Līdz ar attālināta darba režīma pieaugumu ārkārtējā situācijā Latvijā būtiski pieaudzis kiberuzbrukumu skaits, aģentūrai LETA pastāstīja informācijas tehnoloģiju drošības incidentu novēršanas institūcijas "Cert.lv" pārstāve Līga Besere.
"Cert.lv": Latvijā attālinātais darbs veicinājis kiberuzbrukumu skaita pieaugumu
Viņa norādīja, ka līdz šim kā nopietni kiberuzbrukumi bijuši "Facebook" lapu pārņemšanas mēģinājumi, "Emotet" ļaunatūras izplatīšana kaitīgos e-pastu pielikumos, kā arī uz "Office 365" lietotājiem vērsti uzbrukumi, lai piekļūtu lietotāja resursiem.
"Cert.lv" aicina pievērst pastiprinātu uzmanību pārlūka adrešu laukā redzamajai adresi pirms vietnē ievadīt savus "Facebook piekļuves datus. Kas attiecas uz ļaunatūrām, efektīvākais aizsardzības veids ir atslēgt un nekādā gadījumā neiespējot "Macros" funkcionalitāti dokumentos, bet e-pastus aicina pasargāt, vēršot uzmanību jauniem piekļuves tiesību pieprasījumiem, kas tiek saņemti "Office 365" vidē.
Besere skaidroja, ka patlaban īpaši aktīvi ir centieni pārņemt tieši valsts iestāžu un nozīmīgu organizāciju "Facebook" lapas. Izvēlētajai lapai tiek nosūtīta ziņa, vai arī ar pieminēšanas palīdzību tiek nodrošināts, ka paziņojums tiks parādīts lapas paziņojumu sarakstā. Ziņa satur brīdinājumu par autortiesību pārkāpumu vai informē par citu lietotāju iesniegto sūdzību saistībā ar lapas krāpniecisko saturu.
Viņa norādīja, ka ziņā norādīta saite, kurā jāveic autorizācija un jāseko norādījumiem, lai novērstu konta bloķēšanu. Šādas ziņas tiek izsūtītas no kontiem, kuru nosaukums ir veidots tā, lai radītu iespaidu, ka sūtītājs ir pats "Facebook". Piemēram, "Blue Check Mark Notification" vai "Facebook Recovery Verified", lai arī šiem kontiem patiesībā nav nekāda sakara ar īsto "Facebook".
Savukārt, ja saite atvērta un parole ievadīta, kiberuzbrucēji pārņem attiecīgās lapas administrēšanu un atvieno līdzšinējos lapas administratorus, kā arī aizvieto lapas saturu ar dažādām reklāmām.
Otrs aktīvākais uzbrukuma veids ir "Emotet" ļaunatūras izplatīšana, kas patlaban vērsta pret būvniecības sektoru, lielajiem mazumtirdzniecības uzņēmumiem, vidējiem uzņēmumiem un valsts un pašvaldību iestādēm.
Kā stāstīja Besere, vīruss tiek izsūtīts e-pastos no upurim pazīstama konta, kam pievienots ".doc" pielikums ar "Macros" funkcionalitāti. Kaitīgais e-pasts uzticamības palielināšanai satur fragmentus no upura iepriekš veiktām sarakstēm, lai radītu iespaidu, ka šis ir sarakstes turpinājums. Ja saņēmējs atver dokumentu un iespējo "Macros" funkciju, vīruss nonāk iekārtā. Vīruss vāc sensitīvu informāciju no upura iekārtas, lejupielādē iekārtā papildu ļaunatūru, kā arī izsūta sevi tālāk upura kontaktu sarakstam un cenšas izplatīties tālāk arī uz citām tīklā pieejamajām iekārtām.
Savukārt trešais aktīvākais kiberuzbrukumu veids bijis vērsts uz "Microsoft Office 365" lietotājiem. Kā stāstīja Besere, šis ir inovatīvs uzbrukums, jo necenšas izkrāpt lietotāju
piekļuves datus vai veikt kaitnieciskas darbības upura iekārtā, līdz ar ko pret šo uzbrukumu nevar pasargāt antivīrusu risinājumi.
Viņa skaidroja, ka uzbrukumā upurim tiek nosūtīts e-pasts ar saiti uz it kā koplietotu dokumentu. Atverot saiti, lietotājs tiek pārvirzīts uz leģitīmu "Microsoft" vietni, kurā veicama autentifikācija. Uzbrucēju mērķis ir piesaistīt lietotāja kontu ļaunprātīgai "Microsoft Azure" vidē izveidotai lietotnei ("Azure App"), kura pēc lietotāja autentificēšanās "Office 365" sistēmā pieprasa apstiprināt piekļuvi dažādiem lietotājam pieejamiem resursiem.
Tādējādi krāpnieks piekļūst gan lietotāja izmantotajiem pakalpojumiem "Office 365 vidē (e-pastam, kalendāram, failiem, kontaktu sarakstam), gan citiem "Microsoft" risinājumiem ("Skype", "SharePoint", "OneDrive", "Remote Desktop"), kā arī visiem trešo pušu risinājumiem, kuros organizācijā tiek izmantota vienota pierakstīšanās, piemēram, "Zoom" platformā.
Kā norādīja Besere, lai arī visas lietotnes pieprasītās tiesības tiek uzskaitītas pirms "Azure App" pievienošanas, daudzi lietotāji, nepievēršot papildu uzmanību un veic pieprasījuma apstiprināšanu. Bieži uzticamības palielināšanai šīm lietotnēm tiek piešķirti nosaukumi, kas asociējas ar "Microsoft" vai citiem populāriem servisiem.
Viņa atzīmēja, ka saitē " katrs "Ofiice 365" lietotājs var pārbaudīt, kādām "Azure App" lietotnēm patlaban ļauts piekļūt lietotāja kontam, un atvienot lietotnes, kuras tiek novērtētas kā nevēlamas.
"Cert.lv" ir Latvijas Universitātes Matemātikas un informātikas institūta struktūrvienība, kuras uzdevumi ir uzturēt vienotu elektroniskās informācijas telpā notiekošo darbību atainojumu, sniegt atbalstu informācijas tehnoloģiju drošības incidentu novēršanā vai koordinēt to novēršanu Latvijas IP adrešu apgabalos un ".lv" domēna vārdu zonā.