Makay József, etikus hekkertől megtudtuk, hogy sokan tavaly a saját bőrükön is megtapasztalták az elméletet: karácsony másnapján minden korábbinál nagyobb számban keresték meg a Makay Kiberbiztonsági Kft-t azzal, hogy szenteste zsarolóvírus-támadás áldozatául estek.
Az már eddig is megszokott volt, hogy a kiberbűnözők a zsarolóvírus-támadásokat konkrét időintervallumra időzítik – jellemzően hétvégén, hajnali 2-3 órára, amikor már minden rendszergazda alszik és a naplóelemző (SIEM) által küldött riasztásokat sem figyeli – így nem csoda, hogy az ünnepek is megkapták a támadók kiemelt figyelmét.
Hozzátette, a bejelentők leginkább cégvezetők, rendszergazdák voltak, mivel többnyire cégeknél működnek aktív felügyelet nélkül olyan informatikai rendszerek, amiknek célzott (és időzített) megtámadása nagyobb eséllyel kecsegtet profittal a támadók számára, mint az otthoni felhasználók esetében. Pedig, ahogy nyaraláskor sem hagyjuk nyitva a bejárati ajtót, úgy - saját érdekünkben - gépeinknek is kijárna a kellő védelem. Öröm az ürömben, hogy nem vagyunk teljesen tehetetlenek, mivel létezik pár hasznos tipp, melyekkel csökkenthetjük a biztonsági kockázatot:
Az eszközeinket felhasználói jogosultságokkal használjuk és rajtuk kizárólag olyan szoftverek fussanak, valamint azok a portok legyenek nyitva, amik feltétlenül szükségesek a mindennapi tevékenységünkhöz.
Számos kártevő ugyanis olyan csatornákon (RDP, SSH, Telnet, Távsegítség, Java, Adobe Flash, böngészőbővítmények, stb.) próbál bejutni a rendszerünkbe, amiket nem, vagy csak alig használunk és gyakran érintettek sérülékenységekben.
Távolítsuk el, vagy tiltsuk le ezeket a potenciális támadási felületeket és távoli elérésre RDP/SSH helyett jól védett VPN megoldást alkalmazzunk!
A 2017 májusában indított WannaCry zsarolóvírus több mint százötven ország több százezer számítógépét fertőzte meg, mindössze két nap alatt. A sikeressége viszont nem a fejlettségében rejlett, hanem abban, hogy egy olyan Windows-sebezhetőséget használt ki a terjedéshez, amire ugyan a Microsoft már hónapokkal korábban kiadta a javítást, a felhasználók mégsem telepítették.
Bár a biztonságtudatosság is szükséges, az igazi védelem megalapozásánál nem feledkezhetünk meg egy hatékony védelmi szoftver kiválasztásáról és alkalmazásáról sem, amik folyamatosan figyelik az eszközön végzett tevékenységet és a futó folyamatokat, hogy a szükséges pillanatban közbeavatkozzanak, ezzel megakadályozva a kártevők és az illetéktelenek munkáját. Az antivírus szoftverekkel egyébként is ajánlott heti vagy havi rendszerességgel, ünnepek előtt pedig soron kívül manuális teljes vizsgálatot végezni.
Az alkalmazott antivírusok nem sokat érnek, ha a támadók képesek manuálisan bejelentkezni a hálózatunkba, és rendszergazdaként kikapcsolni azokat a hálózatra csatlakozó eszközökön. Ezért javasolt hardveres tűzfal építése az internet és a belső hálózatunk közé, hogy a támadók ne próbálkozhassanak a betöréssel.
Kerüljük a könnyen kitalálható, ránk jellemző, rövid szavak és szó-összetételek jelszóként való használatát, amiket amúgy a támadó is kipróbálna belépési felületeinken. Jelszavaink legyenek hosszúak, minimum kilenc karakteresek, tartalmazzanak számokat és speciális karaktereket, a sorozatos adatszivárgási botrányok miatt pedig érdemes azokat három-hat havonta lecserélni.
Amennyiben egy adott online szolgáltatás (Facebook, Google, bank) lehetőséget biztosít a kétlépcsős (kétfaktoros) azonosítás bekapcsolására, éljünk vele, az SMS-es (és egyéb kódos, tokenes) azonosítás ugyanis számos esetben képes megakadályozni a kiberbűnözőket belépési adataink sikeres felhasználásában a különböző bejelentkező felületeken.
Mivel a zsarolóvírusok jelentős része kizárólag közismert és népszerű fájlformátumokat (DOC, DOCX, XLS, XLSX, JPG, PDF) céloz, sokat segíthet a kártevők elleni védekezésben, ha egy egyedi kiterjesztéssel ellátott, titkosított archívumot használunk. Erre a VeraCrypt az egyik legmegfelelőbb eszköz, amivel nagyon erős titkosítású, meghajtóként csatolható archívumokat hozhatunk létre, nem-létező fájlkiterjesztésekkel, például CsaladiFotok.horvat.
A zsarolóvírusok sikeres fertőzés esetén záros határidőn belül elkezdik tevékenységüket, pusztításuk pedig azonnal felfedezhető az általuk feldobott figyelmeztetésnek és a titkosított (olvashatatlan) fájloknak köszönhetően. Ugyanakkor tudnunk kell, hogy kizárólag azokat a fájlokat titkosítják, amikhez a fertőzési folyamat során hozzáférnek.
Készítsünk rendszeresen biztonsági mentéseket adatainkról manuálisan, csak a mentés idejére csatlakoztatott tárhelyre vagy kliensszoftver nélkül a felhőalapú, vagyis DropBox, Google Drive, Google Photos, Microsoft OneDrive, Amazon Drive megoldásokra!
Rengetegen esnek áldozatul olyan zsarolóvírusoknak, amiket valamiben népszerű szoftvertípusban rejtenek el és terjesztenek az interneten. Sajnos a legnépszerűbb internetes keresők sokszor az első lapon tüntetik fel találatként a fertőzött szoftvereket (Windows Activatorok, crackek, keygenek) terjesztő weboldalakat. Kerüljük ezeket a szoftvereket és kizárólag megbízható forrásból származó, legális szoftvereket használjunk!
A kártevők többsége felhasználói közreműködés eredményeként jut a rendszerbe, így a megfelelő kibervédelmi oktatás elengedhetetlen a biztonság maximalizálása érdekében. Való igaz, az ördög sosem alszik, de sokkal nyugodtabban tölthetjük az ünnepeket a tudatban, hogy a lehető legtöbbet megtettük személyes adataink védelméért.
(Fotó: Unsplash, Difesa & Sicurezza)