Biti hakiran je stresno. Osjećaj može biti vrlo osoban, hitan i zbunjujući u isto vrijeme. Možda ćete dobiti upozorenje o neobičnoj prijavi, pronaći poruke koje niste poslali, izgubiti pristup računu, primijetiti nestanak novca ili čuti od prijatelja da su od vas primili sumnjive poveznice.
Najvažnije je izbjeći ishitrene odluke zbog panike. Napadači često računaju na brzinu, konfuziju i pritisak. Vaš cilj treba biti usporiti situaciju, ograničiti štetu, povratiti kontrolu, a zatim ukloniti slabosti koje su omogućile kompromitaciju.
Ovaj vodič prolazi kroz praktične korake ako su vam hakirani osobni ili poslovni računi, uređaji ili online usluge.
Ako postoji i najmanja šansa da vaš poslodavac, klijent ili neka druga organizacija može biti pogođena, odmah obavijestite odgovarajući IT ili sigurnosni tim. Nemojte čekati dok ne dobijete potpuni dokaz. To uključuje slučajeve kada je kompromitirani uređaj korišten za posao, prijavljen kao vlastiti uređaj (BYOD), korišten za pristup službenom e-mailu, za single sign-on, pristup upravitelju lozinki firme, VPN-u, administracijskom panelu, repozitoriju izvornog koda, cloud konzoli ili servisu za dijeljenje datoteka.
Ovo treba napraviti prije nego pokušate sami istražiti cijelu situaciju. Organizacija možda mora odmah opozvati sesije, promijeniti vjerodajnice, provjeriti logove, izolirati kompromitirane sustave ili onemogućiti pristup dok incident još traje.
Odgoda ove obavijesti može pogoršati štetu i izložiti vas disciplinskim mjerama ili odgovornosti ako organizacija pretrpi gubitke koje ste pravodobnim prijavljivanjem mogli spriječiti. Ako nije moguće da su pogođene poslovne usluge, uređaji, računi ili podaci – nastavite s osobnim koracima oporavka u nastavku.
Ako mislite da su računalo ili telefon možda zaraženi, nemojte koristiti isti uređaj za resetiranje lozinki ili prijavu u važne račune. Zlonamjerni softver može bilježiti nove lozinke, ukrasti kolačiće sesije, snimati zaslon ili presresti kodove za oporavak.
Koristite uređaj kojem vjerujete, npr.:
Ako nemate pristup čistom uređaju, odvojite sumnjivi uređaj od interneta i fokusirajte se prvo na traženje pomoći prije unošenja novih vjerodajnica.
Vaš e-mail račun često je ključ za sve ostalo. Ako napadač kontrolira vašu e-poštu, može resetirati lozinke za banke, trgovine, cloud spremište, društvene mreže, developerske platforme i poslovne alate.
Započnite s glavnim e-mail računom i provjerite sljedeće:
Posebnu pažnju posvetite pravilima za dolaznu poštu. Napadači ponekad stvaraju filtere koji skrivaju sigurnosna upozorenja, prosljeđuju račune ili neprimjetno kopiraju mailove za resetiranje lozinke na drugu adresu.
Nakon što osigurate e-mail, nastavite s računima koji mogu uzrokovati najviše štete. Nemojte trošiti najvažnije prve minute na račune male vrijednosti dok napadač još ima pristup banci, cloud spremištu ili administratorskim alatima.
Prioritet promjene lozinki neka bude ovim redom:
Svaka nova lozinka mora biti jedinstvena. Ako koristite istu novu lozinku na više računa, jedan preostali slabi točka može ponovno otvoriti sve.
Promjena lozinke je važna, ali možda neće ukloniti napadača koji je već prijavljen. Mnoge usluge drže sesije aktivnim i nakon promjene lozinke, osim ako ih sami izričito ne opozovete.
Pronađite postavke kao što su:
Uklonite sve što ne prepoznajete. Za poslovne ili developerske račune, rotirajte API tokene, deployment ključeve, SSH ključeve, webhookove i podatke servisnih računa koji su potencijalno izloženi.
Višefaktorska autentikacija (MFA ili 2FA) može spriječiti mnoge pokušaje preuzimanja računa i kada je lozinka ukradena. Ako MFA ranije nije bio uključen, sada ga aktivirajte na vašim važnim računima.
Gdje god je moguće, izaberite snažniju metodu:
SMS kodovi su bolji nego ništa, ali su slabiji od aplikacija ili hardverskih ključeva. Telefonski brojevi mogu se prebaciti SIM swap napadima, presresti u posebnim situacijama ili zloupotrijebiti zbog slabih recovery procesa računa.
Kada uključite MFA, generirajte kodove za oporavak i negdje ih sačuvajte. U suprotnom, gubitak telefona ili sigurnosnog ključa može postati novi hitan problem.
Ako kompromitirani račun ima veze s novcem, identifikacijskim dokumentima, računima, podatcima klijenata ili poreznim informacijama, pretpostavite da je napadač mogao kopirati korisne detalje čak i ako brzo povratite kontrolu.
Provjerite sljedeće:
Odmah kontaktirajte banku ili pružatelja usluga plaćanja ako primijetite sumnjive aktivnosti. U većini slučajeva, brža prijava poboljšava izglede za poništenje prijevara i smanjenje odgovornosti.
Prirodno je poželjeti što prije sve očistiti, ali prerano brisanje poruka, logova ili datoteka može otežati istragu. Prije uklanjanja sumnjivih stavki, sačuvajte osnovne dokaze. Napravite to prije wipeanja (brisanja) ili ponovne instalacije uređaja, osobito ako su uključeni novac, podaci tvrtke, podaci o klijentima, ransomware ili pravne obaveze.
Korisni dokazi su:
Ove informacije mogu pomoći timovima za podršku, bankama, policiji, osiguravateljima, internim IT timovima ili stručnjacima za incidente da shvate što se dogodilo.
Ako je prijenosnik ili računalo u pitanju, razmislite o uklanjanju originalnog diska i instalaciji novog/čistog diska za novu instalaciju sustava. Tako ćete imati čisti sustav za rad, a originalni disk sačuvati za potrebu istrage. Ako se radi o poslovnom incidentu, prvo pitajte IT ili stručnjaka za incidentne situacije prije izmjene diskova ili ponovnog paljenja uređaja.
Ako je kompromitacija možda započela zaraznim softverom, malicioznom privitkom, lažnom ekstenzijom za preglednik, piratskim softverom ili nepoznatim alatima za remote pristup, povrat računa nije dovoljan. Uređaj više možda nije pouzdan. Napadač je mogao instalirati mehanizme za skriveni stalni pristup, promijeniti sistemske postavke, uhvatiti sesijske kolačiće ili ostaviti softver koji odmah krade nove podatke koje unesete.
U toj situaciji, sigurnije je ne pokušavati ručno „čistiti” uređaj. Umjesto toga, prvo sačuvajte potrebne dokaze, napravite backup samo podataka koji su vam zaista potrebni, obrišite uređaj i svježe instalirajte operativni sustav.
Važne mjere opreza:
Za kompromitaciju visokog rizika – osobito ransomware, poslovne e-mail prevare, preuzimanje administratorskih računa ili sumnju na krađu podataka – zatražite stručnu pomoć prije brisanja sustava. Kod poslovnih korisnika, dokaze može biti potrebno sačuvati radi istrage, osiguranja, ispunjavanja pravnih obveza ili informiranja korisnika.
Ako su napadači koristili vaš račun za slanje poruka, računa, poveznica ili datoteka – upozorite one koji su ih mogli primiti. Neka upozorenje bude kratko i precizno.
Primjer:
Moj račun je bio kompromitiran. Molim vas, nemojte otvarati poveznice, privitke, zahtjeve za uplatu ili dijeljene datoteke koje su od mene stigle između [vrijeme] i [vrijeme]. Povratio/la sam pristup i istražujem što se dogodilo.
Za poslovne korisnike, obavješćivanje može biti i zakonska ili ugovorna obaveza. Ako su izloženi podaci o klijentima, zaposlenicima, podaci o plaćanju, zdravstveni podaci ili povjerljivi materijali, uključite pravni, compliance i sigurnosni tim što prije.
Ne zahtijevaju svi hakirani računi na društvenim mrežama izvještavanje policiji, ali neki incidenti to trebaju. To se odnosi osobito na financijsku prijevaru, krađu identiteta, ransomware, kompromitaciju poslovnih e-mailova, krađu podataka o klijentima ili prijetnje koje se tiču osobne sigurnosti.
Korisni kanali za prijavu su:
Prijavljivanje stvara i pisani trag. Taj trag može biti važan kasnije, posebno ako se prijevarna aktivnost nastavi ili morate dokazati da ste pravovremeno reagirali.
Za organizacije, hakirani račun rijetko je samo problem jednog računa – često je prvi vidljivi znak većeg incidenta. Kompromitirana e-mail adresa može izložiti korisničke komunikacije. Ukradeni administratorski podatci mogu dovesti do krađe podataka. Procurjeli ključ za deployment može ugroziti produkcijske sustave.
Poslovni odgovor treba sadržavati:
Ako su incidentom pogođeni podaci pod regulativom, korisnički podaci, ransomware, produkcijska infrastruktura ili povlašteni pristup, potražite stručnu podršku što prije. Odgađanje može otežati sanaciju i prikupljanje dokaza.
Neke dobrohotne radnje mogu otežati oporavak ili donijeti novi rizik.
Izbjegavajte ove pogreške:
Kad ste stabilizirali trenutnu situaciju, odvojite vrijeme na jačanje postavki sigurnosti. Većina provala u račune ne događa se zbog sofisticiranih napada, već zbog ponovnog korištenja lozinki, phishinga, slabih opcija za oporavak, zlonamjernog softvera, izloženih uređaja ili neuklonjenih starih pristupa.
Praktična lista za jačanje zaštite:
Sigurnost ne mora biti savršena da bi bila znatno bolja. Nekoliko dosljednih navika uklanja najlakše napadljive putove i smanjuje štetu ako se opet nešto dogodi.
Biti hakiran nije uvijek znak da ste učinili nešto glupo. Napadači stalno ciljaju ljude i tvrtke, a čak i pažljivi korisnici mogu biti prevareni uvjerljivom phishing stranicom, ponovno korištenom lozinkom iz stare provale ili uređajem koji je tiho kompromitiran.
Najvažniji je pravodobni odgovor: prvo osigurajte e-mail, mijenjajte lozinke s pouzdanog uređaja, opozovite sesije, uključite snažan MFA, provjerite financijski rizik, sačuvajte dokaze i obavijestite sve koji mogu biti pogođeni. Nakon toga, unaprijedite sustave i navike kako bi sljedeći napad bio manje vjerojatan.