W czasie trwania pandemii wzrosła liczba ataków przez zdalny pulpit oraz za pomocą protokołu Microsoft Remote Desktop Protocol (RDP). Już niemal od roku wielu z nas pracuje zdalnie, co ułatwia cyberprzestępcom dostęp do poufnych, firmowych danych. Jak się chronić?
Z raportu Cisco „Defeding against critical threats” można dowiedzieć się, że wraz ze zmianą sposobu pracy hakerzy zaczęli masowo atakować zdalny pulpit i rozwiązania, które umożliwiają pracę z domu.
Ataki na zdalny pulpit i RDP
Chodzi m.in. o protokół RDP (Remote Desktop Protocol), który służy do sprawnego łączenia się ze zdalnym pulpitem komputera. RDP jest często wykorzystywany przez pracowników w trybie home office, jak i personel, który zajmuje się obsługą techniczną (np. zespół rozwiązujący dane problemy techniczne). W momencie udanego ataku na RDP, cyberprzestępcy uzyskują dostęp do komputera docelowego wraz z uprawnieniami użytkownika, jego danymi i wejściem do wszystkich folderów.
Inne rodzaje ataków
Hakerzy starają się wykraść dane uwierzytelniające użytkowników podczas sesji. Wtedy uruchamiają ataki man-in-the-middle, które polegają na tym, że haker umieszcza złośliwe narzędzia pomiędzy ofiarą a zasobem. Zasobem najczęściej jest strona internetowa lub program pocztowy.
Kolejny typ ataku to ransomware, czyli oprogramowanie blokujące dostęp do systemu komputerowego lub uniemożliwiające odczyt danych. Zmieniła się skala działania hakerów, którzy często traktują poszczególne urządzenia jako narzędzie umożliwiające wejście do sieci organizacji. Po uzyskaniu dostępu do danych firmy i poufnych informacji handlowych, jest uruchamiany atak ransomware. Na czarnym rynku można kupić dostępy do sieci firmowych. To jedynie mała część ataków hakerskich.
Sposoby zabezpieczeń
Zalecane jest zachowanie szczególnej ostrożności i podjęcie działań:
- zabezpieczenie RDP na komputerach w firmie,
- tworzenie silnych haseł i uwierzytelniania wielopoziomowego, żeby dodatkowo potwierdzić tożsamość użytkowników,
- unikać podłączania zdalnych pulpitów bezpośrednio do sieci. Administratorzy IT powinni wymagać udostępnienia protokołu RDP jedynie za pośrednictwem korporacyjnej sieci VPN,
- korzystania z uwierzytelniania na poziomie sieci (NLA) i zamknięcie portu 3389 w jeśli RDP nie jest używany, admini IT powinni zwrócić szczególną uwagę na próby błędnych logowań występujących w logach systemowych komputerów, a także na próby nietypowych połączeń po protokole RDP.