hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
5 stycznia 2021

Urządzenia IoT, niefrasobliwcze!

„Gospodarka, głupcze!” – ten nieco ostry w swej wymowie zwrot był jednym z haseł niesionych na transparentach kampanii wyborczej Billa Clintona na prezydenta USA w 1992 roku. Williamowi Jeffersonowi Clintonowi przyniosło miejsce w historii świata (i Białym Domu) jako 42. Prezydentowi USA. My świata nie zbawimy, ale mamy nadzieję, że jeśli – nieco przekornie – zakrzykniemy: „Urządzenia IoT… niefrasobliwcze!”, możemy przynajmniej ocalić Wasze nerwy i pieniądze.

Dziurawe, dostępne z sieci

W zasadzie temat nie jest nowy. Poświęciliśmy mu serię artykułów (przykład 1, przykład 2) niemal dwa lata temu. Czemu doń jednak wracamy? Ano temu, że przez ten cały czas, mniej lub bardziej regularnie, problem powraca, a nasi eksperci tylko ze smutkiem kiwają głowami, że urządzenia, z kartami SIM, o których wtedy pisaliśmy:

  • wciąż są używane, mimo ostrzeżeń o braku łatek bezpieczeństwa
  • ich panele administracyjne są dostępne z internetu
  • niezmiennie mają domyślne poświadczenia logowania
  • karty SIM, z których korzystają, dysponują pełnią uprawnień

Czy to się kończy? Skoro w środku są karty SIM, oznacza, że można ich użyć, wystarczy tylko dostać się do podatnego urządzenia. A potem przestępca ma już otwartą drogę – do wysyłania SMSów, dzwonienia, czy też… zamawiania usług (w formie kodów, czy kart przedpłaconych, które można potem sprzedać w sieci). Bez wiedzy ofiary, oczywiście.

Czujni jak nigdy dotąd

Od zmasowanych ataków przed dwoma laty koleżanki i koledzy zajmujący się zapobieganiem fraudom, stali się (a przede wszystkim ich systemy) wyjątkowo wyczuleni na tego typu aktywności. Do tego stopnia, że do CERT Orange Polska trafiają informacje o nadużyciach nawet na… kilka złotych (często są to testowe SMSy, by sprawdzić, czy udało się dostać do panelu administracyjnego podatnego urządzenia). Cóż z tego, skoro znajdują się niedoszłe ofiary, które niezmiennie korzystają z podatnych urządzeń, ignorując przekazane im zalecenia, dot. bezpieczeństwa? Rekordzista od czasów pierwszego tekstu na temat opisywanych oszustw unika kontaktu z obsługą klienta, nie tykając nawet konfiguracji podatnych urządzeń, które regularnie wyzwalają alarmy, związane ze złośliwą aktywnością.

Co zrobić? To proste!

Zamknąć dostęp z internetu do panelu administracyjnego, by ustawienia urządzenia zmieniać wyłącznie z sieci lokalnej.

Zmienić hasło i (jeśli to możliwe) login.

Jeśli karta SIM, umieszczona w urządzeniu nie musi wysyłać SMSów, czy dzwonić – skontaktować się z naszą infolinią i wyłączyć wszystkie usługi, poza transmisją danych.

Regularnie uaktualniać oprogramowanie urządzenia

Jeśli w naszym urządzeniu stwierdzono lukę bezpieczeństwa, która nie jest/nie może być załatana – zamienić je na sprzęt regularnie uaktualniany

Straty, które nasi klienci notowali na tego typu nadużyciach, potrafiły sięgać nawet pięciocyfrowych kwot. Wszystko, co opisaliśmy powyżej, włącznie z czasem, który nad tym spędzicie, nie będzie Was kosztować ułamka tej kwoty.

Bądźcie bezpieczni. Nie bądźcie niefrasobliwi. Szkoda pieniędzy, czasu i nerwów.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

25 kwietnia 2024
Raport CERT Orange Polska za 2023 rok już jest!
Dowiedz się więcej
22 kwietnia 2024
Poznaj swoją podatność – XSS w Liferay
Dowiedz się więcej
19 kwietnia 2024
Jak stracić pieniądze dwa razy, czyli kancelaria jak z Incepcji
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas