Jeżeli ktoś uważa, że on lub jego firma nie są narażeni na ataki hakerów, to jest w błędzie. Ofiarą cyberprzestępców może paść każdy przysłowiowy Kowalski, mała rodzinna firma, duża korporacja zajmująca się bezpieczeństwem, rządy i organizacje. W dzisiejszym cyberświecie nie ma świętości, hakerzy nie znają litości. Wiele z ataków w ogóle nie jest ujawnianych. Z kolei część jest przeprowadzana przez ekspertów, aby wskazać i poprawić luki w systemach bezpieczeństwa (tzw. Testy penetracyjne szkolenie).

Serwis Hacker News wybrał 7 największych ich zdaniem ataków hakerskich z ostatniego roku.

  1. Kradzież danych w Hacking Team.

To przykład na to, że czasami nawet hakerzy mogą zostać zhakowani. Hacking Team to kontrowersyjna firma szpiegowska, zajmująca się sprzedażą rozwiązań do inwigilacji rządom oraz agencjom bezpieczeństwa na całym świecie. Znani są ze sprzedaży narzędzia do inwigilacji „Remote Control System” (RCS), dzięki któremu można podglądać oraz mieć zdalny dostęp do mikrofonu i kamery w laptopie celu.

najwieksze-ataki-hakerowHacking Team został zaatakowany przez niezidentyfikowanych hakerów, którzy ujawnili w Internecie ponad 400 GB ich wewnętrznych danych. Nie tylko włamali się na ich konto na Twitterze, ale także  ujawnili: adresy email zarządu, kody źródłowe narzędzi Hacking Team do hakowania i szpiegowania, exploity zero-day, w tym do Flasha i Internet Explorera, rządową listę klientów z datami zakupu i zapłaconą kwotą. Atak był możliwy m.in. dzięki temu, że w Hacking Team nie było wdrożonego programu ochrony danych oraz stosowano słabe hasła zabezpieczające.

  1. Wyciek danych z portalu Ashley Madison.

Żaden portal internetowy nie zagwarantuje użytkownikowi całkowitej prywatności i anonimowości. W lipcu portal randkowy Ashley Madison, wykorzystywany do zdrad małżeńskich, został zaatakowany przez hakerów z  Impact Team. Wykradli oni i ujawnili dane 37 milionów klientów, łącznie z nazwiskami i adresami email (wśród nich były także dane osób z Polski, ok. 50 tys.). W sumie ujawnili ponad 100 GB danych, w tym kod źródłowy do strony internetowej i aplikacji mobilnej.

Wygląda też na to, że atak ten, to niekończąca się historia, co jakiś czas ujawniane są nowe dane. I tak ostatnio grupa Password Cracking poinformowała o rozszyfrowaniu ponad 11 mln haseł do Ashley Madison. A na tym na pewno się nie skończy. Atak na Ashley Madison nastąpił niespełna 2 miesiące po innym ataku na podobną skandalizującą stronę  Adult Friend Finder. Wtedy również ujawniono w Internecie wiele bardzo osobistych danych użytkowników. Te sprawy budzą poważne obawy co do bezpieczeństwa danych użytkowników portali randkowych.

  1. Atak na Sony Pictures.

W ubiegłym roku grupa hakerów nazywająca się  Guardians of Peace dokonała zmasowanego cyberataku na wytwórnię filmową Sony Pictures. Atak miał podobno przestrzec przed upublicznieniem filmu „The Interview” („Wywiad ze słońcem narodu”, o spisku mającym na celu zabicie dyktatora Korei Północnej Kim Dzong Una). Hakerzy upublicznili ponad 200GB tajnych danych należących do Sony Pictures, począwszy od scenariuszy filmowych po dane pracowników, numery telefonów celebrytów, nazwiska pod jakimi oni podróżują i meldują się w hotelach, korespondencję mailową pracowników na temat gwiazd filmowych. W rezultacie Sony musiało zamknąć swoje serwisy internetowe na wiele tygodni. Myśleli, że rozwiązaniem będzie wycofanie filmu z kin. Nie dało to jednak za wiele. Nastąpił drugi atak, którego siła była tak wielka, ze nie pomogły żadne zabezpieczenia, kolejna ilość danych wyciekła do WikiLeaks.

  1. Fappening i Snappening – publikowanie nagich zdjęć celebrytów.

Fappening polega na cyberataku na konta celebrytek i ujawnianiu ich rozbieranych zdjęć. Tak było w sierpniu 2014r., kiedy to do sieci wyciekły zdjęcia m.in. Jennifer Lawrence, Kim Kardashian, Kirsten Dunst, Avril Lavigne. Nieznany haker włamał się do zewnętrznych aplikacji połączonych z serwisami społecznościowymi jak Facebook, Twitter, Instagram oraz iCloud Apple i wykradł zdjęcia. W przeciągu miesiąca nastąpił podobny atak, znany jako Snappening, kiedy to wyciekło ponad 100 tys. nagich zdjęć i video użytkowników Snapchatu.

W przypadku Fappeningu nagie zdjęcia zostały upublicznione wykorzystując lukę w zabezpieczeniach usługi przechowywania plików iCloude Apple. Apple temu zaprzecza. W przypadku Snappingu, serwery Snapchata nie zostały naruszone. Zdjęcia użytkowników zostały ujawnione dzięki zewnętrznym aplikacjom do wysyłania i odbierania wiadomości ze Snapchatu.

  1. Zdalne przejęcie kontroli nad samochodem.

hacking-metodyNowoczesne samochody naszpikowane zaawansowaną technologią, są częścią rzeczywistości nazywanej „Internetem rzeczy”. Chris Valasek i Charlie Miller, white hat hackers, pokazali, że można zdalnie przejąc kontrolę nad będącym w trakcie jazdy Jeepem Cherokee, a dkoładnie nad jego układem kierowniczym, hamulcami, skrzynią biegów, klimatyzacją oraz wycieraczkami. Dokonali tego będąc 10 mil od poruszającego się samochodu. Doprowadzili nawet do wypadku, kierując samochód do rowu. Było to możliwe poprzez wykorzystanie zainstalowanego w samochodzie systemu multimedialnego i luki w jego zabezpieczeniach. Po prostu różne aplikacje multimedialne instalowane przez producentów w samochodzie korzystają z tych samych połączeń sieciowych co samochodowa sieć kontrolna.

Hakerzy mogą dostać się do samochodowego systemu bezpieczeństwa korzystając z laptopa czy telefonu komórkowego. Jedyne co muszą znać to adres IP samochodu. Powyższa luka dotyczyła 1,4 mln różnych modeli samochodów produkowanych przez Fiat Chrysler.

Motyw z Canbus Hacking, czyli hackowaniem samochodów wykorzystali w swoim serialu twórcy „Mr. Robot”.

  1. Kradzież tajnych danych osobowych z serwera amerykańskiej agencji rządowej (US Government Office of Personnel Management)

Był to jeden z największych ataków na amerykańską infrastrukturę rządową i największy wyciek danych pracowniczych. Wyciekły dane ok. 21,5 mln obecnych i byłych pracowników amerykańskich służb federalnych.

Hakerzy przejęli m.in. wiele danych wrażliwych urzędników, które mogą posłużyć do kradzieży tożsamości oraz cyber przestępstw. Weszli w posiadanie takich informacji jak: numer ubezpieczenia społecznego, historia zatrudnienia, odbyte staże, ścieżka edukacyjna, przeszłość kryminalna, finanse, odciski palców, stan zdrowia, prywatne i biznesowe znajomości. Niektóre skradzione dane zawierają także wnioski z wywiadów środowiskowych, o których nie wiedzą nawet najbliżsi danej osoby. Są to np. napaści na tle seksualnym, problemy z narkotykami, choroby psychiczne czy uzależnienie od alkoholu. Śledztwo wykazało, że za atak odpowiadają Chiny, które oczywiście wszystkiemu zaprzeczają.

  1. Kradzież danych firmy ubezpieczeniowej Anthem.

Firma ubezpieczeniowa Anthem została ofiarą cyberataku w lutym. Cyberprzestępcy przeprowadzili bardzo wyrafinowany atak, aby otrzymać nieautoryzowany dostęp do systemu IT firmy i jej bazy danych 80 mln osób (klientów i pracowników). Przejęli takie dane jak: nazwiska, daty urodzin, numer ubezpieczenia społecznego, adresy e-mail, dane o zatrudnieniu, w tym  m.in. wysokość zarobków.

Hakerzy dostali się do tych informacji kradnąc dane logowania co najmniej 5 pracowników IT z dużymi uprawnieniami dostępowymi. Prawdopodobnie był to rodzaj phishingu, gdzie wyłudzenie loginów i haseł nastąpiło przy pomocy fałszywych e-maili lub też doszło do nieświadomego zainstalowania złośliwego oprogramowania, które dało hakerom długoterminowy dostęp do firmowego środowiska IT.

To tylko wybrane, ujawnione przypadki cyberataków – jednak jasno pokazują, że w dobie wszechogarniających nas technologii nikt nie może być w 100% pewny swojego bezpieczeństwa.

Chcesz zwiększyć świadomość bezpieczeństwa u siebie lub swoich pracowników? -> Sprawdź dostępne szkolenia z bezpieczeństwa.

Zobacz też -> Przez lodówkę do Gmaila, czyli o zagrożeniach Internetu Rzeczy (IoT)

Zobacz także: