Wszystkie artykuły Poprzedni Następny

19 znaków, że zostałeś zhakowany

Spektrum zagrożeń w dzisiejszych czasach jest tak szerokie, że oprogramowanie mające chronić nas przed malware nie zawsze daje nam spokój umysłu. Programy antywirusowe i antymalware mogą być szczególnie mało skuteczne w przypadkach nowych zagrożeń mających mniej niż 24 godziny. Atakujący mają możliwość zmiany taktyki, a nawet niewielka zmiana w złośliwym kodzie może spowodować, że sampel nie zostanie rozpoznany przez oprogramowanie antymalware. W takim przypadku pozostaje nam sprawdzić złośliwy plik z VirusTotal, który wykorzystuje 60 różnych skanerów, by sprawdzić, czy dany sampel jest szkodliwy.

By z tym walczyć, programy antymalware korzystają z monitorowania zachowania (heurystyka), by wykryć sample, których nie ma jeszcze w bazie danych. Inne korzystają z wirtualnych systemów, monitorowania systemu, czy analizowania ruchu sieciowego.

W tym artykule postaramy się opisać jak rozpoznać fakt, że zostaliśmy zhakowani.

Lista sygnałów, że zostałeś zhakowany:

  • Wiadomość ransomware
  • Fałszywa wiadomość z programu antywirusowego
  • Niechciane paski narzędziowe w przeglądarce
  • Wyniki wyszukiwań są przekierowywane
  • Częste, niechciane pop-upy
  • Nieoczekiwane zapytania aplikacji o dostęp
  • Twój procesor działa na pełnej prędkości
  • Twój internet działa wolniej niż zwykle
  • Twoje hasło przestało działać
  • Z Twojego konta na social media lub e-mail wysyłane są wiadomości
  • Zainstalowane nowe oprogramowanie
  • Twoja myszka porusza się pomiędzy programami
  • Program antywirusowy, edytor registrów, lub menadżer zadań nie działa
  • Na Twoim koncie online brakuje pieniędzy
  • Dostajesz wiadomości o towarach wysłanych do nieznanych lokalizacji
  • Zostałeś powiadomiony, że Twoja organizacja została zhakowana
  • Potwierdzony wyciek danych
  • Twoje dane są w wycieku haseł
  • Zauważyłeś dziwne zachowania podczas analizy sieci

Niezależnie od oznak i sposobu, w jaki zostaliśmy zhakowani najskuteczniejszym działaniem jest powrócenie do ostatniego stanu systemu, gdy był „czysty". Jakiś czas temu oznaczało to bardzo uciążliwe formatowanie dysku i ponowną instalację systemu — obecnie jest to bardzo proste i oznacza odtworzenie stanu z backupu.

Wiadomość ransomware

Jedną z najgorszych wiadomości, jaką można dostać na komputerze, w związku z nim samym, jest wiadomość ransomware. Zwykle zajmuje cały ekran i tłumaczy, w jaki sposób dokonać płatności, by odzyskać zaszyfrowane dane. Ransomware jest gigantycznym problemem — miliardy dolarów, liczonych w spłatach i stratach w produktywności, zostało straconych przez ten proceder. Dotyczy właściwie każdej wielkości biznesu, ludzi prywatnych i instytucji takich jak szpitale. Około 50% ofiar płaci okup, co przyczynia się do trwania tego procederu.

atak wanna cry ransomware ali

40% z tych, którzy zapłacili okup, nigdy nie odzyskało danych. Większość ofiar kończy z wieloma dniami zakłóconego biznesu nawet w przypadku dokonania zapłaty.

Co robić? 

W przypadku posiadania backupu należy powrócić do ostatniego stanu systemu, w którym był w pełni działający. Trzeba pamiętać o sprawdzeniu, czy przywracanie zostało wykonane w 100%. Niestety, bardzo duża część organizacji nie ma przetestowanych systemów backupowych lub nie ma ich wcale — co kończy się dla takiej organizacji tragicznie.

Najlepszym zabezpieczeniem jest upewnienie się, że posiadamy dobry i przetestowany system backupowy, który jest offline. Malware staje się coraz bardziej zaawansowane. Hakerzy starają się narazić ofiary na jak największe potencjalne straty, zwiększając tym samym swój potencjalny zarobek. Dokonują tego, między innymi, przez atakowanie backupów online.

Jeśli korzystasz z dysku w chmurze, upewnij się, w jaki sposób dokładnie działa i czy odzyskanie danych w przypadku ataku ransomware będzie możliwe. Nie wszystkie tego typu serwisy mają taką możliwość.

Poszukaj rozwiązania w internecie. Istnieją organizacje, które analizują ransomware i istnieją klucze do części z wariantów ransomware uzyskane dzięki analizie i inżynierii odwrotnej. Będzie potrzebne tu wiedza na temat nazwy i wersji danego ransomware — w tym powinien pomóc aktualny program antymalware.

Badania pokazują, że istnieje dość spora ilość przypadków opłaty okupu ransomware, do którego opublikowane zostały klucze.

Fałszywa wiadomość z programu antywirusowego

Dostajesz wiadomość, że Twoje urządzenie jest zainfekowane. Zwykle wiadomość taka ma formę pop-upu i próbuje wyglądać jak informacja z programu antywirusowego. Tego typu sytuacje nie są już tak popularne, jak jeszcze jakiś czas temu, ale ciągle wymagają naszej reakcji. Taka wiadomość może oznaczać, że nasze urządzenie rzeczywiście zostało zainfekowane. Często wraz z wyświetleniem informacji dochodzi do zablokowania przeglądarki.

fałszywa wiadomość programu antywirusowego

Co robić? 

W najlepszym przypadku wystarczy zresetować przeglądarkę. Jeśli mamy mniej szczęścia nasze urządzenie jest zainfekowane. Należy przywrócić system do ostatniej, w pełni sprawnej, formy.

Blisko związanym z tym jest oszustwo na techniczną pomoc, gdzie wiadomość informuje nas, że nasze urządzenie zostało zainfekowane i podaje numer, na który należy się bezzwłocznie zgłosić. Jeśli rzeczywiście skontaktujemy się z „pomocą techniczną”, konsultant poleci nam zainstalowanie oprogramowania, które pozwoli mu na pełną kontrolę systemu. Następnie włączy fałszywy program antywirusowy, który, oczywiście, znajdzie masę problemów. Jedyne co będziemy musieli zrobić to podać mu swoje dane bankowe, by dokonać zakupu oprogramowania, które te problemy rozwiąże.

Jeśli padłeś ofiarą tego typu oszustwa jak najszybciej zgłoś się do swojego banku, by dokonać zablokowania karty.

Niechciane paski narzędziowe w przeglądarce

Dodatkowe paski narzędziowe w Twojej przeglądarce to znany znak eksploatacji.

Co robić? 

Większość przeglądarek daje możliwość rewizji zainstalowanych pasków narzędzi. Odinstaluj wszystkie niechciane i te, których pochodzenia nie jesteś pewien. Często istnieje możliwość zresetowania przeglądarki do ustawień fabrycznych.

Niechcianych pasków narzędziowych zwykle da się uniknąć poprzez używanie zaktualizowanego oprogramowania.

Wyniki wyszukiwań są przekierowywane

Jednym ze sposobów zarobku hakerów są fałszywe kliknięcia. Haker zarabia za przekierowanie kogoś na stronę, która właściciel nie wie, że ruch pochodzi z nielegalnego źródła.

Tego typu zjawisko można zaobserwować, wpisując popularną frazę w polu wyszukiwania, gdy wyniki pokazują tą samą stronę, która nie ma nic wspólnego z terminem, którego szukaliśmy.

Co robić? 

Przekierowania zwykle związane są z niechcianymi paskami narzędzi, więc należy zastosować takie same kroki i odinstalować wszystkie, których nie jesteśmy pewni.

Częste, niechciane pop-upy

To jeden z częstych oznak zhakowania, ale jednocześnie jeden z najbardziej dokuczliwych. Jeśli często widzisz pop-upy na stronach, które wcześniej ich nie generowały to prawie pewne jest, że Twój system został zainfekowany.

Co robić? 

Tego typu efekty są najczęściej tak jak poprzednio, spowodowane fałszywymi paskami narzędzi. Należy pozbyć się niechcianych pasków.

Nieoczekiwane zapytania aplikacji o dostęp

W zależności od konfiguracji systemu (i firewall'a) aplikacje mogą być zmuszone do zapytania się dostęp do sieci, pozwolenie na działanie lub pozwolenie do dostępu do informacji z innych aplikacji. Takie zapytanie nie musi oznaczać, że zostaliśmy zhakowani, ale jeśli jest niespodziewane, to powinno podnieść naszą czujność.

Co robić? 

Przede wszystkim należy nie być zbyt ufnym — duża liczba użytkowników akceptuje wszystko, co zostanie zapytana przez aplikacje, nie zastanawiając się, co właściwie robi.

Twój procesor działa na pełnej prędkości

Jeśli nie robisz niczego, co mogłoby na to wskazywać (nie korzystasz z obciążającego procesor programu), a mimo to wiatraczki chłodzące procesor i samo CPU działa na pełnych obrotach, może to oznaczać, że jest wykorzystywany do kopania kryptowalut. W ostatnich czasach, w związku z popularnością samych kryptowalut, jest to popularny cel ataków.

Istnieją dwie główne możliwości. Kryptowaluty kopane są przez malware zainstalowane na Twoim komputerze bądź jesteś na stronie, która w mniej lub bardziej legalny sposób wykorzystuje możliwość korzystania z Twoich zasobów, gdy na niej jesteś.

Co robić? 

Koniecznie korzystaj z programu antywirusowego. Przetestuj swój system. Obecne antywirusy stają się coraz bardziej odporne na cryptojacking.

Twój internet działa wolniej niż zwykle

To nie koniecznie musi oznaczać, że zostaliśmy zhakowani, ale istnieje prawdopodobieństwo, że ktoś korzysta z Twojego dostępu do internetu, dlatego należy to sprawdzić.

Co robić? Skontaktuj się ze swoim dostarczycielem usługi, by upewnić się, że nie jest to techniczny problem po jego stronie. Koniecznie zrób update routera i zmień standardowe hasło — to ważne niezależnie od tego, czy ktoś aktualnie ma dostęp do Twojej sieci, czy nie — zhakowany router to popularny i niezwykle niebezpieczny wektor ataków. Używaj szyfrowania WPA2 + AES. Możesz rozważyć urywanie SSID i zmniejszenie zasięgu sieci.

Twoje hasło przestało działać

Jeśli jesteś pewien, że hasło wpisywane jest poprawnie i nie możesz się zalogować — oznacza to, że najprawdopodobniej zostałeś zhakowany, a Twoje hasło zostało zmienione. Zawsze warto odczekać 15 do 30 minut spróbować ponownie — istnieje małe prawdopodobieństwo, że problemy z logowaniem spowodowane są problemami technicznymi.

Do zhakowania najczęściej dochodzi poprzez phishing. Do ofiary wysyłany jest e-mail, który podszywa się pod daną stronę i próbuje skłonić do zalogowania się. Dane logowania trafiają do hakera, który, odtąd nie ma problemu, by zalogować się na nasze konto i zmienić hasło, przejmując całkowitą kontrolę.

Co robić? 

Jeśli podejrzewasz, że padłeś ofiarą phishingu, a sytuacje dzieje się w pracy, powinieneś powiadomić resztę organizacji, by ograniczyć rozprzestrzenianie się ataku.

Skontaktuj się z serwisem, do którego straciłeś dostęp. Większość popularnych stron/usług daje możliwość raportowania takiej sytuacji i odzyskanie konta — niestety, czasem bywa to bardzo trudne, a wręcz niemożliwe.

Jeśli używałeś tego samego hasła na innych stronach, zmień je jak najszybciej. Nie używaj nigdy tego samego hasła do logowania się na różne strony.

Rozważ stosowanie dwuetapowej identyfikacji.

Z Twojego konta na social media lub e-mail wysyłane są wiadomości

Jeśli zostajesz poinformowany przez swoich znajomych o dziwnych wiadomościach, jakie dostają od Ciebie na social media, lub emailowo to jest to zwykle znak, że Twoje konto zostało przejęte (zwykle poprzez dostęp hakera do Twojego hasła).

Wielu ludzi nie zdaje sobie sprawy, że dostęp do konta e-mail przez hakera może wiązać się z dużo większymi konsekwencjami niż możliwość czytania naszej korespondencji. W przypadku organizacji gigantycznym problemem jest BEC (Business Email Compromise), a w przypadku osób prywatnych nasze konto może zostać dodane do listy spamerów, jeśli będzie używane jako część botnetu rozsyłającego spam (a to częste wykorzystanie przejętego konta).

Co robić? 

Zresetuj hasło jak najszybciej. Używaj wieloetapowego uwierzytelniania do ważniejszych kont. Przede wszystkim zadbaj by e-mail, którego używasz do logowania na social media, był dobrze chroniony — sytuacja, w której haker przejmuje dostęp do takiego konta, może być ekstremalnie nieprzyjemna.

Zainstalowane nowe oprogramowanie

Nieoczekiwane i niechciane oprogramowanie, które znajdujemy na naszym systemie to bardzo duży znak, mówiący, że nasz komputer został zhakowany. Obecnie jednymi z najczęstszych malware, jakie spotykają nasze urządzenia to trojany i robaki, które instalują się w systemie. Niektórzy producenci szkodliwego kodu są na tyle bezczelni, że rozpowszechniają je tak, jakby były zwykłym, legalnym oprogramowaniem.

Co robić? 

Istnieje wiele aplikacji, które pokazują wszystkie zainstalowane programy w systemie i pozwalają dezaktywować wybrane. Takie, darmowe, aplikacje na platformę Windowsa to Autoruns i Process Explorer. Autoruns pokaże, co startuje automatycznie po włączeniu komputera, a Process Explorer znajdzie, aktualnie pracujące, procesy.

Odinstaluj oprogramowanie, którego sam nie instalowałeś niebędące częścią systemu.

Zwracaj uwagę na to, co instalujesz. Często przy instalacji legalnego oprogramowania sami zgadzamy się na instalacje dodatkowych programów, które istnieją gdzieś w szarej strefie legalności, ale są zwyczajnie szkodliwe.

Twoja myszka porusza się pomiędzy programami

Ruchy myszki nie zawsze muszą oznaczać atak. Do takich sytuacji może dochodzić w przypadku problemów z hardware. Jeśli jednak dochodzi do ruchów myszki, która włącza programy, możemy być praktycznie pewni, że stoi za tym haker.

Zwykle dochodzi do włamania wcześniej — haker dostaje dostęp do naszego komputera przez zainstalowania szkodliwego oprogramowania (zwykle jest to RAT), które umożliwia mu pełną, zdalną kontrolę.

Co robić? 

Sytuacja, gdy ktoś ma pełną kontrolę nad Twoim komputerem może być bardzo niebezpieczna i należy ją potraktować poważnie.

Jeśli zauważymy, że ktoś operuje naszym systemem, należy pozbawić go dostępu do sieci. Powinniśmy zmienić hasła, korzystając z innego narzędzia, co do którego mamy pewność, że nie jest zainfekowane. Powinniśmy całkowicie przywrócić system na zainfekowanym komputerze. Jeśli w grę wchodzą straty pieniężne, trzeba mieć pewność, że mamy kopie zainfekowanego systemu do potencjalnej analizy. Jeśli sytuacja dotyczy organizacji, nie powinniśmy robić tego sami — sprawę należy oddać w ręce specjalistów, ponieważ taka sytuacja może oznaczać atak targetowany i samo przywrócenie systemu nie rozwiąże problemu.

Program antywirusowy, edytor registrów, lub menadżer zadań nie działa

Jeśli program antywirusowy nie działa, mimo że nie był wyłączany, to oznacza to, że padłeś ofiarą ataku, szczególnie jak jednocześnie masz problem z włączeniem menadżera zadań lub edytora registrów.

Co robić? Możesz spróbować zlokalizować i odinstalować złośliwe oprogramowanie przy pomocy Microsoft Autoruns, lub Process Explorer'a. Najprawdopodobniej malware nie będzie dawało się łatwo usunąć. Możesz wyszukać metody walczenia z danym przypadkiem w internecie i próbować implementować je startując system w trybie awaryjnym.

Najskuteczniejsze jednak jest całkowite odzyskanie systemu i powrót do ostatniego, poprawnie działającego momentu.

Na Twoim koncie online brakuje pieniędzy

To jedno z najbardziej oczywistych, a jednocześnie najbardziej bolesnych znaków tego, że padło się ofiarą hakera. Niestety ci zwykle chcąc maksymalizować swoje zyski, czyszczą konta to zera. Ten atak zazwyczaj zaczyna się od wejścia na fałszywe konto bankowe lub poprzez instalacje trojana.

Co robić? 

Jeśli do straty pieniędzy doszło poprzez atak hakerski, bank powinien oddać nam pieniądze, gdy zgłosimy nieautoryzowaną transakcję. W rzeczywistości banki mogą robić nam bardzo duże problemy (mają zresztą do tego prawo, jeśli do kradzieży doszło przez nasze rażące niedbałości — podobnie sytuacja wygląda, gdy zapiszemy numer pin na swojej karcie kredytowej).

Włącz powiadomienia transakcji — większość banków umożliwia powiadomienia SMS-em za darmo bądź za niską opłatą. Będziemy mogli szybko reagować, gdy dochodzi do przelewów, których nie jesteśmy autorami.

Dostajesz wiadomości o towarach wysłanych do nieznanych lokalizacji

W tym przypadku, dokładnie tak jak w poprzednim, sytuacja jest jasna. Hakerzy zdobyli Twoje dane bankowe i wykorzystują je do zakupów online.

Co robić? Jak najszybciej zablokuj konto bankowe i powiadom bank o danej sytuacji.

Zostałeś powiadomiony, że Twoja organizacja została zhakowana

Dla ludzi pracujących w branży może to wydawać się smutne, ale jedną z najczęstszych form, w jakich organizację dowiadują się o tym, że zostały zhakowane to informacja od osób trzecich. Dane z tegorocznych raportów na temat naruszeń ochrony danych mówią jasno, że większa ilość włamań odkryta jest przez osoby trzecie, niż przez pracowników organizacji, które padły ofiarą wycieku danych.

Co robić? 

Przede wszystkim nie ignoruj takich wiadomości. Niestety ciągle spotykamy się z brakiem zrozumienia i niekiedy otwartą wrogością podczas kontaktowania się z organizacjami, które traktują samą informację jak atak lub próbę wyłudzenia.

Sprawdź, czy atak rzeczywiście miał miejsce. Jeśli tak to pora by wprowadzić w życie przygotowany wcześniej plan reagowania na incydent, jeśli organizacja go posiada. Jeśli nie został przygotowany to będzie to niefortunna okazja do tego, by przygotować. Najcięższym elementem takiego planu jest sprawienie, by pracownicy go stosowali. Należy go komunikować i praktykować zawczasu.

Potwierdzony wyciek danych

Nic nie mówi głośniej i wyraźniej, że Twoja organizacja została zhakowana niż dane, które wyciekły na dark webie. Jeśli nie zauważysz tego sam to, w zależności od wielkości organizacji, będziesz poinformowany o tym przez media lub osoby trzecie.

Co robić? 

Przede wszystkim potwierdź, że to prawdziwe dane Twojej organizacji. Zdarzały się przypadki, gdy hakerzy rzeczywiście mieli dostęp do danych, ale wśród tych nie było niczego niejawnego. Tak jak w poprzednim przypadku zacznij procesy planu reagowania na incydent. Upewnij się, kiedy i w jaki sposób będziesz musiał dokonać publicznego ujawnienia ataku.

Twoje dane są w wycieku haseł

W internecie i dark webie zostało umieszczonych miliony (jeśli nie miliardy) danych logowania. Najczęstszym sposobem zdobycia, przez hakerów, tych danych jest bezpośredni atak na serwisy (i zdobycie baz danych z danymi logowania i hasłami). Innymi czynnikami odpowiedzialnymi za utratę haseł jest malware i phishing.

To czy Twój e-mail (i hasło) widnieje wśród baz danych, da się sprawdzić na stronie Have I Been Pwned

sprawdzanie wycieku na have i been pwned

Co robić? 

Przede wszystkim należy zresetować hasła. Następne kroki zależą od danego przypadku. Organizacja powinna postępować zgodnie z planem reagowania na incydent. Należy założyć, że utracone hasło zostało wykorzystane i postępować zgodnie z tym jakie może być dane, potencjalne, zagrożenie.

Korzystaj z wieloczynnikowego uwierzytelnienia (w przypadku najbardziej wrażliwych serwisów unikaj drugiego uwierzytelnienia poprzez SMS).

Zauważyłeś dziwne zachowania podczas analizy sieci

Wiele z ataków zostaje rozpoznanych przez analizę sieci. Gdyby więcej organizacji analizowałoby ruch w swojej sieci to, prawdopodobnie, mniej dowiadywałoby się o udanych atakach ze strony osób trzecich. Sytuacje takie jak transfer dużej liczby danych w kierunku kraju, z którym nie robi się biznesu, może być łatwo wykryte właśnie w ten sposób.

Co robić? 

W tym przypadku wszytko zależy od danej sytuacji. Czymś do rozważenia jest całkowicie odłączenie od sieci i rozpoczęcie działań zgodnych z planem reagowania. Wszytko, jednak zależy od partykularnej sytuacji i uzależnione jest od podejrzanej aktywności w sieci, jak i stopnia, w jakim działanie organizacji uzależnione jest od łączności.

Postaw kawę autorowi artukułu.

Zobacz wszystkie artykuły

Jeśli potrzebujesz pomocy, twoja strona została zainfekowana, chcesz dokonać audytu bezpieczeństwa, czy po prostu masz jakieś pytania — napisz do nas. Postaramy się pomóc.

Zgłoś błąd w tekście
×