Wielki lockdown: Jak COVID-19 wpłynął na cyberbezpieczeństwo

Od rozpoczęcia światowego lockdownu minął mniej więcej rok. Analizujemy pandemię i jej konsekwencje przez pryzmat zagrożeń informatycznych.

W marcu 2020 r. epidemia COVID-19 była już obecna w ponad 100 krajach i została oficjalnie uznana za pandemię. A zatem świat walczy z tym bezprecedensowym wirusem już od ponad roku. Oprócz oczywistego wpływu na nasze zdrowie i gospodarkę wszystkich krajów, rozprzestrzenianie się choroby wymusiło wprowadzenie nagłych i radykalnych zmian w codziennym życiu milionów ludzi. Praca i nauka przeniosły się do domu, a wideokonferencje zastąpiły spotkania towarzyskie i biznesowe. Takie masowe korzystanie z internetu zwiększyło poziom zagrożenia dla cyberbezpieczeństwa.

Zagrożenia dla cyberbezpieczeństwa w domowym biurze

Jedną z najważniejszych zmian było przejście na pracę z domu. Przeprowadzone przez nas w kwietniu 2020 r. globalne badanie wykazało, że prawie połowa z 6000 respondentów nigdy wcześniej nie pracowała w domu. Mimo to w 73% przypadków pracodawcy nie przeprowadzili żadnych specjalnych szkoleń dotyczących bezpiecznej interakcji z zasobami firmowymi przez internet, co mogłoby zmniejszyć liczbę incydentów spowodowanych czynnikiem ludzkim. Mniejsza kontrola działów IT firmy nad urządzeniami, oprogramowaniem i działaniami użytkowników spowodowała zwiększenie ryzyka wystąpienia niepożądanych sytuacji.

Sprzęt domowy

Wiele firm nie dostarczyło swoim pracownikom sprzętu; w zamian pozwoliły one, aby pracowali i łączyli się z biurową infrastrukturą IT przy użyciu urządzeń domowych, które w wielu przypadkach są słabo zabezpieczone. Według naszego badania 68% respondentów używa podczas pracy w domu komputerów osobistych. Jesienią przeprowadziliśmy kolejne badanie i okazało się, że takich osób jest jeszcze więcej. Około 80% ankietowanych korzystało z komputerów domowych do pracy, mimo że ponad połowa (51%) otrzymała od swoich pracodawców niezbędny sprzęt.

Pracownicy zdalni używali swoich urządzeń osobistych również do celów rozrywkowych, grając na nich w gry online (31%) i oglądając filmy (34%). Jednak wiele osób używało firmowych laptopów i smartfonów także do celów prywatnych; na przykład 18% respondentów korzystało z nich do wyświetlania treści dla dorosłych. Cyberprzestępcy aktywnie wykorzystali zwiększone zainteresowanie rozrywką online, próbując zwabić użytkowników na fałszywe strony internetowe i przekonać ich do pobrania złośliwego oprogramowania podszywającego się pod film lub plik instalacyjny. W sumie 61% ankietowanych jesienią przyznało, że pobrało oprogramowanie ze stron oferujących torrenty, 65% korzystało z takich stron do celów związanych z muzyką, a 66% do celów związanych z filmami. Nasze dane telemetryczne wskazały, że wiosną 2020 roku najpopularniejszymi celami była gra Minecraft i serial Stranger Things.

Niezabezpieczone kanały do pracy zdalnej

W biurze administratorzy IT dbają o zabezpieczenie kanału internetowego. Ale kiedy pracownicy pracują w domu, sami konfigurują swoje routery i sieci, co zwiększa ryzyko dla bezpieczeństwa.

Od marca do kwietnia 2020 r. liczba ataków na niezabezpieczone porty RDP — najpopularniejszy protokół połączenia zdalnego na komputerach z systemem Windows — wzrosła dziesięciokrotnie w Rosji i siedmiokrotnie w Stanach Zjednoczonych.

Luki w zabezpieczeniach narzędzi do współpracy

W biurze pracownicy mogli edytować dokumenty i uczestniczyć w spotkaniach osobiście. W świecie pracy zdalnej zapotrzebowanie na oprogramowanie do wideokonferencji i narzędzia do współpracy znacznie wzrosło. Z kolei ten wzrost popytu wzbudził zainteresowanie cyberprzestępców.

Luki w zabezpieczeniach zostały również wykryte w legalnym oprogramowaniu do wideokonferencji. Na przykład rok temu wykryto i wyeliminowano lukę w zabezpieczeniach w usłudze komunikacji dla firm Microsoft Teams, która umożliwiała osobom atakującym uzyskanie dostępu do wszystkich kont w organizacji. Mniej więcej w tym samym czasie twórcy platformy Zoom dla systemu macOS naprawili błędy, które pozwalały osobom z zewnątrz przejąć kontrolę nad urządzeniem użytkownika.

Ponadto pracownicy często używają kont osobistych w bezpłatnych usługach, takich jak Dokumenty Google, do wspólnej pracy nad dokumentami i wymiany plików. Niestety usługi te zazwyczaj nie mają scentralizowanego zarządzania uprawnieniami, które umożliwiłoby im ochronę poufnych danych.

Opieka zdrowotna na celowniku

Podczas pandemii, gdy sektor opieki zdrowotnej został kolosalnie obciążony, cyberprzestępcy próbowali atakować bezpośrednio jego agencje, szpitale, a nawet lekarzy.

Na przykład w marcu 2020 r. na serwery Ministerstwa Zdrowia i Pomocy Humanitarnej Stanów Zjednoczonych (HHS) spadł masowy atak DDoS. W tym samym miesiącu cyberatak przypuszczono na bazy danych należące do Szpitala Uniwersyteckiego w Brnie, jeden z największych ośrodków testowania krwi pod kątem COVID-19 w Republice Czeskiej. W rezultacie lekarze nie mogli przetwarzać testów koronawirusowych, a nawet musieli anulować szereg operacji chirurgicznych.

Zaawansowani cyberprzestępcy wzięli na cel organizacje walczące z COVID-19. Istnieją dowody na to, że we wrześniu 2020 r. ugrupowanie Lazarus zaatakowało firmę farmaceutyczną, która opracowywała szczepionkę przeciwko koronawirusowi; miesiąc później zaatakowało ono powiązane z nią ministerstwo zdrowia.

Celem stały się zarówno organizacje medyczne, jak i ich pracownicy. W Wielkiej Brytanii cyberprzestępcy wyłudzili od pracowników służby zdrowia loginy i hasła do poczty e-mail, oferując im możliwość zarejestrowania się na nieistniejące seminarium na temat „śmiertelnego wirusa COVID-19”.

Pracę systemu opieki zdrowotnej utrudniały również osoby, które powinny najlepiej rozumieć, jaki mamy obecnie stopień zagrożenia — pracownicy firm opieki zdrowotnej. Na przykład wiosną ubiegłego roku mężczyzna zwolniony ze stanowiska wiceprezesa w amerykańskiej firmie Stradis Healthcare zakłócił na kilka miesięcy dostawę środków ochrony indywidualnej dla lekarzy w ramach zemsty za utratę pracy. Według informacji FBI miał on tajne konto, za pośrednictwem którego sabotował pracę swoich byłych kolegów. W styczniu 2021 roku poinformowano, że mężczyzna ten został skazany na rok więzienia.

Phishing o tematyce koronawirusa

Podczas gdy rządy na całym świecie walczą z COVID-19 i opracowują środki wspierające przedsiębiorstwa i obywateli, cyberprzestępcy próbują wykorzystać strach przed wirusem i potrzebę pomocy. Jak wynika z naszego badania, jedna czwarta użytkowników otrzymała szkodliwe e-maile związane z COVID-19.

Fałszywa korespondencja od klientów i departamentów rządowych

Na przykład oszuści wysyłali fałszywe e-maile, podszywając się pod amerykańskie Centra Kontroli i Zapobiegania Chorobom (CDC). Ofiary były proszone o wypełnienie podsumowania ostatnich przypadków koronawirusa wśród swoich sąsiadów, a w tym celu należało kliknąć link i wprowadzić swój login i hasło do poczty e-mail. Dane tych kont trafiły oczywiście w ręce przestępców.

Podczas fali lockdownów wzrosła też liczba e-maili podszywających się pod żądania klientów dotyczących przesyłek produktów. Aby zwiększyć wiarygodność tych wiadomości, atakujący skarżyli się na „problemy logistyczne wywołane przez COVID-19” lub domagali się przyspieszonej dostawy, powołując się na problemy z chińskimi kontrahentami. Zwykle dołączali oni do e-maila załącznik ukrywający trojana lub backdoora, które umożliwiały przestępcom przejęcie zdalnej kontroli nad zainfekowanym komputerem.

Fałszywe pieniądze za chorobę

Z naszych danych wynika, że w 2020 r. oszuści wysłali pięć razy więcej złośliwych e-maili poruszających temat świadczeń socjalnych niż w roku poprzednim. Wiadomości te również miały pochodzić od departamentów rządowych, Międzynarodowego Funduszu Walutowego, a nawet Światowej Organizacji Zdrowia.

Co ciekawe, klasyczny system został wykorzystany w nowy sposób: tym razem polegał on na tym, że ofierze obiecywano odszkodowanie, ale musiała ona wpłacić niewielką prowizję za przekazanie pieniędzy.

Cyberprzestępcy wykorzystali również prawdziwą informację, że Facebook przyznaje dotacje małym firmom. Jednak postanowili dodać do niej coś od siebie: poinformowali, że pieniądze należą się wszystkim użytkownikom tej popularnej platformy społecznościowej. Chętni byli poproszeni o podanie swojej nazwy użytkownika i hasła do konta, adresu, numeru ubezpieczenia społecznego oraz zdjęcia dokumentu tożsamości. Na czarnym rynku taki pakiet danych ma dość atrakcyjną cenę.

Jak się chronić

Zasadniczo w tym roku pandemii cyberprzestępcy nie wymyślili żadnych nowych schematów ataku, ale aktywnie wykorzystywali temat COVID-19. A ponieważ dla wielu osób praca przeniosła się do internetu, liczba ataków online naturalnie wzrosła.

Aby nie stać się ofiarą ataku cyberprzestępców, zalecamy zapoznanie się z naszymi artykułami na temat tego, jak chronić się podczas pracy w domu. Ponadto poniżej prezentujemy kilka uniwersalnych wskazówek:

  • Nie klikaj linków od nieznajomych ani nie pobieraj plików z wiadomości e-mail, jeśli nie masz pewności, że możesz zaufać nadawcy.
  • Do pracy używaj urządzeń firmowych i oprogramowania zatwierdzonego przez firmę oraz prawidłowo skonfiguruj programy i urządzenia.
  • Poproś pracodawcę o zainstalowanie niezawodnej ochrony na urządzeniach firmowych, a ze swojej strony wzmocnij ochronę prywatnego komputera oraz smartfona.
Porady