i Cyfryzacji.
Zdarzyło ci się wejść na swoją stronę internetową i zastać tam niepożądane treści? W wyszukiwarce pod adresem strony wyświetlał się komunikat “Ta witryna mogła paść ofiarą ataku hakerów”? Nie wiedziałeś jak w tej sytuacji postępować? Postaramy się przedstawić kilka rad, które pomagają działać w tego typu kryzysowych sytuacjach. Hakerskie włamanie: dlaczego mają miejsce w sieci? O włamaniach na strony internetowe słyszy się dość często. Kto ich dokonuje i jaki ma w tym cel? Zwykle na strony internetowe włamują się roboty, umieszczające na serwerze złośliwe pliki wysyłające SPAM lub podmieniające treść na witrynie w celu przekierowania użytkowników na inny adres, a także uzyskania od nich wrażliwych danych. Za tak działające roboty odpowiedzialni są hakerzy, znajdujący luki w systemach komputerowych, często używając gotowych narzędzi służących do testów penetracyjnych i łamania zabezpieczeń, które zawierają gotowe exploity na konkretne wersje oprogramowania zawierające lukę. Dlatego instalowanie aktualizacji jest bardzo istotne. Jak rozpoznać włamanie na stronę internetową? Każda witryna internetowa jest narażona na włamanie hakerskie. Jak rozpoznać, że strona została zhakowana? Może zawierać niepożądane treści, wykonywać niezaplanowane przez właściciela operacje lub w ogóle nie pojawiać się w wyszukiwarkach. Często zdarza się, że witryna wyświetla się przez długi czas w wynikach wyszukiwania, jeżeli jednak Google wykryje, że doszło do włamania, w SERPach pojawia się informacja: „ta strona może wyrządzić szkodę na twoim komputerze”. W konsekwencji wiele osób unika kliknięcia w podany adres z obawy przed infekcją komputera. Ruch na stronie spada, a w przypadku sklepu, klienci przestają dokonywać zakupów. Pozycje mogą ulec obniżeniu w wyszukiwarce, a jak pisaliśmy we wcześniejszym wpisie, wysoka pozycja firmy w wyszukiwarkach jest bardzo istotna (Przeczytaj, dlaczego wysoka pozycja w wyszukiwarkach jest tak istotna). Zainfekowanie witryny możliwe jest do sprawdzenia przez zrobienie renderowania strony np. w Google Search Console, a także przeanalizowanie jej indeksacji (komenda site: w Google), co umożliwia wykrycie zamieszczonych przez hakerów treści i reklam na stronie. Sygnałem o włamaniu na stronę internetową może być również szybko rosnący site strony (czyli ilość podstron w indeksie), np. kilkumilionowy dla sklepu mającego 5 tys. produktów. Ponadto, w sytuacjach kryzysowych z pomocą przychodzi Google, na bieżąco dostarczając informacji o zainfekowaniu witryny przez złośliwy kod. Jeżeli jednak przez długi czas skutki włamania nie są usuwane ze strony, może ona zostać ukarana ręcznym filtrem od Google, możliwym do sprawdzenia w Search Console – ręczne działania. Wszystkie objawy wskazujące na atak hakerski wymagają podjęcia jak najszybszych interwencji administratorów. Site strony American Way, na której zostało wykryte włamanie. Źródła zainfekowania stron www i sposoby na uchronienie się przed atakami hakerów Do włamania na stronę może dojść na wiele sposobów, ale najczęstszymi są kradzieże haseł do witryny, brak aktualizacji oprogramowania, błędy w kodzie, czy wykorzystywanie nielegalnego oprogramowania. Nawet jeżeli wydaje ci się, że twoja strona nie przechowuje żadnych cennych informacji, nie jest interesująca dla hakerów i tym samym jej zagrożenie jest znikome, to możesz się zaskoczyć. Konto hostingowe służy włamującym się na strony jako narzędzie do ataku innych użytkowników sieci, dlatego jest narażone na włamania jak każda inna witryna. Na szczęście, można zapobiegać hakerstwu, unikając tym samym negatywnych, często niełatwych do usunięcia skutków. Pierwszą, prostą, ale bardzo skuteczną metodą, jest używanie jak najbardziej skomplikowanych haseł i ich regularne zmienianie. Złamanie złożonych haseł nie jest tak proste, jak intuicyjnych, słownikowych, zawierających imiona czy daty urodzenia. Należy także unikać loginow “admin” i nie stosować domyślnych linków do logowania, tylko tworzyć dedykowane adresy. W przypadku wyboru darmowych systemów zarządzania treścią, jak Joomla czy WordPress, należy śledzić informacje o aktualizacjach i ewentualnych problemach w powłoce bezpieczeństwa. Uaktualnienia, obok wprowadzania nowych funkcjonalności i poprawek, eliminują pojawiające się problemy. Jednym kliknięciem można uniknąć wielu niepożądanych działań, dlatego tak istotne jest instalowanie aktualizacji na bieżąco. Dodatkowo można korzystać z wtyczek, często bezpłatnych, przypisanych do konkretnych CMSów i mających wiele funkcji zwiększających bezpieczeństwo witryny. Przykładem jest wtyczka Wordfence na WP, która pokazuje podejrzane logowania oraz ich próby i pozwala na zablokowanie IP. Należy jednak pamiętać żeby pobierać je z zaufanych źródeł. Warto także zautomatyzować robienie kopii zapasowych swoich witryn, co ułatwi kroki naprawcze jeżeli dojdzie do włamania. Backup strony pozwala na przywrócenie stanu witryny sprzed włamania bez jakiegokolwiek uszczerbku, dlatego niezwykle ważne jest jego regularne wykonywanie. Można tym sposobem uniknąć utraty zawartości strony jeżeli dojdzie do ataku hakerów. Gdzie zgłosić atak hakera i co zrobić w przypadku włamania na stronę? Nie ma systemów informatycznych, które są całkowicie bezpieczne i trzeba liczyć się z tym, że każda strona internetowa jest narażona na włamanie. Co zrobić, kiedy dojdzie do zhakowana? Likwidowanie źródeł i skutków włamania na stronę www to skomplikowany proces, który polega zarówno na niwelowaniu śladów ataku i zabezpieczaniu przed kolejnymi sytuacjami tego typu. Problem można rozwiązać na dwa sposoby: 1. Przywrócenie kopii zapasowej strony Pierwszym z nich jest przywrócenie kopii zapasowej serwisu. Jeżeli właściciel witryny nie posiada własnej kopii, może wystąpić z prośbą o udzielenie jej do hostingu, który często wykonuje kopie regularnie i ma możliwość ich przywrócenia na życzenie klienta (jeżeli wybieramy hosting, warto zwrócić uwagę, czy realizuje takie usługi i czy nie wykonuje ich za dodatkową dopłatą). Po otrzymaniu kopii zapasowej, która najczęściej umieszczona jest na serwerze w formie spakowanej paczki plików, należy ją rozpakować i zastąpić nią zainfekowane pliki. Najprostszym i najbezpieczniejszym sposobem jest usunięcie z serwera wszystkich plików i wgranie tych, które otrzymaliśmy w kopii zapasowej. Należy pamiętać o tym, że hosting przechowuje zazwyczaj jedną kopię, która wykonywana jest co kilka dni. Jeżeli wirus nie został wykryty od razu i znajduje się na stronie przez okres dłuższy niż tydzień, prawdopodobnie będzie on także w kopii zapasowej. 2. Usunięcie podejrzanych fragmentów kodu Drugim sposobem jest przeanalizowanie kodu źródłowego plików na serwerze i usunięcie z nich fragmentów kodu, które są podejrzane. Ta metoda wymaga bardzo dobrej znajomości języka programowania, w którym strona została napisana. Jeżeli serwis składa się z kilkunastu plików ich sprawdzanie nie jest problematyczne, ale jeżeli jest bardziej złożony i tworzą go tysiące plików, ich analiza staje się niezwykle wymagająca i czasochłonna. Jeśli jesteśmy w stanie określić dokładną datę włamania na stronę, weryfikacja będzie dzięki temu ułatwiona. Możemy wtedy ograniczyć się do zweryfikowania plików zmodyfikowanych od danego dnia, jednak istnieje prawdopodobieństwo przegapienia tych, których data edycji nie uległa zmianie. Do analizy kodu pomocne są również programy antywirusowe do skanowania stron www. Jeżeli oryginalne pliki zostały przywrócone, koniecznie trzeba zmienić dane dostępu do strony. Absolutnym minimum, żeby uniknąć kolejnych włamań, jest zmiana hasła do serwera FTP dla wszystkich kont, a także kont w CMS, jeżeli posiadamy panel zarządzania treścią. Jeśli strona korzysta z bazy danych, dla podniesienia bezpieczeństwa warto zmienić hasło dostępu także do niej. Gdy jesteśmy w stanie określić zakres adresów IP, do których logujemy się na serwer FTP, należy zaznaczyć to w panelu hostingu, co dodatkowo wpłynie na zwiększenie bezpieczeństwa. Ważne jest również sprawdzenie użytkowników w Search Console, którzy utworzyli konta i przeanalizowanie, czy wśród ich nie ma podejrzanych osób, mogących zaszkodzić stronie. Kiedy wirus został usunięty, a w wynikach wyszukiwania wciąż pojawia się informacja, że nasza strona jest niebezpieczna, należy zgłosić prośbę o weryfikację domeny w narzędziach Google Search Console. Kiedy Google sprawdzi stronę, ostrzeżenie powinno zostać usunięte. Lepiej zapobiegać niż leczyć Profilaktyka to sposób na podniesienie bezpieczeństwa każdej witryny. Często włamania internetowe na strony to działania masowe, wykorzystujące konkretne luki w popularnych oprogramowaniach. Jeżeli system CMS będzie aktualizowany na bieżąco, a wtyczki będą pobierane z bezpiecznych źródeł, witryna będzie wspierana przez dodatkowe formy zabezpieczające ją przed atakami, używane hasła będą skomplikowane, a właściciel strony będzie na bieżąco z informacjami na temat systemów, które wykorzystuje i zadba o kopie zapasowe witryny, na pewno prawdopodobieństwo włamania na stronę znacznie się obniży.
Stosuj też wielkie litery. Trudne hasło zmniejsza ryzyko skutecznego ataku hakera. Poświęć dłuższą chwilę, by stworzyć dobre hasło, a nie będziesz tego żałować! Nie używaj oczywistych wyrażeń – takie hasło jest łatwe do złamania. Używanie akronimów – zamiast używać prostych słów i oczywistych wyrażeń, użyj
Autor: Puls Biznesu/PAP Data: 24-02-2016, 07:44 - Im bardziej firma ukrywa, że stała się obiektem cyberataku, tym bardziej bezkarni stają się sprawcy i autorzy ataku - pisze "Puls Biznesu". Przewoźnicy, ubezpieczyciele, ale też operatorzy telekomunikacyjni, serwisy aukcyjne i agendy rządowe. Wielotysięczne korporacje i kilkuosobowe start-upy. Nie ma instytucji, która może lekceważyć zagrożenia czyhające w sieci. O atakach słyszymy niemal codziennie, choć większości ofiar udaje się takie incydenty ukryć, a hakerzy czują się coraz bardziej bezkarni. Do myślenia daje np. casus dwóch holenderskich banków, do których włamali się ci sami cyberprzestępcy w odstępie zaledwie tygodniowym. Nie zmienili nawet metody działania. Gdyby bank, który został napadnięty pierwszy, poinformował innych przedstawicieli swojej branży, do drugiego ataku pewnie by nie doszło. "Przypadki, które wychodzą na światło dzienne, to wierzchołek góry lodowej. Dlatego należy docenić te instytucje i firmy, które publicznie przyznały, że stały się obiektem cyberataku. To świadczy o ich dojrzałości i odpowiedzialności" - uważa Jakub Bojanowski, partner w dziale zarządzania ryzykiem Deloitte w Europie Środkowej.
Ponieważ podczas ataku hasła mogły zostać skradzione, a zdecydowanie nie chcesz, żeby atak się powtórzył. Pamiętaj też o tym, aby nowe hasła były bezpieczne, np. wygenerowane przy pomocy takich narzędzi jak LastPass. 2. Wyeliminuj SEO Spam, aby odzyskać widoczność. Po usunięciu nieautoryzowanych dostępów czas na naprawianie
Raport ABW za ubiegły rok nie pozostawia złudzeń. Liczba incydentów związanych z naruszeniem cyberbezpieczeństwa wzrosła aż o 88 procent. Co dziwne, ataki na nasz kraj przeprowadzono nawet z Korei Północnej. Niepokojące dane Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV w opublikowanym dokumencie zaznacza ciekawe dane. Według nich wyłącznie w ubiegłym roku odnotowano 246 107 zgłoszeń dotyczących potencjalnego wystąpienia incydentu teleinformatycznego. To najwyższy wskaźnik w historii, który zmusza nas do jednego. Musimy być jeszcze bardziej czujni na wszelkie dziwne i zwykłe zachowania teleinformatyczne. Sposoby na hakera Wymieniając jednym tchem, na początku to przede wszystkim dobre filtry antyspamowe w skrzynce mailowej oraz program antywirusowy. Kolejno, to brak zaufania do nieznanych adresatów e-maili i listów zwykłych. Jeszcze inny sposób, to sprawdzanie niepokojących nas rzeczy. Być może zmiana konta dostawcy prądu? A może inny adres jest na kopercie? To wszystko powinno wzbudzić twoją czujność. W Internecie nie brakuje wyznań ludzi, którzy zarzekają się, że znali wszystkie zasady bezpieczeństwa, a i tak padli ofiarą oszustwa. Czasem to zwykła rozmowa przez telefon, tak zmanipulowana, że człowiek robi rzeczy, których nigdy by nie wykonał. Bywa, że to zwykły mail i jedno kliknięcie. Co wtedy zrobić? Gdy staniesz się ofiarą Czasem przez jeden nierozważny krok jesteśmy ofiarą ataku hakerskiego. Ktoś się włamał na nasze konto albo też na skrzynkę mailową i tym samym wyłudził konkretne dane. Co w tym przypadku najlepiej zrobić? Zgłoś sprawę na policję, do banku, a także zastrzeż swój dowód osobisty. Tyle możesz zrobić w pierwszej chwili, aby uchronić się przed nieprzyjemnymi konsekwencjami.MD5, czyli szyfr generowany przez plik. I na koniec przebój. Haker Damian opowiada o “ ciągu znaków md5, hasz się nazywa, na stronach ” (14:36). Damian mówi, że większość osób nie wie po co on tam jest. Damian chyba też nie wie czym jest hash MD5, bo nazywa go “szyfrem” generowanym przez plik “który chcesz pobrać”.Spis treści1 Jak rozpoznać atak – objawy włamania na komputer2 Jak zabezpieczyć się przed atakiem hakerów?3 Co robić, gdy komputer zostanie zainfekowany? Zacznijmy od krótkiego wyjaśnienia kim jest haker oraz jakie grupy hakerów możemy wyróżnić. Przede wszystkim haker jest osobą o wysokich kompetencjach informatycznych. W środowisku programistycznym przyjął się podział dzielący hakerów na:białe kapelusze (osoby często pracujące jako audytorzy bezpieczeństwa – zajmują się testowaniem zabezpieczeń informatycznych),szare kapelusze (osoby testujące zabezpieczenia nielegalnie, jednak niedomagające się wynagrodzenia w zamian za pozyskane dane),czarne kapelusze (przestępcy komputerowi, zajmujący się wykradaniem danych).W tym artykule skoncentrujemy się na hakerach działających niezgodnie z prawem, czyli przestępcach komputerów firmowych przed atakami hakerskimi zabezpiecza nie tylko wrażliwe dane Twojej firmy, ale i prywatne dane pracowników oraz klientów. Statystycznie ponad 60% ataków komputerowych ma związek z błędami użytkowników, którzy nieodpowiednio zabezpieczają swoje sprzęty lub korzystają z rozwiązań, które otwierają drogę dostępu hakerom. Korzystanie z dostępnych rozwiązań prewencyjnych i umiejętność wczesnego rozpoznania „objawów” ataku hakerskiego mogą ochronić Twoją firmę przed problemami. Po czym poznać włamanie na komputer i co zrobić w takiej sytuacji?ZADBAJ O BEZPIECZEŃSTWO ITJak rozpoznać atak – objawy włamania na komputerMożna być przewrażliwionym i puszczać pełny skan komputera każdego dnia i choć czasem takie działania będą wskazane po przeprowadzeniu analizy ryzyka, nie zawsze zapobiegną atakowi hakerskiemu na komputery służbowe. Warto więc wcześniej przeszkolić siebie i swoich pracowników w zakresie charakterystycznych objawów, które mogą towarzyszyć próbom włamania do firmowej sieci komputerowej i na które trzeba reagować szybko, by uniknąć konsekwencji ataku hakerskiego. Nie musisz zrzucać na swoich pracowników odpowiedzialności za zdobycie rozległej wiedzy w bezpieczeństwie IT – wystarczy, że zadbasz o podstawowe informacje dotyczące sygnałów ostrzegawczych i ich rozpoznawania. Jednym z pierwszych i wyraźniejszych objawów włamania na komputer są alerty programu antywirusowego. Choć hakerzy potrafią je obchodzić, nigdy nie należy ignorować ostrzeżeń jakie wysyła antywirus. Z tego też powodu zawsze zadbaj w firmie o to, by program antywirusowy był sprawny i na bieżąco aktualizowany. To Twoja pierwsza zapora w walce z typowym sygnałem potencjalnego włamania na komputery jest nagłe zwolnienie działania sprzętu. Komputery mogą działać słabiej, jeśli nie są regularnie sprzątanie i aktualizowane, ale ich wydajność nie powinna spadać nagle powodując zacinanie się wszystkiego. Zainfekowany sprzęt działa dużo wolniej, choć jednocześnie pracuje bardzo intensywnie co widać np. po dużym obciążeniu dysku lub pamięci operacyjnej. Jeśli na komputerze nie masz otwartego nic poza plikiem tekstowym, a np. procesor działa na 100% mocy, coś może być nie podejrzanym problemem wskazującym na możliwe włamanie na komputery firmowe są znikające pliki i foldery lub pojawianie się nowych folderów, plików i aplikacji. Na komputerze z reguły nic nie dzieje się samo – jeśli użytkownik nie pamięta usuwania plików, a te nagle znikają mu z ekranu, problem może być komputery hakerzy mają najczęściej dwa cele: wyciągnięcie danych i poufnych informacji z komputerów służbowych lub uzyskanie dostępu do skrzynki pocztowej, haseł bankowych i ważnych, prywatnych i firmowych danych logowania. Zauważenie jakiejkolwiek podejrzanej aktywności w tym obszarze, a więc znikających wiadomości e-mail, wysyłanego spamu którego nie jesteśmy autorem, przypadkowych przelewów z konta bankowego, problemów z logowaniem się do poczty i firmowych aplikacji powinny wzbudzić podejrzenia. Zdarza się, że hakerzy po ściągnięciu danych wysyłają informację o tym, że dane na komputerze zostały zaszyfrowane i żądają opłaty, by odzyskać do nich dostęp. Na takie działania trzeba reagować szybko i zdecydowanie – czasem zapłacenie okupu za odzyskanie zablokowanych danych może być konieczne, ale lepiej uniknąć takiego scenariusza i wcześniej zabezpieczyć się przed możliwością przejęcia danych przez osoby z zabezpieczyć się przed atakiem hakerów?Jedna z najważniejszych zasad ochrony danych firmowych to regularne wykonywanie kopii zapasowych. Nie ma nic gorszego, niż utrata danych w wyniku ataku hakerskiego i przekonanie się, że pomimo usilnych prób najlepszych informatyków dane są już nie do odzyskania. Kopie zapasowe to podstawa działania komputerów firmowych i prywatnych. Jak mawiają specjaliści IT, użytkownicy komputerów dzielą się na dwie grupy: tych, którzy robią kopie zapasowe i tych, którzy zaczną gdy raz stracą wszystkie ważne zapasowa to także najlepsze narzędzie do przywrócenia danych po ataku hakerskim. Wielokrotnie okazuje się, że po infekcji komputera konieczne jest usunięcie wszystkich danych i plików oraz całkowite przeinstalowanie systemu operacyjnego, najlepiej na wszystkich komputerach włamaniami na komputer chronią też oczywiście dedykowane programy antywirusowe i wdrożone rozwiązania ochronne, w tym te monitorujące każdą odwiedzaną stronę internetową i ściąganą, zainstalowaną aplikację. Wyczul swoich pracowników na to, by przed pobraniem czegokolwiek upewnili się o wiarygodnym pochodzeniu aplikacji czy pliku – wiele ataków hakerskich dociera do komputerów przez zawirusowane pliki z fakturami, które z pozoru przypominają te od operatorów sieci komórkowej czy internetowej. Co robić, gdy komputer zostanie zainfekowany?Pomimo prób nie udało się uniknąć włamania na komputery firmowe. Co teraz? Atak hakerski należy przede wszystkim zgłosić informatykowi lub przełożonemu a nawet do odpowiednich instytucji odpowiedzialnych za cyberbezpieczeństwo. Nie należy bagatelizować żadnego, nawet niegroźnego ataku na komputery firmowe czy po podejrzeniu ataku hakerskiego obowiązkowo zmieniamy wszystkie hasła do skrzynek mailowych, kont bankowych i profili społecznościowych z poziomu sprzętu zupełnie niepowiązanego z tym zainfekowanym. Pomoc informatyków w oczyszczeniu sprzętu i przygotowaniu go do ponownej, bezpiecznej pracy będzie w tym wypadku konieczna.Jak wygląda praca hakera - opowiada nasz bojownik, który tym zarabia na życie. Artykuł jest kontynuacją serii o moich doświadczeniach w Norwegii, ale dzisiejszy temat nie jest bezpośrednio związany z Norwegią. Ten typ pracy wygląda tak samo lub bardzo podobnie w Polsce oraz innych technologicznie rozwiniętych krajach.
Do dolnośląskiej policji zgłaszają się ofiary internetowego szantażu. Na swojego maila dostaja list z żądaniem okupu. Nadawca grozi ujawnieniem kompromitujących informacji i zdjęć wykradzionych – jakoby – z komputerów swoich ofiar. Żąda okupu w bitcoinach. Elektronicznej, internetowej walucie. Dla uwiarygodnienia wysyła maila z hasłem, jakiego używa bądź używała ofiara szantażu. Rzecznik dolnośląskiej policji Paweł Petrykowski przyznaje, że do policjantów z Wydziału do walki z Cyberprzestęczością Komendy Wojewódzkiej zgłaszają się osoby, które otrzymały maila z żądaniem okupu. Policja uspokaja. Nie było hakerskiego ataku na komputery. Ktoś przejął bazę danych z informacjami o hasłach do poczty elektronicznej. Jeśli użytkownik poczty elektronicznej regularnie zmienia hasła może być bezpieczny. Jeśli tego nie robi powinien zmienić natychmiast hasło i od tego czasu robić to już regularnie co jakiś czas. Jak rozpoznać taki mail z żądaniem okupu? Bardzo możliwe, że trafi do skrzynki z wiadomościami niechcianym czy też ze spamem. W tytule będzie Twój adres mailowy i hasło do konta. Szantażysta informuje, że kilka miesięcy temu wgrał wirusa do twojego komputera, przejął nad nim kontrolę i wszystko o Tobie wie. W mailu jest groźba ujawnienia informacji, które mogą Cię skompromitować. Na przykład, że haker ma zdjęcia i filmy pokazujące jak odbiorca maila ogląda „strony dla dorosłych”. Za rezygnację z ujawnienia kompromitujących informacji szantażysta żąda okupu. Ma być wpłacone w bitcoinach. Sumy – około 900 dolarów. Czasem autor maila doda uprzejmie, że nie ma w tym nic osobistego, ale sporo się namęczył żeby zinfiltrować Twój komputer. - Do policji zgłaszają się ludzie z pytaniami, jak się zachować i czy należy się obawiać takiego mailingu, który jest formą szantażu – mówi nam Paweł Petrykowski rzecznik Komendy Wojewódzkiej. I przyznaje, że policjanci weryfikują wszystkie tego typu informacje. Rzecznik dodaje, że można czuć się bezpiecznym. Pod warunkiem, że nie używa się podawanych w mailach haseł dostępu. - Wiedza na temat wykorzystywanych adresów email oraz wykorzystywanych haseł nie wynika z penetracji komputerów użytkowników, ale pochodzi z zasobów internetowych, w których były zgromadzone dane z różnych serwisów internetowych, do których dany użytkownik swojego czasu się logował – tłumaczy policja.
Objawy ataku paniki zwykle pojawiają się nagle, osiągają szczyt w ciągu 10 minut, a następnie ustępują. Jednak niektóre ataki mogą trwać dłużej lub mogą następować po sobie, przez co trudno jest określić, kiedy jeden atak się kończy, a drugi zaczyna.
Czas czytania: 5 minutStrony internetowe nie przestają działać od tak. Zawsze musi być jakiś powód, przyczyna dla przez którą konkretna witryna przestała poprawnie funkcjonować. Przyczyn awarii na stronie może być naprawdę dużo niekiedy są tak błahe, że nawet nie bierze się ich pod uwagę. Istnieje jednak pewna grupa zdarzeń, które zdarzają się wyjątkowo często. I to właśnie o nich chciałam dzisiaj wam znajdziesz w tym wpisie1 Dlaczego strona internetowa nie działa?2 Najczęstsze powody niedziałania strony Awaria po aktualizacji strony, sklepu lub Wygaśnięcie domeny – kiedy możemy mieć z nim do Jak rozpoznać, że wygasła nasza domena? Co zrobić by strona zaczęła działać? Nie opłacony hosting / Jak sprawdzić czy mamy opłacony hosting? Jak naprawić problem? Awaria Włamanie Podmiana Jak naprawić stronę po ataku hakera? PodsumowanieJak już wspomniałam wpływ na to może mieć wiele różnych czynników. Niektóre występują pojedynczo inne z kolei łączą się ze sobą (np. są efektem reakcji łańcuchowej). Przykładowo kilka miesięcy temu czytałam o awarii będącej wynikiem aktualizacji strony. I tak wiem, aktualizacje odpowiadają za wiele różnych awarii lub problemów ze stronami (sama kilkakrotnie byłam ich ofiarą). Jednak w tym wypadku aktualizacja sama w sobie nie wywołała awarii. Zapoczątkowała jednak proces, który doprowadził to się, że właściciel witryny sprzedawał aplikacje, które do działania potrzebowały API. Po aktualizacji adres API na jego stronie uległ zmianie, ale zapomniał on dokonaniu „korygujących przekierowań” tak by sprzedawanie przez niego jego aplikacje działały poprawnie. Co gorsza jego aplikacje nie uzyskawszy odpowiedzi od serwera zaczęły powielać ją w nieskończoność. I tu pojawił się problem. Sprzedane aplikacje dokonały ATAKU TYPU DOS na jego serwer. To tak w dużym skrócie. Jak znajdę link do tego artykułu to go też aktualizować trzeba z głową i dobrze jest upewnić się czy nie pociągną one za sobą dalszych powody niedziałania strony wwwNa szczęście powyżej odpisana sytuacja należy do rzadkości – zdecydowanie częściej strona przestaje działać z innego powodu. Przeważnie powodem nie działania strony są:aktualizacja strony (np. zdarza się po aktualizacji skryptu lub zawartości strony jeśli pojawi się jakiś błąd)wygaśnięcie domeny,nieopłacony hosting,włamanie hakera,awaria serwera,zmiana (tak zwana aktualizacja) oprogramowania na po aktualizacji strony, sklepu lub blogaBłąd tego typu pojawia się w sytuacji kiedy np.:wprowadzamy lub ktoś w naszym imieniu jakieś zmiany na witrynieaktualizujemy skrypty sklepu, strony lub blogaTakie błędy tak jak wspomniałam powyżej pojawiają się czasem dopiero po czasie, zwykle jednak są widoczne od razu. W zależności od tego co doprowadziło do błędu naprawić możemy go na różne sposoby np.:ręcznie wgrywając lub ponownie wgrywajączmodyfikowane plikinowe skryptyprzywracając poprzednią wersję witryny – JEŚLI MAMY KOPIĘ BEZPIECZEŃSTWAWygaśnięcie domeny – kiedy możemy mieć z nim do czynieniaDość częstym powodem, dla którego nasza strona przestała nagle działać jest nie opłacenie domeny. Wiem, że to dla niektórych brzmi dziwnie przecież zanim domena wygaśnie otrzymujemy wcześniej e-maila z wiadomością przypominająca nam konieczności zapłaty. Jednak zdarza się, że taką wiadomość można przeoczyć. Szczególnie jeśli nie my kupowaliśmy domenę (tylko np. firma budująca naszą stronę)zrezygnowaliśmy z używania adresu, na który przychodzi powiadomienieodłożyliśmy zapłatę na później i w końcu zapomnieliśmyJeżeli nasza strona przestała działać z powodu nie opłacenia domeny to musimy się spieszyć. Po upływie ochronnego czasu np:.pl – 30 dni,.eu – 40 dni,.com, .org, .info, .biz, .net – 70 domena może zostać ponownie sprzedana. Przechwycona np. przez naszą konkurencję jeśli rozpoznać, że wygasła nasza domena?W przypadku wygaśnięcia domeny po wejściu na stronę pojawić się może napis „Ta witryna jest nieosiągalna” i „Nie udało się znaleźć serwera DNS”. Po zalogowaniu się na serwer wszystkie nasze pliki będą na miejscu. Wygaśnięcie domeny nie powoduje ich usunięcia z domen na koncieInformację na temat tego do kiedy mamy opłaconą domenę znajdziemy w panelu administracyjnym / domen (tam gdzie trzymamy nasze domeny) lub przy pomocy narzędzie zrobić by strona zaczęła działać?Jeżeli nie minął jeszcze termin ochrony naszej domeny możemy opłacić domenę i do 48 godzin strona powinna zacząć działać. W sytuacji gdy minął już ochronny czas musimy ponownie zakupić domenę. O ile w dalszym stanie jest opłacony hosting / serwerW przypadku nie opłaconego hostingu objawy będą analogiczne jak w przypadku nieopłaconej domeny. Czyli po wejściu na stronę pojawi się błąd. Oprócz strony przestanie działać nam też serwer FTP i poczta jeżeli była podłączona do tego sprawdzić czy mamy opłacony hosting?Analogicznie jak w przypadku domeny możemy to zrobić w panelu naprawić problem?Musimy jak najszybciej zapłacić za serwer w przeciwnym razie hostingodawca usunie wszystkie nasze pliki. Strona powinna ponownie zacząć działać kiedy wpłacona kwota zostanie sytuacji kiedy mamy duże opóźnienie warto jest zadzwonić do księgowości w firmie serweraW przypadku awarii serwera przestają działać wszystkie strony znajdujące się na tym serwerze. Bywa też również, że przestaje działać serwer FTP. W przypadku awarii serwera strona w ogóle nie będzie się ładować lub będzie robić to bardzo nie mamy specjalnie wpływu na to kiedy nasza strona zacznie ponownie działać. Jedyne co możemy zrobić to zgłosić zaistniałą sytuację do hostingodawcy. On z kolei może potwierdzić nasze przypuszczenia i podać orientacyjny czas naprawy. Naprawa serwera może zająć od kilku minut do kilku dni. Wszystko uzależnione jest od przyczyny hakeraW przypadku ataku hakera może być bardzo różnie. W większości przypadku nie jesteśmy świadomi tego, że nasza strona została zhakowana do momentu kiedy np. firma hostingowa, nasi klienci lub program antywirusowy nie zawiadamia nas o „problemie”.WirusObecnie istnieje kilka rodzajów wirusów atakujących nasze strony internetowe. Do tej pory najczęściej spotykałam się z wirusami dodającymi do strony dodatkowe pliki lub modyfikującymi kod obrazów. Brzmi z pozoru nie groźnie jednak w praktyce to wszystko ma na celu zainfekowanie komputera czytelników strony. A następnie w zależności od wirusa np. wykradzenie prywatnych danych z ich takich danych mogą należeć hasła i loginy do skrzynek pocztowych, portali internetowych oraz kont stronyKolejnym częstym zjawiskiem jakie może nastąpić po ataku hakera jest podmiana wszystkich lub części plików strony. Czasami podmienione zostają również elementy bazy danych. Jakie więc mogą być objawy takiej sytuacjifirma hostingowa wyławiacza stronę ze względów bezpieczeństwa mamy jednak dostęp do FTPpo wejściu na stronę zostajemy przeniesieni na inny adreszostaje podmieniona treść strony a czasem nawet cały serwisJak naprawić stronę po ataku hakera?Po pierwsze i najważniejsze nie wpadać w panikę to nic nie da jedynie może pogorszyć sytuację. Następnie w zależności od tego co się stało będziemy robić coś innego. Na początku może się zdarzyć, że nie zawsze będzie wiadomo co do końca się jeżeli strona posiada backup możemy spróbować go przywrócić. Przywrócimy w tedy starą wersję witryny. Miejmy nadzieję, że nie zainfekowaną. Możemy przy tym stracić najnowsze aktualizacje – wszystko zależy kiedy wykonano kopię bezpieczeństwa. Jeżeli nie posiadamy takiej kopi warto skontaktować się z firmą hostingową. Czasami mają oni kilka kopi naszej nie ma takiej możliwości to czeka nas dużo pracy. Pracę warto zacząć od sprawdzenia czy na serwerze nie ma podejrzanych plików. Chodzi o pliki, które na pewno nie należą do naszej strony. Kilka lat temu w Internecie pojawił się wirus dodający do 3 literowe pliki do katalogu głównego strony, ale z czasem nie tylko. Pliki takie trzeba usunąć. Warto również sprawdzić, czy ktoś nie edytował innych plików dość często edytowanych plików należą grafiki, wirusy potrafią dopisać się w ich kod. Dlatego warto je pobrać i poddać edycji. Ponowne zapisanie w edytorze zdjęć powinno rozwiązać sytuacji gdy strona przekierowuje pod inny adres warto sprawdzić plik .htaccess czy nie została tam wprowadzona zmiana. Jeśli nie widzimy w nim żadnych przekierowań a strona posiada CMS warto zajrzeć do bazy danych. Czasami zmiany zostały właśnie tam jest również zajrzeć do Internetu, może ktoś miał podobną sytuację i napisał jak ją naprawić. Jeśli i to nie pomoże to stronę niestety trzeba będzie postawić od podstaw lub skorzystać z pomocy widać powód awarii strony może być skomplikowany ale i banalny. Bardzo często niektóre te problemy się ze sobą łączą. Przykładowo hosting i domenę wiele osób kupuje w tym samym czasie i jednocześnie o tym oprócz przekierowania na inny serwer zostawia po sobie wirus. Wierzcie lub nie, ale na temat tej ostatniej grupy przyczyn awarii strony dało by się napisać pracę magisterską. I zapewne całkiem sporo już powstało.Użytkownikowi zainfekowanego komputera trudno rozpoznać, że jest źródłem ataku DDoS. Program hakera pracuje w tle – wszystkie czynności skutkujące wysyłaniem danych do atakowanego serwisu internetowego wykonywane są „po cichu”, angażując tylko tyle zasobów komputera, aby właściciel urządzenia nie zorientował się, że Rzeczywistość internetowa jest brutalna. Na nasze dane poluje wielu hakerów, o których czasem niewiele wiadomo, poza tym, że istnieją. Nawet najbardziej trzeźwo myślące osoby nie mogły tego uniknąć albo też popełniły jeden, drobny błąd, który sprawił, że ktoś ukradł im dane, a w jeszcze gorszym przypadku pieniądze. Istotne jednak są też pierwsze minuty po takim ataku i włączenie rozsądku. Panika i brak działania jest najgorsze, co można zrobić. Postanowiliśmy przygotować krótki poradnik dotyczący tego, jak zachować się po takim ataku. Zmiana wszystkich haseł, zastrzeżenie karty bankowej oraz instalacja nowego systemu operacyjnego Pierwszym krokiem, który niekoniecznie trzeba podjąć po wykryciu ataku hakerskiego jest zmiana haseł do wszystkich kont. Warto zatem wziąć kartkę, długopis i stworzyć nowe hasła, które będą bardzo trudne do rozszyfrowania w przyszłości. Nawiasem mówiąc, w przypadku posiadania łatwych haseł, należy je od razu zmienić, by nie ułatwiać zadania oszustom. Zmiana wszystkich haseł i przede wszystkim zastrzeżenie karty w banku powinny być obowiązkowymi ruchami, które należy wykonać w pierwszej kolejności. Dodatkowo trzeba zainstalować system operacyjny na nowo, by wyczyścić cały dysk z wirusów, które drążą nasz komputer. Zobacz artykuł: RODO – jak przechowywać dokumenty? Zgłosić sprawę na policję Przestępstwa na tle internetowym są coraz częstsze. Oczywiście, każdy chciałby się przed nimi zabezpieczyć, ale jednak nie zawsze jest to możliwe. Nawet maleńka chwila nieuwagi, kliknięcie w dany link czy pobranie aplikacji może mieć bardzo przykre reperkusje. Jeżeli już jednak dojdzie do takiego ataku i skutki są bardzo opłakane, czyli utrata pieniędzy z konta oraz też swoich danych osobowych, to trzeba to zgłosić na policję. Niestety, skuteczność rozwiązywania takich spraw nie należy do najbardziej optymistycznych, ale warto próbować. Hakerzy przeważnie starają się maksymalnie zacierać swoje ślady, a przecież nie musi być to atak pochodzący z Polski. Sprawa może przeciągać się latami, a efektów nie będzie żadnych.
Jednym z pierwszych kroków podejmowanych przez hakerów podczas włamania na konto na Facebooku jest zmiana adresu e-mail i/lub hasła powiązanego z kontem. Wszystko po to, aby odciąć dostęp do konta uprawnionemu właścicielowi. Z tego powodu pierwszą oznaką włamania na konto zwykle są problemy z logowaniem.
Zazwyczaj mówiąc o bezpieczeństwie systemów, odnosimy się do stosowania metod zapobiegawczych, wdrażania strategii kontroli procesów bezpieczeństwa lub bezpośrednich metod życie bywa brutalne i zdarza się, że mimo podjęcia wymaganych kroków mających zabezpieczyć wskazany obiekt przed atakiem i uświadomienia kadry na temat bezpieczeństwa, to do ataku i tak niniejszym artykule omówię sytuacje związane z wystąpieniem kryzysu. Wskażę, jakie kroki należy podjąć, aby uchronić się przed eskalacją kryzysu i zminimalizować potencjalne straty, gdy stajemy się już ofiarą takiego celem jest przedstawienie, jak powinna wyglądać reakcja na pojawiający się problem. Większość ataków różni się sposobem konstrukcji lub scenariuszem działania. Skupia się na innych wektorach uderzenia, skali oddziaływania, użytych metodach lub zaangażowaniu atakujących. Z pewnością nie jest to uniwersalny poradnik, będący złotym środkiem. Pozwoli on jednak uświadomić pewien sposób myślenia, którego stosowanie może ocalić posiadane zasoby i przejdziemy do analizy poszczególnych elementów, musimy odpowiedzieć sobie na podstawowe pytanie:Czym jest cyberatak?Cyberatak, to występująca w komputerach i sieciach komputerowych, jakakolwiek próba narażenia, zmiany, wyłączenia, zniszczenia, kradzieży lub uzyskania nieautoryzowanego dostępu, bądź dokonanie nieuprawnionego użycia danego składnika aktywów. Cyberatak, to każdy rodzaj manewru ofensywnego, na cele systemów informatycznych, infrastruktury, sieci komputerowych lub osobistych urządzeń komputerowych. Atakującym określa się osobę lub proces, który próbuje uzyskać dostęp do danych, funkcji albo innych zastrzeżonych obszarów systemu bez autoryzacji. W zależności od kontekstu, cyberataki mogą być częścią cyberwojny lub może być wykorzystywany przez wrogie państwa, grupy separatystyczne, organizacje lub osoby indywidualne. Atak pochodzić może z niezidentyfikowanego, anonimowego źródła. Poprzez cyberatak podatnego systemu można ukraść, dokonać zmiany lub zniszczyć określone zasoby infrastruktury. Cyberataki mogą obejmować socjotechniki, instalowanie oprogramowania szpiegującego czy próbę zniszczenia rozróżniamy najpopularniejsze ataki pasywne i aktywne?SocjotechnikiPodczas tego typu ataków, hakerzy manipulują ludźmi za pomocą technik socjologicznych. Celem jest oczywiście skłonienie ofiary do podjęcia określonych czynności. Ataki socjotechniczne to sposób na pozyskanie wrażliwych informacji, wykorzystujący ludzką lekkomyślność i brak oprogramowanieProgramy mające szkodliwe działanie w stosunku do systemu komputerowego lub jego użytkownika, często podszywające się pod zaufaną aplikację lub wchodzące w jej skład. Po zainfekowaniu systemu w tle wykonują operacje, które zaprogramował atakujący, na przykład zapisują hasła lub inne dane. Rozróżniamy wirusy, robaki, konie trojańskie, backdoory, exploity, rootkity, keyloggery, oprogramowanie na monitorowaniu i rejestrowaniu ruchu sieciowego atakowanej sieci. Odpowiednio wykonany może umożliwić odkrycie haseł, loginów, a nawet prywatnych rozmów użytkowników w celu wrogiego wykorzystania. Nieautoryzowane sniffery, czyli takie, których nie używamy świadomie w celu kontroli przepływu ruchu sieciowego, są trudno wykrywalne, co sprawia, że stanowią one wyjątkowe zagrożenie dla sieci. Użytkownicy bez specjalistycznej wiedzy często nawet nie wiedzą, że tego typu oprogramowanie jest zainstalowane na ich komputerach i monitoruje przepływ danych w haseł (bruteforce – atak słownikowy)Technika polegająca na agresywnym łamaniu haseł, poprzez użycie ogromnej ilości kombinacji znaków. Zastosowanie odpowiedniego oprogramowania pozwala na pełne zautomatyzowanie tego procesu. Bardzo szybkie wpisywanie wielu, często pozornie nie powiązanych ze sobą ciągów znaków, trwa tak długo, aż dojdzie do skutecznego wykrycia poprawnego hasła i w rezultacie włamania do systemu użytkownika. Korzystając z metody siłowej typu bruteforce, można złamać praktycznie każde zabezpieczenie hasłem – wystarczy odpowiednio dużo czasu i mocy Przykładowy czas potrzebny na złamanie hasła metodą równocześnie z wielu urządzeń, zmasowany atak na system lub usługę sieciową. Jego celem jest uniemożliwienie działania środowiska informatycznego, poprzez zajęcie wszystkich wolnych zasobów. Zamiarem ataku DdoS zwykle nie jest uszkodzenie infrastruktury czy kradzież danych, a utrudnienie dostępu lub całkowite unicestwienie pracy systemu, wskutek jego przeciążenia. Nierzadko koszty związane z przestojem infrastruktury sieciowej powodować mogą straty równie kosztowne, jak włamania i kradzieże jak to?! Skąd to się bierze? Mnie to nie dotyczy!Nieodpowiednio przeszkolony lub dobrany personel może okazać się kluczową podatnością środowiska wewnętrznego na atak. Pomyłki, niezadowolenie, nieuczciwość, to czynniki mogące przyczynić się do wystąpienia i realizacji działań niepożądanych. Hakerzy atakujący z zewnątrz, jak również sami pracownicy w sposób mniej lub bardziej świadomy (niewiedza, dywersja) są w stanie ułatwiać dostęp osobom nieuprawnionym lub sami czynić chcesz szerzej zrozumieć logikę tego akapitu, z pewnością zainteresuje cię jeden z moich artykułów na blogu CyberForces, pt. „Zjawisko Shadow IT i związane z nim ryzyko dla cyberbezpieczeństwa firmy”. Opis: Według badań przeprowadzonych pośród 3 tysięcy respondentów, aż 95% użytkowników uważa, że Polska nie jest przygotowana na cyberatak (źródło: Sekurak).Wynik powyższej ankiety z pewnością nie napawa optymizmem, gdyż w dużym stopniu obrazuje stan faktyczny świadomości użytkowników oraz zaawansowania wdrożeń zabezpieczeń mających chronić nasze systemy przed zatem do kluczowych elementów tego artykułu…Jak sobie radzić, gdy problem już wystąpi? Wskazówki dla poszczególnych rodzajów rozwiązaniem, zapewne byłoby fizyczne wyłączenie urządzenia z prądu i odłączenie z sieci. Owszem, w niektórych sytuacjach jest to podejście jak najbardziej wskazane, jednak w wielu przypadkach nie rozwiąże okazać się, że takie urządzenie będzie szkodliwe z uwagi na utrudniony proces monitorowania zdarzeń sieciowych. Gdy użytkownik padnie ofiarą socjotechniki, odłączenie od prądu nie okaże się w żaden sposób pomocne. Chyba, że użytkownik zdąży wyciągnąć wtyczkę z prądu zanim ofiara wykona ten kluczowy, ostatni klik klawisza umożliwiający dostęp atakującemu do swoich danych. Opierając się na wspomnianych wcześniej rodzajach zagrożeń, dokonajmy analizy każdego z osobna i zobaczmy co da się zrobić…Socjotechniki (phishing, spoofing, pharming)Socjotechnik jest tak wiele, że nie sposób opisać metod radzenia sobie z każdą z nich w tak krótkim artykule. Ogólna zasada jest jedna: zachowaj zdrowy rozsądek i ograniczone zaufanie. Wiedząc to, możemy przejść do omówienia kilku popularnych z nich jest podszycie się przez hakera pod konkretną instytucję (zwykle bank) w celu wyłudzenia od ofiary będącej jej użytkownikiem danych dostępowych i kradzieży zgromadzonych aktywów. W razie podejrzenia wystąpienia incydentu istotne jest niezwłoczne zgłoszenie na infolinię lub bezpośrednio w placówce banku. Pracownik szczegółowo poinformuje cię, jak wygląda procedura i dalsza ścieżka realizacji zgłoszenia. W szczególnych przypadkach konieczna może okazać się blokada karty płatniczej, raport do przełożonego i złożenie doniesienia o popełnionym przestępstwie na policję – nie czekaj, nie ukrywaj faktów, reakcja jest niezwykle ważna, gdyż zgodnie z przepisami odpowiadasz za pieniądze na rachunku, które zostaną wypłacone przed zastrzeżeniem karty. Istotnym pozostaje fakt, że jako użytkownik możesz stracić nie więcej niż równowartość 50 EUR w przypadku płatności zbliżeniowej oraz 150 EUR w przypadku transakcji internetowej. Dla kwot wyższych, odpowiedzialność za nieuprawnione transakcje spada na bank. Pamiętaj jednak, że jeśli bank udowodni, że kradzież wynika z tzw. rażącego niedbalstwa klienta (np. przyznasz się, że przekazałeś komuś swój numer PIN lub zapisałeś go na karcie), wówczas bank nie poniesie odpowiedzialności i nie zwróci ci utraconych częstym przypadkiem jest włamanie się do konta social media. Jeśli masz podejrzenia, że ktoś przejął twoje dane logowania do profilu, np. na Facebooku lub Twitterze, jak najszybciej zmień hasło i koniecznie dokonaj zgłoszenia incydentu do centrum wsparcia użytkownika. To bardzo ważne, by nie bagatelizować wystąpienia podobnych sytuacji. Nawet jeśli wydaje ci się, że twoje konto social media pełni nieistotną rolę w twoim własnym poczuciu bezpieczeństwa może okazać się, że ktoś będzie próbował podszyć się pod Ciebie. Następnie spróbuje wyłudzać cenne informacje lub pożyczać pieniądze od twoich myślisz, kogo obwinią w pierwszej kolejności oszukani znajomi, którzy w dobrej wierze byli przekonani, że pożyczyli ci pieniądze, a de facto padli ofiarą oszustwa i kradzieży? Z pewnością nie będzie to anonimowy przestępca, tylko będziesz to ty, jako do niedawna wiarygodny posiadacz swojego konta. Opis: Przykład próby wyłudzenia kodu płatności BLIK przy użyciu skradzionego konta sytuacji gdy w porę udało ci się przejrzeć zamiary przestępcy, dzięki swojej czujności możesz uchronić innych. Jeśli odkryłeś atak, a nie dałeś się wciągnąć, graj na zwłokę. Manipuluj atakującym, przekazuj fałszywe dane, nagrywaj wszystko i zbieraj materiały dowodowe. Ostrzeż innych, by utrudnić pracę przestępcom. Kiedy uznasz, że udało ci się zebrać wystarczającą ilość informacji, możesz postarać się nagłośnić sprawę w portalach branżowych zajmujących się bezpieczeństwem lub zgłosić sprawę organom oprogramowanieJeśli nie masz programu antywirusowego to szybko zainstaluj, odłącz się fizycznie od sieci, przeskanuj system. Obserwuj działanie komputera – zainfekowane jednostki są często spowolnione. Otwórz menedżer zadań w systemie i sprawdź jakie aplikacje i procesy działają w tle. Za pomocą antywirusa usuń złośliwe oprogramowanie z komputera. Jeśli proces ten wydaje ci się zbyt skomplikowany, nie rób tego samodzielnie, lecz skontaktuj się z doświadczoną osobą, która potrafi go umiejętnie przeprowadzić. Opis: Menedżer zadań Windows – często już w tym miejscu użytkownik jest w stanie zauważyć anomalie świadczące o zainstalowanym na komputerze złośliwym wykryć sniffera, najłatwiej włącz własnego sniffera w celu monitorowania przepływu danych pomiędzy siecią a serwerami DNS. Możesz też skorzystać z gotowego oprogramowania do wykrywania i usuwania snifferów, który często dostarczony jest w pakiecie z programem antywirusowym. Dobry antywirus za ciebie znajdzie i usunie wszelkie złośliwe oprogramowanie, pliki i foldery. Wyposażony w funkcję skanowania sieci, wykryje problemy z siecią i podpowie, jak się ich pozbyć. Chcąc zapobiegać snifferom, staraj się stosować do kilku zaleceń:korzystaj wyłącznie z zaufanych sieci wi-fi,w miarę możliwości korzystaj z sieci światłowodowych bez radiowej transmisji danych,w sieciach o znaczeniu strategicznym, rozważ utworzenie odizolowanej infrastruktury,regularnie skanuj sieć pod kątem występowania zagrożeń,szyfruj wysyłane i odbierane Przykładowy raport ruchu sieciowego przy użyciu legalnego sniffera (źródło: haseł (bruteforce – atak słownikowy)W przypadku ataku typu bruteforce, trudno mówić o krokach jakie należy podjąć, gdy padniesz jego ofiarą. Z pewnością zmień hasło i dane uwierzytelniające. W dalszej kolejności przeprowadź rekonesans i zweryfikuj, jakie dane mogły zostać wykradzione. Tutaj sprawa jest bardzo indywidualna i w zależności od skali ataku szkody mogą być różne. Jeden atakujący zadowoli się samym włamaniem i świadomością posiadania danych dostępowych, których będzie mógł użyć w przyszłości. Ktoś inny postanowi od razu działać agresywnie i postara się uszkodzić lub wykraść tak wiele zasobów, jak to tylko pewnością kluczowa jest prewencja i takie postępowanie, by utrudniać jakiekolwiek próby ataku w przyszłości. Przy logowaniu używaj weryfikacji wielopoziomowej, nie stosuj jednego hasła w wielu miejscach. Zadbaj by hasło było skomplikowane i zmieniaj je co jakiś czas. Używaj do tego menedżera haseł lub fizyczny klucz szczególnych sytuacjach może zdarzyć się, że złamanie hasła wcale nie wynikało z zastosowania ataku słownikowego, a braku pełnej świadomości nad tym jakie niezbyt przemyślane kroki poczyniłeś w sieci. Skrajnym przykładem mogą być poniższe ilustracje, gdzie użytkownicy dobrowolnie podali swoje hasła, jednocześnie narażając się na atak. Opis: Ktoś dla żartu umieścił post z informacją o tym, że Facebook maskuje hasła użytkowników gwiazdkami. Ciekawscy użytkownicy wpisywali w komentarzach swoje hasła w celu sprawdzenia czy to prawda 🙂 (źródło: Facebook).DDoS (Distributed Denial of Service)Ten typ ataku ma to do siebie, że może nie sygnalizować wcześniejszych oznak ostrzegawczych. Zwykle jest organizowany przez grupę wrogo nastawionych ludzi, którzy to posiadają wiedzę, kiedy atak nastąpi. Dlatego niezwykle ważnym elementem, jest umiejętność rozpoznania ataku dzięki jak najlepszej znajomości własnej infrastruktury. Tempo w którym rozpoznasz, że problem spowodował DDoS, jest niezwykle istotne. Jeśli samodzielnie administrujesz własnymi urządzeniami sieciowymi, powinieneś wiedzieć jak wygląda typowy ruch przechodzący przez serwer danej usługi. Dzięki temu będziesz w stanie spostrzec anomalie będące odchyleniem od standardowego ruchu generowanego na stronie czy ustalić, że rozpoczął się atak, możesz wykorzystać do tego narzędzia monitorujące. W ten sposób rozpoznasz, czy dana sytuacja to już atak czy jedynie wzmożony ruch monitorujący może wskazywać, np. spowolnienie działania serwera, wysokie wykorzystanie pamięci i procesorów czy całkowitą awarię strony www. W takich sytuacjach nawet prewencyjnie warto założyć, że dzieje się coś niepożądanego. Warto wziąć pod uwagę, że mamy do czynienia z atakiem DDoS. Ten typ ataku może spotkać każdego, stąd warto zastanowić się nad kwestią, kiedy nastąpi i być przygotowanym. Chcąc zminimalizować skutki ataku, warto być przygotowanym i podjąć środki zapobiegawcze, tworzyć kopie zapasowe;ograniczyć możliwość nieskończonych prób logowania oraz wprowadzić weryfikację Captcha;blokować użytkowników lub konta, które przekroczą maksymalną, określoną przez administratora, liczbę nieudanych prób logowania;wprowadzić kontrolę logów serwera, celem określenia aktywności pochodzącej z poza środowiska w którym pracujemy, np. prób połączenia z nieznanych adresów IP;ograniczyć możliwości dostępu do poszczególnych systemów, np. nadanie uprawnień adresom IP pozwalającym na logowanie do konta tylko z określonego komputera lub Weryfikacja typu Captcha zapobiega masowej automatyzacji procesów logowania (źródło: Internet).Reasumując, każdy z użytkowników sieci i infrastruktury informatycznej powinien być świadomy, że wiele ataków odbywa się w czasie rzeczywistym. Jeśli szybko zadziałasz, masz czas na jego udaremnienie i ocalenie swoich w takim razie możesz przygotować się na kryzys?Sytuacje kryzysowe mają to do siebie, że pojawiają się nagle i nie przebiegają w sposób standardowy. Trudno znaleźć dwa jednakowe, nawet jeśli związane są z podobnym typem zagrożenia. Nierzadko nie masz wpływu na to, co się wydarzyło – możesz jednak w odpowiedni i profesjonalny sposób reagować i przeciwdziałać być świadomym, że komunikacja o wystąpieniu zdarzenia jest równie istotna. Tak samo, jak same działania operacyjne podjęte w celu minimalizacji skutków zagrożenia, które wystąpiło. Co można zrobić? Staraj się przewidywać i zapobiegać temu, co jeszcze nie nastąpiło. Edukuj się i nie unikaj pytań do osób bardziej doświadczonych i odpowiednio przeszkolonych w danym chcesz być gotowy do podjęcia działań, istotną kwestią jest umiejętność poprawnej analizy zagrożeń. Stąd też warto posiadać gotową procedurę bezpieczeństwa wewnętrznego organizacji i zarządzania celu szerszej lektury zagadnienia odsyłam cię do jednego z moich artykułów dostępnych na blogu CyberForces, pt. „Program Zarządzania Podatnościami VMP (Vulnerability Management Program) – zarządzanie przedsiębiorstwem w procesie bezpieczeństwa IT”.
.
