Į praeitį jau pamažu nugrimzdusios istorijos apie naivias močiutes, iš kurių neegzistuojantys anūkėliai – iš tikrųjų telefoniniai sukčiai sugeba išvilioti viso gyvenimo santaupas yra tokia pati praeitis. Tačiau naivumas ir nenugalimas smalsumas vis dar yra ta spraga, kuria galima apmauti net ir, regis, raštingus, internetu ne vienerius metus besinaudojančius ir apie grėsmes žinančius asmenis. Juk sulaukę laiško iš Nigerijos princo, kuris siūlo milijonus, tereikia tik nurodyti savo kreditinės kortelės ir kitus asmeninius duomenis, nepuolate atsakinėti pagal nurodymą, tiesa?
Vis dėlto visos garsiausios duomenų vagystės turi du pagrindinius atspirties taškus: technologijų spragos, kurias išnaudoja programišiai ir žmogiškasis veiksnys. Nuo pirmojo šaltinio neapsaugotas niekas, kas aktyviai naudojasi interneto paslaugomis – ar tai būtų išmaniosios programėlės, ar didžiųjų socialinių tinklų, internetinės prekybos gigantai, ar tiesiog elektroninio pašto dėžutės.
Silpnoji grandis beveik visada yra žmogus: vienas tyčinis veiksmas, siekiant pasipelnyti, atkeršyti, sužavėti kitą žmogų, ideologiškai artimą valstybę, o gal tiesiog papokštauti arba atvirkščiai – neatsargus paspaudimas pele, atidarytas, iš pirmo žvilgsnio nekaltas laiškas ar jo priedas gali pridaryti daug problemų. Kartais nereikia net duomenų vagystės – užtenka susižvejoti elektroninio pašto adresą ir laukti naivuolių. Ką darytumėte sulaukę skubiai reaguoti prašančio laiško iš pažįstamo ar tiesiog žinomo žmogaus? Dalis nereaguotų, dalis suabejotų, bet visada atsiranda silpnoji grandis, kuri elgiasi pagal paliepimą. Tuo galima įsitikinti prisiminus kelis paprastus atvejus.
Pavogė milijardų asmeninius duomenis
Vien per pastaruosius keliolika metų istorijos apie įsilaužimus į didžiųjų bendrovių tinklapius, duomenų saugojimo centrus ir masines asmeninių duomenų vagystes tapo kone rutina. Pavyzdžiui, kadaise viena populiariausių paieškos sistemų ir elektroninio pašto paslaugą turėjusi bendrovė „Yahoo“ dabar ne veltui daugelio vartotojų yra primiršta.
2013-2014 metais įvykdytos atakos dydis išaiškėjo tik 2016-siais. Iš pradžių kalbėta apie 500 milijonų vartotojų asmeninių duomenų vagystę, vėliau šis skaičius išaugo iki 1 mlrd., o dar vėliau pripažinta, kad beveik 3 mlrd. „Yahoo“ vartotojų duomenys yra nesaugūs. Į virtualią ir bet kokią kitokią šiukšliadėžę buvo galima išmesti visus kadaise pasirašytus sutikimus „Yahoo“ atsakingai tvarkyti ir saugoti jūsų asmeninius duomenis – jūs tai pasirašėte, sutikote su taisyklėmis, galbūt nė neskaitę, o atsakomybės už galimai pavogtą informaciją niekas konkrečiai neprisiims.
Ir taip žemyn besiritusios bendrovės akcijos dar labiau smuko – vien „Yahoo“ pardavimo metu kaina sumažėjo 350 mln dolerių. Kadaise 100 mlrd. dolerių vertinta bendrovė JAV ryšio tiekėjui „Verizon“ parduota už vos 4,48 mlrd. dolerių. „Yahoo“ paslaugomis jau kurį laiką nesinaudoję vartotojai galėjo šaipytis, kad jie niekaip nenukentėjo. Tačiau kartais nereikia naudotis elektroniniu paštu – užtenka įsiregistruoti viename didžiųjų tinklų viešbučių.
Pavyzdžiui, pernai „Marriot Internetional“ pripažino, kad per pastaruosius ketverius metus programišiai pavogė 500 milijonų viešbučių paslaugomis besinaudojusių klientų asmeninių duomenų. Daugiausiai tai buvo kontaktinė informacija – gyvenamasis adresas, telefonų numeriai, pasų informacija, tačiau mažiausiai 100 mln. vartotojų neteko ir kreditinių kortelių duomenų. Įsilaužimas buvo priskirtas su Kinijos žvalgyba siejamai grupuotei, ypač suinteresuotai JAV piliečių asmeniniais duomenimis.
Tuo metu svetainėse, kuriose intymių pažinčių ieškantys vartotojai paprastai stengiasi nenurodyti asmeninių kontaktų ar visos informacijos apie save, kartais užtenka būtent kreditinių kortelių informacijos. Tai savo kailiu 2016 metais patyrė apie 412 mln. intymių pažinčių „Adult Friend finder“ vartotojų. Asmeninio gyvenimo paslapčių slėpimas daliai jų gali tapti pavojingu šantažo įrankiu.
Atakos – vis sudėtingesnės ir kartojasi
Iš pirmo žvilgsnio, vienintelis būdas išvengti tokių duomenų vagysčių – nesinaudoti internetu, nepalikti jokių skaitmeninių pėdsakų. Bet tai šiuolaikiniame pasaulyje sunkiai įmanoma. Kita vertus, tūkstančius metu šnipų, kerštingų verslo ir gyvenimo partnerių šantažo taktika dažniausiai pasiteisina išnaudojus banalią žmogišką silpnybę – smalsumą. Būtent tokį triuką kibernetinių atakų rengėjai vis dažniau naudoja Lietuvoje.
Pavyzdžiui, Lietuvos krašto apsaugos ministras Raimundas Karoblis ir Lietuvos kariuomenė jau kelis sykius buvo tapę, iš pirmo žvilgsnio dezinformacijos taikiniais, kai apie juos buvo elektroniniais laiškais platinamos melagingos naujienos.
Pirmasis atvejis fiksuotas 2017-ųjų pabaigoje, kai buvo sukurtas kenksmingo kodo dokumentas „Press release_18_01_18.doc“. Pagal šią datą 2018-ųjų sausį įvykdytas įsilaužimas į interneto svetainę tv3.lt ir paskleista melaginga naujiena apie R. Karoblį, esą jis priekabiavo prie žurnalisto.
Remiantis tv3.lt specialistų pateiktų tarnybinės stoties ir TVS žurnalų įrašų (angl. Logs) informacija, nustatyta, kad prisijungimas prie svetainės ir straipsnio koregavimas buvo įvykdytas naudojantis TOR tinklo paslaugomis. Nustatyti išeities mazgų loginiai IP adresai, kurie buvo naudojami įsilaužimo metu, siejami su užsienio valstybių finansuojamos grupuotės veikla internete.
Tai tebuvo pradžia – tą pačią dieną imituojant siuntėjo pašto adresą noreplay@tv3.lt tikslinei auditorijai išsiuntinėti elektroniniai laiškai su priedu, kuriame įterptas kenksmingas kodas. Tikslinė gavėjų auditorija – svarbių Lietuvos valstybės institucijų ir spaudos atstovai, politikai.
Patikrinus laiško techninę antraštę (angl. header) nustatyta, kad laiškas siųstas iš IP adreso 103.36.109.248. Siuntimo adresas imituojamas siekiant apsimesti tikru tv3.lt svetainės naujienų prenumeratos el. pašto adresu (noreply@tv3.lt). Laiško turinyje įterptas paveiksliukas, kreipiniai į kurį gali būti stebimi siuntėjų (siekiant sužinoti, kas atsidaro atsiųstus laiškus). Prie laiško prisegtas priedas pavadinimu „Press release_18_01_18.doc“
Kas atsidarė užkrėstą laišką ir jo priedą? DELFI žiniomis, tokių smalsuolių, neatsispyrusių sensacingai žiniai buvo ir valstybinėse institucijose. Panašios atakos kartojosi prieš tą patį R. Karoblį. Dar pernai rugsėjį įsilaužta į interneto portalą „Kas Vyksta Kaune“. Ne pirmą kartą programišių taikiniu tapęs portalas turėjo rimtą spragą – įsilaužę programišiai paliko rinkinio failą kaip „galines duris“ ateities atakoms. Juo pasinaudota šių metų pavasarį.
2019 m. balandžio 10 d. vakare pradėti platinti elektroniniai laiškai imituojantys Krašto apsaugos darbuotoją ir šmeižiantys Krašto apsaugos ministrą – esą jis paėmė didelį kyšį. Laiškai dar kartą platinti tikslinei auditorijai: Lietuvos Respublikos valstybės institucijų atstovams, politikams. Laiško turinys parašytas sklandžia, taisyklinga, formalizuota Lietuvių kalba, aiškiai suprantant Lietuvos Respublikos teisinę bazę, vidinę organizacinę struktūrą.
Nacionaliniam kibernetinio saugumo centrui (NKSC) atlikus laiško analizę nustatyta, kad laiško turinyje įterpta nuoroda: vos vieno pikselio dydžio, naudotojui nematomas, paveiksliukas. Priežastis ta pati – naivuolių žvejyba, kad siuntėjas galėtų identifikuoti kas ir kiek kartų perskaitė siųstą laišką.
Atakos kartojosi – rugsėjį išplatinta melaginga naujiena apie neva NATO tankų išdarkytas žydų kapines Kaune. Pati melaginga naujiena atrodė primityvi ir nesunkiai demaskuojama, tačiau ją platinanti laiškai iš neegzistuojančios žydų bendruomenės elektroninio pašto dėžutės su kenksminga nuoroda plito plačiai ir surado savo taikinius. Vienu jų tapau ir aš.
Sureagavo į melagingą užklausą
Šį kartą melagingą žinutę ėmė platinti ir elektroninio pašto dėžutės, imituojančios siuntėjo pašto adresą. Praėjus vos 20 minučių nuo melagingos naujienos išplatinimo portale „Kas Vyksta Kaune“, kelios valstybinės institucijos sulaukė keistų elektroninių laiškų, kurie neva parašyti Vaido Saldžiūno. Man tai buvo naujiena – galbūt kažkas įsilaužė į elektroninio pašto dėžutę?
Pasirodo, viskas buvo paprasčiau ir pagal jau anksčiau matytą braižą. Ir nors tokių laiškų su keistu ir nebūdingu turiniu nesiunčiau, juo labiau keistai pasirinktiems adresatams – Prezidentūros, Seimo kontrolierių įstaiga, Karinių oro pajėgų bazei, elektroninio pašto adresas atrodė identiškas.
Tiek valstybės institucijų, tiek žiniasklaidos atstovams įprasta konkrečias užklausas pateikti per ryšių su visuomene skyrių, kreipiantis tiesiogiai ar per šaltinius, tačiau specifiniai klausimai institucijų padaliniams, kurie nesusiję su laiške aptariamu turiniu ar tiesiog negali jo komentuoti paprastai neteikiami.
Kita vertus, valstybinėse institucijose taip pat dirba tik žmonės, o jei žiniasklaidos atstovas siunčia užklausą, į ją privalu reaguoti. Sureagavo ir prezidentūra, ir kariuomenė, ir Seimo kontrolierių įstaiga. Ir nors visiems užkliuvo laiško turinys, buvo pasėta abejonė – galbūt išties žurnalistas siuntė tokią užklausą? Nors užkliūti galėjo daug kas – ir tai, kad laiškas nepasirašytas, ir nebūdingas tonas, ir keistai pasirinkti adresatai. Nors niekam iš pradžių nekilo minčių paskambinti ir paklausti, ar tikrai buvo tokia užklausa prašant KOP aviacijos bazės paaiškinti tariamą prezidento sprendimą.
Tad kas būtų, jei kitą kartą kurios nors institucijos darbuotojai, sulaukę įsakmių laiškų iš tiesioginio vadovo, ministro ar paties prezidento aklai užkrėstą laišką imtų nepagalvoję siuntinėti kolegoms darbovietėje? Teoriškai taip neturėtų būti, juk rengiami mokymai, kurių metu žmonės mokomi neatidarinėti bent jau keistų nuorodų ar prisegtukų, net jei apie galimą žalą neįspėja antivirusinės programos. Tačiau realybė dažnai būna tokia, kad užtenka vieno smalsaus žmogaus.
Taikosi ir į užsienio auditoriją
NKSC tiria incidentą ir tyrimo metu turėtų paaiškėti, kiek žmonių atidarė prie laiško prisegtą, galimai, kenkėjišką nuorodą ir kiek žmonių dalijosi galimai užkrėstu laišku.
Keli adresatai prisipažino atidarę nuorodą, tad iš pirmo žvilgsnio paprasta dezinformacinė, bet socialinės inžinerijos priemonėmis sukurpta žinutė pasiekė vieną savo tikslų. Tiesa, pati dezinformacinė ataka subliuško labai greitai, mat taikiniu atakos sumanytojai pasirinko ir Užsienio reikalų ministeriją.
Jau penktadienį tokio paties turinio žinutes apie tariamą Lietuvos pasiūlymą įkurti JAV karinę bazę su taktiniais branduoliniais ginklais ėmė platinti tariama Lietuvos užsienio reikalų ministerijos pašto dėžutė media@urm.lt.
Iš jos išsiųstame laiške taip pat užsimenama apie JAV karių dislokavimą Lietuvoje, kuris iš tikrųjų prasidėjo po kelių dienų nuo melagingos naujienos išplatinimo. Tik JAV Lietuvoje dislokavo ne branduolinius ginklus, ko neleidžia nei šalies konstitucija, nei infrastruktūros, finansinės galimybės, o tankus, šarvuočius ir apie 500 karių.
„Informuojame, kad spalio 18 dieną URM Komunikacijos ir kultūrinės diplomatijos departamentas neplatino pranešimo spaudai apie ketinimą steigti JAV karinę bazę Lietuvoje. Tikėtina, kad tai yra kompleksinė kibernetinė-informacinė ataka“, – pranešime spaudai teigė tikroji URM. Vis dėlto greitas paneigimas ir įspėjimas nesutrukdė melui pasklisti.
Mat įdomu tai, kad tariama URM žinutė buvo surašyta anglų kalba ir skirta anglakalbei auditorijai, pavyzdžiui dešimtis tūkstančių sekėjų feisbuke ir „Twitter“ turinčiam internetiniam žurnalui „Defence Blog News“. Melaginga naujiena apie neva NATO tankų išvartytas žydų kapines Kaune taip pat buvo platinama anglų ir rusų kalbomis, o ją pasigavo keli leidiniai Izraelyje ir JAV.
Gali blokuoti svetaines
Pasak NKSC, kibernetinio saugumo atakų mastas ir sudėtingumas dramatiškai auga, tačiau centras antradienį kaip tik pasigyrė įsidiegęs naują įrangą. Ji skirta tiksliau nustatyti kibernetines atakas, įsilaužimus ir kitokio kenkėjiško programinio kodo apraiškas Lietuvos internetinėje erdvėje.
„Šiuo metu kibernetinio saugumo atakų mastas ir sudėtingumas dramatiškai auga, Lietuva pastaraisiais metais sėkmingai įtvirtino naują kibernetinio saugumo strategiją, įstatymą bei konsolidavo kibernetinius pajėgumus. Pasauliniame kibernetinio saugumo indekse Lietuva pakilo iš 57-os į 4-ą vietą.
Toliau svarbu stiprinti gebėjimus įvairiais techniniais įrankiais, kurie leistų Lietuvos kibernetinio saugumo institucijai giliau vertinti technologinius procesus elektroninėje erdvėje bei geriau identifikuoti kibernetines problemas“, – teigė Krašto apsaugos viceministras Edvinas Kerza.
Viena iš aktualių kibernetinio saugumo problemų yra pažeidžiamos interneto svetainės, kurios gali būti išnaudotos piktavalių virusams įdiegti, įsilaužti ar prieigai prie duomenų įgauti, pavyzdžiui, perėmus svetainės administratoriaus paskyrą.
Nauja NKSC įrang automatiniu būdu analizuoja visas svetaines, registruotas Lietuvos zonoje (turinčias galūnę.lt). Programa vertina svetainių pažeidžiamumo lygį, nustato ar į jas nebuvo įsilaužta, ar jos nėra naudojamos tolesniam kenkėjiško kodo platinimui.
Tiesa, 52 proc. iš visų .lt zonoje veikiančių interneto svetainių turinio valdymo sistemų yra pažeidžiamos, o dažniausiai tokie pažeidžiamumai nustatyti „Wordpress“ ir „Joomla“ turinio valdymo sistemose.
Nustačius pažeidimus, NKSC įspėja svetainių prieglobos paslaugos teikėjus ir informuoja, kokių veiksmų pastarieji turi imtis. Jeigu svetainė išnaudojama kenkėjiško kodo platinimui, tokia svetainė gali būti laikinai išjungiama, kol programuotojai sutvarko saugumo spragas. Taip užkertamas kelias tolesniam kenkėjiško kodo plitimui.