Uwierzytelnianie wieloskładnikowe chroni konta użytkowników przed atakami hakerów. Choć jest to bardzo skuteczna metoda, nie zapewnia ona całkowitego bezpieczeństwa.

Hasła od lat pozostają najczęściej stosowaną metodą uwierzytelniania, co nie oznacza, że najbardziej efektywną. Jakie błędy sabotujące skuteczność popełniają użytkownicy?

Błąd nr 1 – łatwe hasła

Użytkownicy często idą na łatwiznę i korzystają z prostych, łatwych do rozszyfrowania sekwencji. Wprawdzie zapamiętanie haseł 123456, 123456789, password, 12345678 czy „iloveyou” jest dziecinnie proste, ale hakerzy łamią je w ciągu sekundy. Nawet nieco trudniejsze sekwencje, takie jak: picture1, michelle, Sample123 mogą być rozszyfrowane przez napastników w trzy godziny. Co istotne, analizy specjalistów z NIST, przeprowadzone na podstawie naruszonych haseł pokazują, że dłuższe sekwencje są trudniejsze do sforsowania, aniżeli skomplikowane zawierające różnego rodzaju znaki.

Błąd nr 2 – jedno hasło do wielu kont

Drugim nagminnym błędem popełnianym przez Internautów jest wykorzystywanie tego samego hasła w różnych miejscach. Jeśli napastnik uzyska dostęp do jednego konta, automatycznie ma otwartą drogę do pozostałych.

Kolejne warstwy kontroli

Nie bez przyczyny firmy oraz instytucje wprowadzają kolejną warstwę kontroli w postaci Multi-factor Authentication (MFA), czyli uwierzytelniania wieloskładnikowego. Oprócz podstawowego zestawu zabezpieczeń, a więc nazwy użytkownika i hasła, dochodzi kod kod wysłany za pośrednictwem SMS-a, czy też dane biometryczne (odcisk palca, skan tęczówki czy rozpoznawanie twarzy).

Jak wynika z badania przeprowadzonego przez OKTA, największą popularnością cieszą się powiadomienia push (29 procent), które polegają na wysyłaniu powiadomień bezpośrednio do bezpiecznej aplikacji zainstalowanej na urządzeniu użytkownika. Na kolejnych miejscach znalazły się SMS-y (17 procent) oraz tokeny programowe (13 procent). W ubiegłym roku poziom adaptacji MFA wśród Internautów wynosił 64 procent, zaś w przypadku administratorów IT wskaźnik osiągnął poziom 90 procent. To wyraźny progres w porównaniu z wcześniejszymi latami – dla porównania w 2019 roku adaptacja MFA nie przekraczała pułapu 40 procent.

• Uwierzytelnianie wieloskładnikowe szybko zyskuje zwolenników. Szacuje się, że około 60 procent wycieków informacji jest następstwem kradzieży danych uwierzytelniających. Według specjalistów zajmujących się cyberbezpieczeństwem MFA blokuje 99,9 procent cyberataków. Do wzrostu popularności tej metody przyczyniły się nie tylko bardzo wysoka skuteczność, ale także regulacje, pandemia i szeroko nagłaśniane przez media cyberataki – tłumaczy Michał Łabęcki, G DATA Software.

To nie koniec wojny

Wojna cyberprzestępców z dostawcami systemów bezpieczeństwa IT jest prawdziwym wyścigiem zbrojeń – każdy postęp w branży stanowi wyzwanie dla napastników. Nie inaczej jest w przypadku MFA. Grupy przestępcze stosują kilka technik mających na celu ominięcie zabezpieczeń.

W przypadku łamania niezbyt zaawansowanych haseł skutecznym sposobem na ich złamanie są tak zwane ataki brute force (siłowe). Napastnicy, aby rozszyfrować prawidłową sekwencję stosują metodę prób i błędów. Czasami potrzebują na osiągnięcie celu kilkanaście minut, a innym razem kilku godzin. Według bardzo podobnego schematu działają cyberprzestępcy bombardujący użytkownika konta poświadczeniami wysyłanymi za pomocą automatycznego skryptu. W krótkim czasie potencjalna ofiara otrzymuje setki powiadomień push z komunikatami typu „zatwierdź” lub „odmów” logowania. Część osób w wyniku frustracji i zmęczenia reaguje na zaczepki napastników.

Szczególnie złą sławą cieszy się grupa Lapsus$, specjalizują się w technikach obejścia MFA. Na swoim oficjalnym kanale na Telegramie, napastnicy udzielają wskazówek dotyczących ataków.

„Nie ma ograniczeń co do liczby połączeń, które można wykonywać. Zadzwoń do pracownika 100 razy o godzinie pierwszej w nocy, kiedy próbuje zasnąć. Wówczas najprawdopodobniej zaakceptuje połączenie. Gdy przyjmie wstępne połączenie, możesz uzyskać dostęp do portalu rejestracji MFA i zarejestrować inne urządzenie” – wyjaśnia jeden z członków grupy przestępczej.

Czasami napastnicy sięgają po bardziej wysublimowane metody i wykorzystują serwer pośredniczący do przechwytywania w czasie rzeczywistym poświadczeń i sesji użytkownika. W ten sposób haker pośredniczy w wymianie informacji pomiędzy użytkownikiem i docelową, prawdziwą stroną internetową. W rezultacie przejmuje nazwę użytkownika, hasło, tokeny sesji lub kody jednorazowe służące do uwierzytelniania dwuskładnikowego.

Innym trudnym do wykrycia atakiem jest wymiana karty SIM, często też określana jako „SIM swapping”. Haker przejmuje całkowitą kontrolę nad numerem telefonu ofiary, wyrabiając duplikat karty SIM. Jednak aby to zrobić, napastnik musi posiadać dane osobowe właściciela numeru. Napastnik kontaktuje się z operatorem telefonii komórkowej, podszywając się pod prawdziwego abonenta. Następnie, pod pretekstem zgubienia bądź uszkodzenia telefonu, zleca wyrobienie nowej karty SIM. Wraz z otrzymaniem duplikatu przejmuje całkowitą kontrolę nad numerem telefonu ofiary.

– Napastnik może omijać MFA, ale żeby to zrobić, w większości przypadków musi posiadać odpowiednie dane logowania. Dlatego samo wdrożenie metody wielokrotnego uwierzytelniania nie zwalnia od stosowania silnych haseł. Poza tym w firmach warto stosować zasadę „zerowego zaufania”, czyli udostępniać pracownikom tylko dane potrzebne do wykonywania obowiązków służbowych – podsumowuje Michał Łabęcki.

Cyfryzacja jest bronią obosieczną – z jednej strony usprawnia procesy biznesowe, zaś z drugiej otwiera nowe furtki dla hakerów.

Nowoczesne technologie na ogół wzbudzają zachwyt, który w wielu przypadkach jest uzasadniony. Jednak o ile większość osób dostrzega pozytywy technologicznych innowacji, o tyle zdecydowanie rzadziej widzi ich negatywy. Tymczasem niemal każda technologiczna innowacja niesie ze sobą zagrożenia. Warto to sobie uzmysłowić, tym bardziej, że wraz rozkwitem sztucznej inteligencji, a w nieodległej przyszłości debiutem komputerów kwantowych, pojawią się nowe, wcześniej zupełnie nieznane ryzyka.

Rewolucja internetowa w diametralny sposób zmieniła styl naszego życia oraz pracy. Dziś można robić zakupy, bądź płacić rachunki siedząc w fotelu, a także oglądać filmy w domu nie posiadając telewizora. Wielkim beneficjentem cyfrowej rewolucji jest również świat biznesu. Firmy zyskały dostęp nie tylko do narzędzi usprawniających komunikację i pracę online, ale również danych znajdujących się w rozrzuconych po całym świecie centrach danych. Pracownicy mogą uczestniczyć w szkoleniach i konferencjach bez konieczności wyjazdów służbowych. Tego typu przypadki można mnożyć praktycznie w nieskończoność, aczkolwiek cyfrowa transformacja cyfrowa niesie ze sobą też koszty.

– Wraz z postępującą digitalizacją przedsiębiorstwa oraz instytucje wydają pieniądze na serwery, pamięci masowe, komputery, smartfony, oprogramowanie. Z roku na rok rosną też wydatki na cyberbezpieczeństwo. Organizacje poszukują rozwiązań chroniących dane osobowe, urządzenia końcowe, infrastrukturę krytyczną przed narastającą falą ataków. Nikt chyba nie ma złudzeń, że w najbliższych latach firmy będą przeznaczać na wymienione cele coraz więcej środków finansowych. – mówi Michał Łabęcki, G DATA Polska.

Według Gartnera na koniec bieżącego roku globalne wydatki na cyberbezpieczeństwo wyniosą 215 miliardów dolarów. We wcześniejszych latach 2022 oraz 2023 było to odpowiednio 164, 7 oraz 188,1 miliardów dolarów.

Niestety, rosną również koszty szkód spowodowanych przez cyberprzestępców. Analitycy z Cybersecurity Ventures prognozują, że w 2025 roku globalne straty z tego tytułu osiągną poziom 10,5 biliona dolarów rocznie – o 7,5 biliona dolarów więcej niż w 2015 roku. Kryją się za tym uszkodzenie i zniszczenie danych, skradzione pieniądze, utrata produktywności, kradzież własności intelektualnej, kradzież danych osobowych i finansowych, defraudacja, oszustwo, zakłócenia w normalnym toku działalności, dochodzenie kryminalistyczne, przywracanie i usuwanie zhakowanych danych i systemów oraz rysy na wizerunku organizacji.

Specyficzny wyścig

Nie tylko dostawcy rozwiązań IT cały czas udoskonalają swoje narzędzia. To samo robią cyberprzestępcy. Andrzej Zybertowicz w książce „Cyber kontra real” porównuje rywalizację dostawców systemów bezpieczeństwa IT z cyberprzestępcami do wyścigu pomiędzy mieczem a tarczą. Kiedy producenci wprowadzą nowe narzędzia bezpieczeństwa, napastnicy natychmiast opracowują rozwiązania pozwalające sforsować przeszkody. Ten wyścig z jednej strony przyczynia się do innowacji w segmencie systemów bezpieczeństwa IT, zaś z drugiej, nadmierny pośpiech przyczynia się do powstawania błędów w samych produktach lub ich uaktualnieniach, czego najlepszy przykład stanowi lipcowa aktualizacja oprogramowania CrowdStrike.

Dostęp do innowacji nie jest zarezerwowany wyłącznie dla ludzi mających dobre intencje. Wszelkiej maści oszuści, hochsztaplerzy czy złodzieje potrafią sprawnie posługiwać się najnowszymi technologiami. Jaskrawym przykładem jest szyfrowanie, zapobiegające niepożądanemu dostępowi do poufnych informacji. Metoda ta pozwala zachować bezpieczeństwo danych przechowywanych na urządzeniach nawet w przypadku ich kradzieży. Natomiast w rękach hakerów staje się wyjątkowo niebezpieczną bronią. Gangi ransomware szyfrują dane swoich ofiar, żądając następnie horrendalnych opłat za klucze deszyfrujące. W połowie czerwca 2024 roku mediana okupu pobieranego przez najbardziej znane grupy przestępcze wynosiła 1,5 miliona dolarów. Co ciekawe, napastnicy pobierają opłatę zazwyczaj w bitcoinach, a więc w zdecentralizowanej walucie, pozwalającej ludziom uniezależnić się od banków, instytucji i rządów.

– Gangi cyberprzestępcze czują się w świecie nowych technologii niczym ryby w wodzie. Co gorsza, umiejętnie kopiują wzorce biznesowe stosowane przez dostawców rozwiązań software’owych. Mam tutaj na myśli wykorzystanie modelu Ransomware as a Service, czy tworzenie programów partnerskich – tłumaczy Michał Łabęcki.

Komputery kwantowe w poczekalni

Świat nowych technologii ani na chwilę się nie zatrzymuje. Jeszcze do niedawna tematem numerem jeden w branży IT były usługi chmurowe. Jednak ponad rok temu musiały one ustąpić sztucznej inteligencji. Jest zbyt wcześnie, aby stwierdzić czy AI przyniesie ludzkości więcej korzyści niż szkód. W międzyczasie udało się poznać jej złe strony, takie jak między innymi ponadprzeciętne zdolności w zakresie generowania fałszywych informacji. Natomiast jej największą zaletą jest automatyzacja wielu żmudnych czynności do tej pory wykonywanych przez ludzi. Część analityków twierdzi, że AI rozwiąże przynajmniej częściowo problem związany z brakiem rąk do pracy w branży cyberbezpieczeństwa. Jest to możliwe, choć nie można zapominać o kolejnych zmianach, jakie przyniosą ze sobą komputery kwantowe. Tradycyjne pecety wykonują obliczenia liniowo, jedno po drugim. Natomiast kwantowe, wykorzystujące kubity, realizują wiele obliczeń jednocześnie. Dzięki czemu w krótkim czasie mogą przeprowadzić bardzo skomplikowane operacje, które konwencjonalnemu komputerowi o ogromnej mocy zajęłyby kilka lat. Ale jest i druga strona medalu – komputer kwantowy może złamać część systemów szyfrujących, stojących na straży sklepów internetowych, banków online czy komunikatorów. Dlatego specjaliści do spraw cyberbezpieczeństwa muszą cały czas czuwać i reagować na nowe możliwości.

Konsumenci rozmaicie reagują na wycieki danych. Większość beztrosko wzrusza ramionami, a nieliczni wprowadzają dodatkowe środki bezpieczeństwa IT.

Naruszenia danych w dużych koncernach oraz instytucjach stały się czymś naturalnym. Informacje wyciekają z instytucji finansowych, portali społecznościowych, sieci hotelowych, placówek oświatowych, szpitali. Do najpoważniejszego w historii naruszenia doszło w latach 2013-2014. Wówczas napastnicy uzyskali nieautoryzowany dostęp do około 3 miliardów kont użytkowników portalu Yahoo!. Hakerzy pozyskali nazwiska, adresy e-mail, hasła i pytania zabezpieczające.

Według danych Rochester Institute of Technology w drugim kwartale 2023 w wyniku naruszeń danych w dużych firmach ujawniono ponad 110 milionów kont użytkowników. Co ciekawe, poszkodowani konsumenci zazwyczaj po powiadomieniu ich o naruszeniu danych, szybko powracają na skompromitowaną stronę. Taką postawę zadeklarowało niemal dwie trzecie spośród 200 ankietowanych Amerykanów, a ich jedyną reakcją na informację o wycieku było wprowadzenie nowego hasła. Prawie jedna czwarta osób stwierdziła, że powróci na zaatakowaną wcześniej stronę internetową, nie zmieniając nic w swoim zachowaniu, zaś tylko 10 procent powiedziało, że już do niej nie powróci. Zdaniem ankietowanych istnieje niewiele – jeśli w ogóle – alternatyw dla ich ulubionych stron internetowych, a poza tym trudno znaleźć witrynę, w której nigdy nie doszło do wycieku informacji

– Z naszych obserwacji wynika, że wyciek danych skłania jedynie nielicznych konsumentów do podjęcia bardziej przemyślanych działań dążących do poprawy bezpieczeństwa. Najczęściej motywują ich do tego finansowe konsekwencje cyberataku., takie jak kradzież środków finansowych z karty kredytowej – tłumaczy Michał Łabęcki, Marketing Manager w G DATA.

Niezależnie od tego, czy ofiary cyberataków straciły pieniądze, czy wrażliwe dane osobowe, należy zachować spokój i racjonalne myślenie. Tylko w ten sposób można zminimalizować ewentualne straty.

Zmiana hasła

Naruszenia danych przybierają rozmaity charakter, a tym samym poziom szkodliwości. Niektóre z nich dotyczą dość błahych z punktu widzenia ofiary kwestii, takich jak preferencje dotyczące przeglądania stron internetowych, historii wyszukiwania, czy hasła i loginu do sporadycznie odwiedzanego konta pocztowego. Takich incydentów nie należy lekceważyć, ale nie trzeba też wpadać w panikę. Pierwszą reakcją powinna być zmiana hasła. Należy sprawdzić, czy nie jest ono używane w innych serwisach internetowych, bądź kontach pocztowych, bowiem istnieje poważne ryzyko, że napastnicy za pomocą pozyskanego hasła spróbują się do nich zalogować. Dlatego dla własnego bezpieczeństwa najlepiej tworzyć osobne hasła dla poszczególnych kont internetowych, platform handlowych, czy poczty elektronicznej. W tym celu można skorzystać z menedżera haseł oferowanego przez niektóre programy antywirusowe.

Uwierzytelnianie wieloskładnikowe

Wyższy poziom bezpieczeństwa gwarantuje uwierzytelnianie wieloskładnikowe.

Użytkownik wprowadza hasło, a następnie potwierdza swoją tożsamość za pomocą urządzenia osobistego, zazwyczaj telefonu komórkowego. To uniemożliwia napastnikowi zalogowanie się na konto za pomocą skradzionego hasła.

Zastrzeżenie karty

W trudniejszej sytuacji znajdują się osoby, które doświadczyły wycieku numerów kart kredytowych lub wrażliwych danych. W takich przypadkach pierwszym krokiem jest zastrzeżenie karty w banku. Obecnie większość instytucji finansowych pozwala na przeprowadzenie tej operacji zdalnie za pomocą mobilnej aplikacji. Nie można też bagatelizować wycieku informacji dotyczących dowodu bądź paszportu, ponieważ napastnicy mogą wykorzystać wykradzione informacje np. do przejęcia tożsamości online ofiary. Przykładem naszej tożsamości cyfrowej jest elektroniczny dowód osobisty, paszport oraz prawo jazdy. Szczególnie narażone są osoby używające swoich prawdziwych imion i nazwisk na forach internetowych, portalach internetowych czy na platformach z grami online.

Do częstych naruszeń danych dochodzi na portalach społecznościowych. Podstawową formą ochrony jest włączenie uwierzytelniania dwuskładnikowego. Ale są też inny metody – zmiana hasła, sprawdzenie aktywności logowania, przejrzenie wszystkich wiadomości i komentarzy na koncie. W przypadku wystąpienia jakichkolwiek podejrzeń należy zgłosić to osobom odpowiedzialnym za funkcjonowanie serwisu. Warto też czasowo dezaktywować konto, aby maksymalnie utrudnić do niego dostęp hakerom.