Byť hacknutý je stresujúce. Môže to pôsobiť osobne, naliehavo a zmätočne naraz. Môžete dostať podivné upozornenie na prihlásenie, nájsť správy, ktoré ste neposlali, stratiť prístup k účtu, všimnúť si chýbajúce peniaze alebo vám kamaráti oznámia, že od vás dostali podozrivé odkazy.
Najdôležitejšie je vyhnúť sa panickým rozhodnutiam. Útočníci často spoliehajú na rýchlosť, zmätok a nátlak. Vaším cieľom je spomaliť situáciu, obmedziť škody, získať kontrolu a potom odstrániť slabé miesta, vďaka ktorým k narušeniu došlo.
Tento návod popisuje praktické kroky, ktoré by ste mali urobiť, ak bol hacknutý váš osobný účet, firemný účet, zariadenie alebo online služba.
Ak je čo i len malá šanca, že by to mohlo ovplyvniť vášho zamestnávateľa, zákazníka alebo inú organizáciu, okamžite informujte príslušné IT alebo bezpečnostné oddelenie. Nečakajte, kým budete mať kompletné dôkazy. To platí aj v prípadoch, keď bolo napadnuté zariadenie používané na pracovné účely, bolo registrované ako BYOD, mali ste na ňom firemný e-mail, používali ste ho na jediné prihlásenie, alebo ste boli prihlásený do firemného správcu hesiel, VPN, administračného panela, repozitára zdrojových kódov, cloudového prostredia alebo zdieľania súborov.
Toto by malo prebehnúť skôr, ako sa pokúsite všetko vyšetrovať sami. Organizácia možno bude musieť zrušiť relácie, zmeniť prístupové údaje, pozrieť logy, izolovať postihnuté systémy alebo dočasne zablokovať prístup ešte počas incidentu.
Oddialiť toto oznámenie môže zhoršiť škody a vystaviť vás disciplinárnym opatreniam či zodpovednosti, ak v dôsledku neskorého hlásenia vzniknú organizácii straty, ktoré mohli byť minimalizované promptným konaním. Ak nemôžu byť žiadne firemné služby, zariadenia, účty ani dáta ovplyvnené, pokračujte nižšie podľa krokov pre osobné zotavenie.
Ak máte podozrenie, že je váš počítač alebo telefón infikovaný, nepoužívajte toto isté zariadenie na resetovanie hesiel alebo prihlasovanie do dôležitých účtov. Malvér môže zaznamenať nové heslá, kradnúť session cookies, snímať obrazovku alebo zachytiť obnovovacie kódy.
Použite zariadenie, ktorému dôverujete, napríklad:
Ak nemáte prístup k čistému zariadeniu, odpojte podozrivé zariadenie od internetu a zamerajte sa na získanie pomoci skôr, než zadáte akékoľvek nové údaje.
Váš e-mail je často kľúčom ku všetkému ostatnému. Ak má útočník kontrolu nad vaším e-mailom, môže resetovať heslá k bankám, obchodom, cloudovým úložiskám, sociálnym sieťam, vývojárskym platformám či pracovným nástrojom.
Začnite svojím hlavným e-mailovým účtom a skontrolujte nasledovné:
Špeciálnu pozornosť venujte poštovým pravidlám. Útočníci niekedy vytvárajú filtre, ktoré skrývajú bezpečnostné upozornenia, preposielajú faktúry alebo ticho kopírujú správy o resetovaní hesla na inú adresu.
Po zabezpečení e-mailu pokračujte účtami, ktoré môžu spôsobiť najväčšie škody. Neplytvajte prvými kritickými minútami na účtoch s nízkou hodnotou, kým má útočník stále prístup k bankovníctvu, cloudovému úložisku alebo administrátorským nástrojom.
Prioritizujte účty v tomto poradí:
Každé nové heslo musí byť jedinečné. Ak použijete to isté nové heslo na viacerých účtoch, jedna zvyšná slabina môže ohroziť všetko znova.
Zmena hesla je dôležitá, ale môže neodstrániť útočníka, ktorý je už prihlásený. Mnohé služby nechávajú aktívne sessions aj po zmene hesla, ak ich explicitne nezrušíte.
Hľadajte nastavenia ako:
Odstráňte všetko, čo nepoznáte. Pri firemných alebo vývojárskych účtoch vymeňte API tokeny, deploy kľúče, SSH kľúče, webhooky a prístupové údaje ku službe, ktoré mohli byť vystavené.
Viacfaktorová autentifikácia, často označovaná ako MFA alebo 2FA, dokáže zastaviť mnoho pokusov o prevzatie účtu, aj keď je heslo ukradnuté. Ak ste MFA nemali zapnutú, zapnite ju teraz na vašich dôležitých účtoch.
Uprednostnite silnejšie možnosti, ak sú dostupné:
Kódy posielané cez SMS sú lepšie ako žiadny druhý faktor, ale sú slabšie ako aplikácie alebo hardvérové možnosti. Telefónne číslo môže byť ukradnuté cez SIM swap útok, zachytené v niektorých prípadoch alebo zneužité cez slabé procesy obnovy účtu.
Po zapnutí MFA si vygenerujte zálohové kódy a bezpečne ich uložte. Inak strata telefónu alebo bezpečnostného kľúča môže prerásť do ďalšieho núdzového stavu.
Ak sa napadnutý účet týka peňazí, identifikačných údajov, faktúr, zákazníckych dát alebo daňových informácií, predpokladajte, že útočník si mohol skopírovať užitočné informácie, aj keď sa vám podarí rýchlo obnoviť prístup.
Skontrolujte:
Okamžite kontaktujte svoju banku alebo poskytovateľa platobných služieb, ak vidíte podozrivú aktivitu. Rýchle nahlásenie väčšinou zvyšuje šancu na zvrátenie podvodných transakcií alebo minimalizuje vašu zodpovednosť.
Prirodzene chcete čo najskôr všetko vyčistiť, ale predčasné vymazanie správ, logov alebo súborov môže sťažiť vyšetrovanie. Skôr než podozrivé veci odstránite, zachovajte základné dôkazy—najmä pred preformátovaním alebo preinštalovaním zariadenia, hlavne ak sú v hre peniaze, firemné dáta, zákaznícke údaje, ransomvér alebo právne povinnosti.
Užitočné dôkazy zahŕňajú:
Tieto informácie môžu pomôcť podporným tímom, bankám, polícii, poisťovniam, internému IT alebo bezpečnostným riešiteľom pochopiť, čo sa stalo.
Ak notebook či PC umožňuje, zvážte vybratie pôvodného disku a inštaláciu nového disku pre čistý operačný systém. Tak získate čistý systém na prácu a zároveň zachováte disk pre prípadné vyšetrovanie. Pri firemných prípadoch sa pred výmenou diskov alebo opätovným zapnutím zariadenia poraďte s IT oddelením alebo incident manažérom.
Ak kompromitácia mohla začať malvérom, škodlivou prílohou, falošným rozšírením prehliadača, pirátskym softvérom alebo neznámymi nástrojmi na vzdialený prístup, samotné obnovenie účtov nestačí. Samotné zariadenie už nemusí byť dôveryhodné. Útočník mohol nainštalovať persistenčné mechanizmy, upraviť systémové nastavenia, zachytiť session cookies či nasadiť softvér, ktorý ukradne nové údaje hneď, ako ich zadáte.
V takej situácii je bezpečnejšie nesnažiť sa zariadenie ručne "čistiť". Bezpečnejšie je najprv uchovať potrebné dôkazy, zálohovať len naozaj potrebné dáta, zariadenie vymazať a nainštalovať čistý operačný systém.
Dôležité opatrenia:
Pri vážnych prípadoch—najmä ransomvér, kompromitácia firemných účtov, prevzatie administrátorskeho účtu či podozrenie na krádež dát—zvážte profesionálnu pomoc skôr, než systém premazete. Vo firemných prípadoch môžu byť dôkazy potrebné pre vyšetrovanie, poistné plnenie, právne povinnosti či oznamovanie zákazníkom.
Ak útočníci použili váš účet na rozposielanie správ, faktúr, odkazov alebo súborov, upozornite tých, ktorí ich mohli dostať. Buďte stručný a vecný.
Napríklad:
Môj účet bol kompromitovaný. Prosím, neotvárajte odkazy, prílohy, platobné požiadavky ani zdieľané súbory odo mňa zaslané medzi [čas] a [čas]. Prístup som obnovil a pracujem na dôkladnej kontrole.
Pre firmy môže byť oznámenie tiež zákonnou alebo zmluvnou povinnosťou. Ak mohli byť vystavené zákaznícke údaje, údaje zamestnancov, platby, zdravotné údaje či dôverný klientský materiál, ešte pred vyrozumením zahrňte do riešenia právne, compliance a bezpečnostné oddelenia.
Nie každý hacknutý sociálny účet potrebuje hlásenie na políciu, ale niektoré prípady áno. Týka sa to najmä finančného podvodu, krádeže identity, ransomvéru, firemnej kompromitácie e-mailu, ukradnutých zákazníckych dát alebo priameho ohrozenia osobnej bezpečnosti.
Užitočné komunikačné kanály:
Hlásenie zároveň vytvára záznam. Ten môže byť dôležitý, ak podvodná aktivita pokračuje alebo ak budete neskôr musieť preukazovať, že ste konali rýchlo.
Pre organizácie nie je hacknutý účet len individuálny problém, ale často prvý viditeľný znak širšieho incidentu. Kompromitovaný e-mail môže odhaliť zákaznícke konverzácie. Ukradnuté administrátorské heslo môže viesť ku krádeži dát. Uniknutý deploy kľúč môže zasiahnuť aj produkčné systémy.
Firemná reakcia by mala zahŕňať:
Ak incident zahŕňa regulované dáta, zákaznícke dáta, ransomvér, produkčné prostredie či privilégiovaný prístup, privolajte odborníkov čo najskôr. Prílišné čakanie sťažuje obmedzenie škôd a zachytenie dôkazov.
Niektoré dobre mienené kroky môžu obnovu sťažiť alebo vytvoriť nové riziko.
Vyhnite sa týmto chybám:
Keď je akútny problém zažehnaný, venujte čas posilneniu nastavení. Väčšina kompromitácií účtov nie je výsledkom „pokročilého hackingu“. Vznikajú kvôli opätovnému používaniu hesiel, phishingu, slabým obnovovacím možnostiam, malvéru, nezabezpečeným zariadeniam alebo starým prístupom, ktorý nikto neodstránil.
Praktický bezpečnostný checklist:
Bezpečnosť nemusí byť dokonalá, aby bola omnoho lepšia. Niekoľko dôsledných návykov odstráni najľahšie vektory útoku a obmedzí škody, ak sa niečo pokazí aj nabudúce.
Byť hacknutý neznamená vždy, že ste boli neopatrní. Útočníci cielia na ľudí a firmy neustále a aj skúsený používateľ môže byť oklamaný dôveryhodne vyzerajúcou phishingovou stránkou, starým zneužitým heslom alebo tichým kompromitovaním zariadenia.
Najdôležitejšie je, ako zareagujete: najprv zabezpečte e-mail, meníte heslá len z dôveryhodného zariadenia, zrušte relácie, zapnite silnejšie MFA, skontrolujte finančné riziká, zachovajte dôkazy a upozornite všetkých, koho sa to mohlo dotknúť. Potom vylepšujte systémy a návyky tak, aby ďalší útok pravdepodobne nebol úspešný.