Prokuratura Okręgowa w Warszawie wszczęła śledztwo w sprawie cyberataku na Polską Agencję Prasową (PAP), w wyniku którego 31 maja opublikowano dwukrotnie fałszywą informację. Atakujący uzyskali dostęp do konta jednego z pracowników agencji i zamieścili spreparowaną depeszę. Obecnie nie wiadomo, jak przestępcy dostali się do systemów PAP-u. Można jednak podjąć kroki, aby zapobiec takim incydentom.
Dezinformacja jako Globalne Zagrożenie
Z najnowszego raportu Global Risks 2024 opracowanego przez Światowe Forum Ekonomiczne wynika, że dezinformacja znajduje się obecnie na czele globalnych zagrożeń. Badania Koalicji "Razem Przeciw Dezinformacji" pokazują, że 81% Polaków uważa, iż skala dezinformacji w Internecie wzrosła w ciągu ostatniej dekady. Fałszywe informacje są rozpowszechniane na różne sposoby, z czego media społecznościowe odgrywają w tym procesie znaczącą rolę. Fałszywe wiadomości pojawiają się także w wiarygodnych kanałach informacyjnych, czasem jako niesprawdzone dane, a czasem – jak w przypadku incydentu w PAP – w wyniku bezpośredniego działania cyberprzestępców.
Jak Działał Atak?
Bartosz Cieszewski, Solution Architect w Secfense, wyjaśnia, że do przejęcia konta pracownika PAP mogło dojść przez malware, czyli złośliwe oprogramowanie zainstalowane na komputerze. Nie jest jednak jasne, czy atakujący wykradł poświadczenia czy sesję. W pierwszym przypadku cyberprzestępcy używają wykradzionych danych (loginu i hasła), by zalogować się do serwisów i wykonać różne czynności, np. opublikować fałszywą depeszę. W drugim przypadku przestępca wykrada sesję, uzyskując dostęp do istniejącej sesji użytkownika, np. poprzez ciasteczko sesyjne z przeglądarki ofiary, co pozwala mu na wykonywanie wszelkich operacji, do których ma dostęp legalny użytkownik.
Zabezpieczenia Przed Atakami
W pierwszym przypadku pomocne są mechanizmy silnego uwierzytelniania. W drugim natomiast mikroautoryzacje.
Silne Uwierzytelnianie
Dane Cisco Talos Incident Response wskazują, że w 2023 roku w co czwartym incydencie bezpieczeństwa wykorzystywano przejęte konta użytkowników. Cyberprzestępcy uzyskują dostęp do danych uwierzytelniających, stosując między innymi phishing. CERT Polska otrzymał w 2023 roku łącznie 95 696 zgłoszeń phishingu. Mechanizmy dwu- lub wieloskładnikowego uwierzytelniania mogą chronić użytkowników przed wykorzystaniem przez przestępców przejętych danych uwierzytelniających. Jeśli dodatkowy składnik uwierzytelniania, np. kod SMS, PIN czy biometryczne potwierdzenie tożsamości, jest aktywny, utrata loginu i hasła nie stanowi aż takiego problemu, ponieważ nie są one wystarczające do uzyskania dostępu do serwisu.
Mikroautoryzacje
Wieloskładnikowe uwierzytelnianie nie ochroni jednak przed przejęciem sesji, gdzie przestępca przejmuje kontrolę nad aktywną sesją użytkownika. Informacje o sesji są przechowywane w pliku cookie, w nagłówkach HTTP lub w zmiennych sesji, a każda sesja ma unikalny identyfikator, który jest celem atakującego. Przed tego typu atakiem mogą chronić mikroautoryzacje, które wymuszają na użytkowniku ponowne uwierzytelnienie za każdym razem, gdy ten próbuje uzyskać dostęp do określonych zasobów lub chce wykonać określone działania w chronionej aplikacji.
Mikroautoryzacje działają w dwóch modelach – w modelu właściciela i przełożonego. W pierwszym to użytkownik jest proszony o ponowne potwierdzenie swojej tożsamości. W drugim – o autoryzację działania proszona jest osoba trzecia, np. redaktor naczelny. Mikroautoryzacje mogą być dodawane i uruchamiane w dowolnym miejscu w aplikacji, co oznacza, że właściciel czy administrator decyduje, które działania potrzebują dodatkowej ochrony. Zalecane jest wykorzystanie mechanizmów uwierzytelnienia FIDO2, które wymagają od użytkownika np. dotknięcia czytnika linii papilarnych na smartfonie, co zapobiega wykonaniu chronionej czynności przez niepowołaną osobę, nawet z dostępem do wykradzionej sesji.
Przypadek PAP-u
Zabezpieczenie akcji „dodaj depeszę" mechanizmem mikroautoryzacji zniweczyłoby plany atakującego. Nawet mając ukradzioną sesję, zostałby zapytany o dodatkowe uwierzytelnienie przy próbie opublikowania depeszy.
Walka z Dezinformacją
Dezinformacja staje się coraz większym problemem. Media powinny zwracać szczególną uwagę nie tylko na prawdziwość informacji zamieszczanych w serwisach, ale też na odpowiednią ochronę swoich systemów przed cyberprzestępcami. Wzrost liczby incydentów związanych z dezinformacją i cyberatakami wskazuje na potrzebę wzmacniania mechanizmów zabezpieczających, aby zapobiegać podobnym sytuacjom w przyszłości.