Bezpieczeństwo w sieci: co zrobić, gdy system ostrzega o nietypowym logowaniu? 

Niepozorny komunikat o nietypowej aktywności potrafi być pierwszym sygnałem, że ktoś właśnie próbuje przejąć konto lub włamać się do firmowego systemu. Może oznaczać atak z drugiego końca świata, ale też… sprytnie spreparowane oszustwo mające wyłudzić dane. Z powodu rosnącej liczby cyberzagrożeń warto wiedzieć, kiedy alarm traktować poważnie, a kiedy zachować ostrożność wobec samego ostrzeżenia. W tym artykule pokażemy, jak rozpoznać podejrzane logowanie, jakie są najczęstsze metody ataku, oraz dlaczego nowe przepisy w obszarze cyberbezpieczeństwa zmieniają zasady walki z cyberprzestępczością.

Nietypowe logowanie – dlaczego to potencjalne cyberzagrożenie?

Tego typu komunikaty to poważny sygnał alarmowy świadczący o naruszeniu cyberprzestrzeni. To próba dostępu do konta z innej lokalizacji, nowego urządzenia lub o nietypowej porze. Taki incydent często oznacza, że ktoś przejął dane i próbuje dostać się do systemu informatycznego firmy.

Alert o nietypowej aktywności

Ignorowanie alertów bezpieczeństwa zwykle prowadzi do eskalacji ataku cyfrowego. Atakujący może ukraść poufne dane, przejąć konta e-mail i systemy firmowe. Może nawet sparaliżować działalność przedsiębiorstwa oprogramowaniem ransomware. Konsekwencje dla firmy czy instytucji mogą być bardzo dotkliwe. Wyciek danych klientów czy informacji handlowych naraża na straty finansowe i utratę reputacji. W przypadku nieodpowiedniego postępowania podczas cyberataku grozi też odpowiedzialność prawna.

Jak działa geolokalizacja IP?

Geolokalizacja IP to proces, który ustala przybliżone położenie urządzenia na podstawie adresu IP. Każdy adres IP jest przypisany do dostawcy usług internetowych (ISP). W publicznych bazach znajdują się informacje o jego lokalizacji, najczęściej w skali miasta lub regionu.

Systemy bezpieczeństwa porównują bieżącą lokalizację z historią aktywności użytkownika. Jeśli ktoś loguje się z kraju lub kontynentu, z którego wcześniej tego nie robił, system może oznaczyć próbę jako podejrzaną i wysłać alert. Mechanizm ten działa także przy próbach dostępu z nowych urządzeń. Unikalne identyfikatory sprzętowe pozwalają sprawdzić, czy dany komputer lub telefon był już wcześniej używany do dostępu do konta. To jedna z form pomagająca w walce z cyberzagrożeniem.

Jakich kont najczęściej dotyczy ataki?

Dotyczą one różnych kont, nie tylko bankowych. Coraz częściej celem stają się firmowe skrzynki e-mail. Zawierają one poufne informacje – dokumenty, dane klientów czy informacje kontraktowe. Innym popularnym celem są:

• konta w usługach chmurowych,
• panele administracyjne stron internetowych,
• narzędzia CRM (systemy do zarządzania relacjami z klientami),
• systemy ERP (systemy do zarządzania zasobami przedsiębiorstwa).

Cyberprzestępcy interesują się też kontami w mediach społecznościowych. Przejęcie profilu firmowego pozwala im rozsyłać fałszywe informacje i oszukiwać klientów.

Przyczyny wycieku haseł

Najczęstszą przyczyną wycieku haseł jest nieprzestrzeganie zasad bezpiecznego korzystania z internetu, choć nie zawsze tak jest.

Atak brute force

Częstym zjawiskiem jest brute force, w którym napastnik wykorzystuje zautomatyzowane narzędzia do testowania milionów kombinacji haseł w krótkim czasie. Jeśli hasło jest proste lub powszechnie używane, złamanie zabezpieczenia może zająć zaledwie sekundy.

Fałszywy alert (phishing)

Cyberprzestępca wysyła e-mail lub SMS, który wygląda jak komunikat od zaufanej usługi. Zachęca do kliknięcia w link i ponownego zalogowania się. W ten sposób fałszywa strona kradnie dane.

Przykład fałszywej strony do logowania do banku Pekao, źródło: https://www.gov.pl/web/baza-wiedzy/uwaga-csirt-knf-ostrzega-przed-falszywymi-stronami-podszywajacymi-sie-pod-bank-pekao-sa

Złośliwe oprogramowanie

Nie mniej groźne jest złośliwe oprogramowanie – keyloggery i trojany mogą rejestrować wciśnięcia klawiszy, przechwytywać dane z przeglądarki i wysyłać je na serwery cyberprzestępcy. W wielu przypadkach malware trafia na komputer lub telefon po otwarciu załącznika w e-mailu lub pobraniu „aktualizacji” z nieoficjalnego źródła.

Słabe zabezpieczenia haseł

Do wycieków przyczyniają się także słabe zabezpieczenia haseł – brak uwierzytelniania dwuskładnikowego, przechowywanie haseł w niezaszyfrowanej formie lub używanie tych samych danych logowania w wielu serwisach.

Działanie uwierzytelniania dwuskładnikowego

Zgubione urządzenia

Nie można też bagatelizować ryzyka wynikającego z utraty lub kradzieży sprzętu. Jeśli smartfon czy laptop nie są odpowiednio zabezpieczone kodem PIN, hasłem lub szyfrowaniem, każdy kto wejdzie w jego posiadanie, może uzyskać dostęp do zapisanych kont i aplikacji.

Jak rozpoznać nietypowe logowanie w systemach firmowych?

Nietypowe logowanie w systemach firmowych często objawia się nagłymi próbami dostępu z odległych lokalizacji lub sprzętów, które nie są związane z działalnością firmy.

Powtarzające się w krótkim czasie próby dostępu do konta mogą świadczyć o ataku typu brute force. Podejrzane jest też, gdy na koncie pojawiają się działania, których użytkownik nie wykonywał. Może to być zmiana ustawień bezpieczeństwa, dodanie nowego adresu e-mail czy próba resetu hasła.

Przykładowe incydenty

Często dochodzi do sytuacji, w której atakujący przejmuje konto pracownika działu finansowego i wykorzystuje je do wysyłania fałszywych faktur do klientów. Innym przykładem jest uzyskanie dostępu do skrzynki e-mail członka zarządu, co pozwala na przechwycenie poufnej korespondencji z danymi osobowymi i wykorzystanie jej w operacjach typu BEC (Business Email Compromise). W sektorze e-commerce zdarza się, że przejęcie konta administratora sklepu prowadzi do wgrania złośliwego kodu na stronę, który wykrada dane kart płatniczych klientów.

Kradzież danych a nowelizacja ustawy o cyberbezpieczeństwie

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wprowadziła nowe zasady raportowania incydentów związanych z cyberbezpieczeństwem. Firmy i instytucje muszą zgłaszać cyberzagrożenia w ciągu 24 godzin od ich wykrycia. Pełny raport trzeba złożyć w ciągu 72 godzin.

Sektory kluczowe (energetyka, telekomunikacja, ochrona zdrowia, IT) mają wdrożyć procedury reagowania na sygnały zagrożenia. Za brak zgłoszenia lub niedopełnienie obowiązków grożą kary finansowe.

Nowa ustawa rozszerza też kompetencje organów nadzorczych. Mogą one nakazać audyt bezpieczeństwa lub zablokowanie ruchu z określonego adresu IP.

Jak dbać o cyberbezpieczeństwo w sieci?

Podstawą bezpieczeństwa informacji i systemów cyfrowych jest stosowanie silnych, unikalnych haseł oraz włączanie uwierzytelniania dwuskładnikowego, które znacząco utrudnia przejęcie konta nawet w przypadku wycieku hasła. Jednym z działań zabezpieczających jest też regularne aktualizowanie oprogramowania. To sposób na eliminowanie luk bezpieczeństwa wykorzystywanych przez cyberprzestępców. Warto zachować czujność w przypadku maili z linkami prowadzącymi do strony logowania – adresy są często bardzo podobne do oryginalnych platform.

Różnice pomiędzy prawdziwymi i fałszywymi stronami

W firmach i instytucjach publicznych ważną rolę odgrywają szkolenia z cyberbezpieczeństwa – pracownicy powinni nie tylko umieć rozpoznać fałszywe wiadomości, ale też im zapobiegać: unikać podejrzanych linków, reagować na alerty, aktualizować bazę wirusów, chronić dane w sieci. Organizacje powinny też prowadzić monitoring bezpieczeństwa w czasie rzeczywistym oraz posiadać jasno określone procedury reagowania na incydenty. To wszystko wpływa na poziom bezpieczeństwa usług cyfrowych, systemów i oprogramowania stosowanego przez jednostkę.