A feltörés stresszes. Egyszerre lehet személyes, sürgető és zavaró érzés. Lehet, hogy furcsa bejelentkezési figyelmeztetést kapsz, olyan üzeneteket találsz, amiket nem te küldtél, elveszted a hozzáférésed egy fiókhoz, pénz hiányzik a számládról, vagy barátaid szólnak, hogy gyanús linkeket kaptak tőled.
A legfontosabb, hogy ne hozz pánikból elhamarkodott döntéseket. A támadók gyakran a gyorsaságra, zűrzavarra és nyomásgyakorlásra alapoznak. A célod, hogy lelassítsd a helyzetet, korlátozd a károkat, visszaszerezd az irányítást, és eltávolítsd azokat a gyengeségeket, amelyek lehetővé tették a feltörést.
Ez az útmutató végigvezet a gyakorlati lépéseken, ha személyes, céges fiókod, eszközöd vagy online szolgáltatásod került illetéktelen kézbe.
Ha bármilyen esélye van, hogy a munkáltatódat, ügyfeledet vagy más szervezetet is érinthet a dolog, azonnal értesítsd a megfelelő IT vagy biztonsági csapatot. Ne várj addig, míg minden bizonyítékod megvan. Ide tartoznak azok az esetek is, amikor a feltört eszközt munkára használták, BYOD (saját eszköz) rendszeren volt, céges e-mailt nyitottál meg rajta, egyszeri bejelentkezés (SSO), vagy céges jelszókezelő, VPN, admin felület, forráskód-tárhely, felhő konzol vagy fájlmegosztó szolgáltatás elérésére használtad.
Eznek meg kell történnie, mielőtt saját magad próbálod kivizsgálni az egészet. Előfordulhat, hogy a szervezetnek azonnal vissza kell vonnia munkameneteket, jelszavakat kell cserélnie, naplókat ellenőriznie, elkülönítenie az érintett rendszereket, vagy le kell tiltania a hozzáférést, amíg tart az incidens.
Ha késlekedsz ezzel az értesítéssel, súlyosbíthatod a károkat, és akár fegyelmi eljárás vagy jogi felelősség terhe is fenyeget, ha a szervezet veszteséget szenved, amit gyorsabb jelentéssel el lehetett volna kerülni. Ha biztosan nincs érintett céges adat, eszköz, fiók vagy szolgáltatás, folytasd az alábbi személyes helyreállítási lépésekkel.
Ha úgy gondolod, hogy a számítógéped vagy telefonod fertőzött, NE azt az eszközt használd jelszóváltáshoz vagy fontos fiókokhoz való bejelentkezéshez. A rosszindulatú szoftverek rögzíthetik az új jelszavakat, ellophatják a munkamenet sütiket, képernyőmentéseket készíthetnek, vagy elfoghatják a helyreállítási kódokat.
Használj megbízható eszközt, például:
Ha nincs ilyen eszközöd, válaszd le a gyanús készüléket az internetről, és keress segítséget, mielőtt új jelszavakat adnál meg.
Az e-mail fiók gyakran minden másnak a kulcsa. Ha támadó irányítja az email-ed, jelszó helyreállításokat indíthat banki, vásárlói, felhő, közösségi, fejlesztői vagy céges fiókjaidhoz.
Kezdd a fő e-mail fiókkal, ellenőrizd az alábbiakat:
Kiemelten figyelj a levélszabályokra. A támadók gyakran hoznak létre olyan szűrőket, amelyek elrejtik a biztonsági figyelmeztetéseket, továbbítják a számlákat, vagy titokban átmásolják a jelszó-helyreállító üzeneteket egy másik címre.
Miután az email-t biztonságba helyezted, jöhetnek azok a fiókok, amikkel a legnagyobb kárt tudják okozni. Ne az első perceket pazarold alacsony rizikójú fiókokkal, miközben a támadó még hozzáfér banki, felhő, adminisztrátori felülethez!
A prioritási sorrend:
Minden új jelszó legyen egyedi! Ha ugyanazt a jelszót több helyen használod, egyetlen gyenge pont ismét mindent veszélybe sodorhat.
A jelszócsere fontos, de nem mindig zárja ki azt, aki már be van jelentkezve. Sok szolgáltatás nem dobja ki a bejelentkezett felhasználót jelszóváltás után, csak ha erre külön kattintasz.
Keresd a következő lehetőségeket:
Törölj minden ismeretlent! Céges, fejlesztői fiókoknál az API tokeneket, deployment/SSH kulcsokat, webhookokat és szolgáltatás-fiók hozzáféréseket is cseréld le, ha vélhetően kikerültek.
A többfaktoros (MFA/2FA) azonosítás sok fiókátvételi kísérletet megállíthat, még ha a jelszót el is lopták. Ha eddig nem volt bekapcsolva, most tedd meg a fontos fiókoknál!
Előnyben részesítsd az erős opciókat:
Az SMS-alapú kódok több a semminél, de gyengébbek, mint az applikációs vagy hardveres megoldások. Telefonszámot SIM-cserével átvehetnek, lehallgathatnak, vagy a gyenge helyreállító folyamatokat kihasználhatják.
MFA bekapcsolásakor generálj tartalék kódokat, és tedd el őket biztonságos helyre. Ellenkező esetben egy elveszett telefon vagy biztonsági kulcs önálló vészhelyzetté változtathatja a helyreállítást.
Ha a feltört fiók pénzhez, személyazonosító okmányokhoz, számlákhoz, ügyféladatokhoz vagy adóinformációkhoz kapcsolódik, feltételezd, hogy a támadók hasznos adatokat szerezhettek, még ha gyorsan vissza is szerezted a hozzáférést.
Ellenőrizd:
Gyanús tevékenység esetén AZONNAL lépj kapcsolatba a bankoddal vagy fizetési szolgáltatóddal! Sok esetben a gyors jelentés növeli az esélyt a csalárd tranzakciók visszafordítására vagy a felelősség csökkentésére.
Természetes, ha gyorsan tiszta helyzetet akarsz, de az üzenetek, naplók, fájlok túl korai törlése megnehezítheti a vizsgálatot. Gyanús elemek törlése előtt őrizd meg legalább az alapvető bizonyítékokat. Ezt még azelőtt tedd meg, hogy letörölnéd vagy újratelepítenéd az eszközt, főleg, ha pénz, céges adatok, ügyféladatok, zsarolóvírus, vagy jogi kötelezettség érintett.
Hasznos bizonyítékok:
Ez segíthet ügyfélszolgálatnak, banknak, rendőrségnek, biztosítónak, IT támogató csapatnak vagy incidens-elhárítóknak megérteni, mi történt.
Ha a laptop/asztali gép lehetővé teszi, fontold meg az eredeti meghajtó eltávolítását, és új merevlemez/SSD beépítését a tiszta operációs rendszer telepítéséhez. Így egy tiszta rendszeren dolgozhatsz, miközben megőrzöd az eredeti diszket a vizsgálathoz. Ha céges incidensről van szó, egyeztess IT-val vagy incidenskezelővel bármilyen változtatás vagy bekapcsolás előtt.
Ha a kompromittálódás kártevőből, rosszindulatú csatolmányból, hamis böngészőbővítményből, kalóz szoftverből vagy ismeretlen távelérésből indulhatott ki, az önmagában végzett fiókhelyreállítás kevés. Az eszköz maga megbízhatatlanná válhat. A támadó tartós hozzáférést telepíthetett, rendszerbeállításokat módosíthatott, elcsíphette a munkamenet sütiket vagy olyan programot hagyhatott hátra, amely azonnal továbbítja az új jelszavakat.
Ilyen esetben a biztonságos eljárás NEM a kézi "tisztítás". Először ments bizonyítékokat, csak a szükséges adatokat mentsd, töröld az eszközt, majd telepítsd az operációs rendszert frissen!
Fontos óvintézkedések:
Magas kockázatú támadásoknál (zsarolóvírus, céges e-mail eltérítés, adminisztrátori jelszó feltörése, adatszivárgás gyanúja) célszerű szakértő incidenskezeléshez fordulni törlés előtt! Céges esetekben a nyomozáshoz, biztosítási vagy jogi kötelezettségekhez szükség lehet a bizonyítékok megőrzésére.
Ha a támadó a te fiókodat használta üzenetek, számlák, linkek vagy fájlok küldésére, figyelmeztesd azokat, akik megkaphatták ezeket. Legyen rövid és konkrét az üzeneted.
Például:
A fiókomat feltörték. Kérlek, NE nyissátok meg az általam küldött linkeket, csatolmányokat, fizetési kéréseket vagy megosztott fájlokat [dátumtól] [dátumig]. Már visszaszereztem a hozzáférést, vizsgálom a történteket.
Céges szinten az értesítés jogi vagy szerződéses kötelesség is lehet! Ha ügyféladat, dolgozói adat, fizetési vagy egészségügyi információ, vagy bizalmas partneranyag szivárgott ki, vonj be jogi, megfelelőségi, biztonsági csapatot hamar.
Nem minden feltört közösségi fiókhoz kell rendőrségi bejelentés, de bizonyos eseteket jelenteni kell! Különösen pénzügyi csalásnál, személyazonosító lopásnál, zsarolóvírusnál, üzleti e-mail kompromittálásnál, ügyféladat-lopásnál, vagy ha a személyes biztonság is érintett.
Hasznos jelentési csatornák:
A jelentés feljegyzést is képez. Ennek később jelentősége lehet, ha a csalárd tevékenység folytatódik, vagy bizonyítanod kell, hogy gyorsan reagáltál.
Céges környezetben a feltört fiókok zöme nem csupán "egy fiók" baja. Gyakran egy nagyobb incidens első látható jele. Egy feltört e-mail postafiók hozzáférést adhat ügyfél levelezésekhez. Egy ellopott adminisztrátori jelszó adat kiszivárgásához vezethet. Egy kikerült telepítési kulcs a termelési rendszert is veszélyezteti.
Vállalati szintű válasz:
Ha az incidens szabályozott adatot, ügyféladatot, zsarolóvírust, termelési infrastruktúrát vagy kiemelt hozzáférést érint, kérj szakértői segítséget minél előbb! A késlekedés megnehezíti a korlátozást és a bizonyítékgyűjtést.
Jó szándékú, de helytelen lépések is nehezíthetik a helyreállítást, vagy új hibákat okozhatnak.
Kerüld el ezeket:
Ha az azonnali helyzetet uralod, fordíts időt a védelem erősítésére. A legtöbb fiókfeltörést nem "magas szintű hekkerek" okozzák. Általában újrahasznált jelszavak, adathalászat, gyenge helyreállítási lehetőségek, kártékony programok, kitett eszközök vagy elfelejtett hozzáférések miatt történik meg.
Gyakorlati biztonsági ellenőrzőlista:
A biztonságnak nem kell tökéletesnek lennie ahhoz, hogy sokkal jobb legyen. Néhány következetes szokás képes lezárni a legalapvetőbb támadási útvonalakat, és jelentősen csökkenteni a kárt egy újabb incidens során.
A feltörés nem mindig annak jele, hogy valamit rosszul csináltál. A támadók folyamatosan célba veszik az embereket és cégeket. Még a körültekintő felhasználók is bedőlhetnek egy jó adathalász oldalnak, egy régi jelszavas adatbázis-szivárgásnak, vagy egy csendben kompromittálódott eszköznek.
A legfontosabb a helyes reakció: először az email-t védd meg, csak megbízható eszközről cseréld a jelszavakat, vonj vissza minden munkamenetet, kapcsold be az erős MFA-t, ellenőrizd a pénzügyi kockázatokat, őrizd meg a bizonyítékokat és értesítsd az érintetteket. Ezután fejleszd a rendszereket és a szokásokat, hogy a következő támadás kevésbé legyen sikeres.