Kategoria: INFO

Informacje na temat cybwerbezpieczeństwa w jednostkach samorządu terytorialnego oraz podmiotach prywatnych.

Opublikowane w

STOPNIE ALARMOWE BRAVO ORAZ BRAVO-CRP OBOWIĄZUJĄ DO 31 MAJA

Przypominamy o realnym i ciągle narastającym zagrożeniu cybernetycznych ataków hararejskich na instytucje realizujące zadania publiczne W kwietniu 2025 roku Najwyższa Izba Kontroli opublikowała raport, który ujawnia, że aż 71% urzędów gmin i starostw powiatowych nie było przygotowanych na zapewnienie ciągłości działania systemów informatycznych w sytuacjach kryzysowych, takich jak ataki hakerskie.

 

RCB

Źródło: Obraz https://www.gov.pl

Prezes Rady Ministrów na podstawie art. 16 ust. 1 pkt 1 ustawy z dnia 10 czerwca 2016 roku o działaniach antyterrorystycznych (Dz. U. z 2025 r. poz. 194) podpisał Zarządzenia:

  1. nr 43 z dnia 28 sierpnia 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego (2. stopień BRAVO) na całym terytorium Rzeczypospolitej Polskiej,

  2. nr 44 z dnia 28 sierpnia 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego CRP (2. stopień BRAVO-CRP) na całym terytorium Rzeczypospolitej Polskiej,

  3. nr 45 z dnia 28 sierpnia 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego (2. stopień BRAVO) wobec polskiej infrastruktury energetycznej mieszczącej się poza granicami Rzeczypospolitej Polskiej.

 

ZARZĄDZENIA OBOWIĄZUJĄ OD DNIA 1 WRZEŚNIA 2025 ROKU OD GODZ. 00:00, DO DNIA 30 LISTOPADA 2025 ROKU DO GODZ. 23:59.

 

ALFA-CRP oznacza, że należy wykonać następujące zadania:

  • wprowadzić wzmożone monitorowanie stanu bezpieczeństwa systemów teleinformatycznych organów administracji publicznej lub systemów  teleinformatycznych wchodzących w skład infrastruktury krytycznej w szczególności wykorzystując zalecenia szefa Agencji Bezpieczeństwa Wewnętrznego lub komórek odpowiedzialnych za system reagowania zgodnie z właściwością oraz:

    • monitorować i weryfikować, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej,

    • sprawdzać dostępność usług elektronicznych,

    • dokonywać, w razie potrzeby, zmian w dostępie do systemów;

  • poinformować personel instytucji o konieczności zachowania zwiększonej czujności w stosunku do stanów odbiegających od normy, w szczególności personel odpowiedzialny za bezpieczeństwo systemów;

  • sprawdzić kanały łączności z innymi, właściwymi dla rodzaju stopnia alarmowego CRP, podmiotami biorącymi udział w reagowaniu kryzysowym, dokonać weryfikacji ustanowionych punktów kontaktowych z zespołami reagowania na incydenty bezpieczeństwa teleinformatycznego właściwymi dla rodzaju działania organizacji oraz ministrem właściwym do spraw informatyzacji;

  • dokonać przeglądu stosowanych procedur oraz zadań związanych z wprowadzeniem stopni alarmowych CRP, w szczególności dokonać weryfikacji posiadanej kopii zapasowej systemów w stosunku do systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej oraz systemów kluczowych dla funkcjonowania organizacji oraz weryfikacji czasu wymaganego na przywrócenie poprawności funkcjonowania systemu;

  • sprawdzić aktualny stan bezpieczeństwa systemów i ocenić wpływ zagrożenia na bezpieczeństwo teleinformatyczne na podstawie bieżących informacji i prognoz wydarzeń;

  • informować na bieżąco o efektach przeprowadzanych działań zespoły reagowania na incydenty bezpieczeństwa teleinformatycznego właściwe dla rodzaju działania organizacji oraz współdziałające centra zarządzania kryzysowego, a także ministra właściwego do spraw informatyzacji.

BRAVO-CRP oznacza, że należy wykonać zadania wymienione dla pierwszego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP. Ponadto należy:

  • zapewnić dostępność w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów;

  • wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych.



Czy w twojej jednostce realizuje się powyższe zadania?



Źródła:



AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

NARZĘDZIE DO ANALIZY KONT UŻYTKOWNIKÓW WINDOWS

Mając na uwadze rosnące zagrożenia cybernetyczne, jednym z kluczowych elementów ochrony infrastruktury IT jest regularna kontrola kont użytkowników. Szczegółowy opis tego wymagania zawarty jest w ISO/IEC 27001, NIST SP 800-53, RODO (GDPR), CIS Controls. Fałszywe konta lokalne lub domenowe utworzone przez hakerów mogą stanowić furtkę do dalszych ataków, eskalacji uprawnień i kradzieży danych. Dlatego cykliczne audyty kont są nie tylko dobrą praktyką, ale wręcz koniecznością. W połączeniu z odpowiednimi narzędziami, politykami i świadomością zagrożeń, pozwalają wykryć nieautoryzowane działania zanim dojdzie do poważnego incydentu. Warto wdrożyć procedury audytowe jako część codziennej administracji systemami Windows i Active Directory.

 

konta użytkowników

Źródło: opracowanie własne.

Aby sprawdzić konta lokalne w systemie Windows naciśnij przycisk Windows +R a następnie wpisz polecenie netplwiz. Natomiast do administracji użytkownikami i obiektami w Active Directory używa się narzędzi takich jak „Użytkownicy i komputery usługi Active Directory”.

Kilka dobrych praktyk:

1. Regularne sprawdzaj konta

  • Przeglądaj listę kont lokalnych i domenowych co najmniej raz w miesiącu.

  • Weryfikuj, czy konta są zgodne z polityką firmy (np. brak kont bez właściciela).

  • Usuwaj konta tymczasowe/testowe po zakończeniu ich użycia.



2. Monitoruj logi systemowe

  • Włącz audytowanie zdarzeń związanych z tworzeniem kont i grup.

  • Używaj narzędzi takich jak Event Viewer, PowerShell, Sysmon, SIEM (np. Splunk, Sentinel).

3. Wyszukuj podejrzane zdarzenia

  • Identyfikatory zdarzeń w logach:

Tworzenie konta użytkownika

Nowe konto lokalne lub domenowe

4720

Tworzenie grupy

Utworzenie nowej grupy zabezpieczeń

4731

Dodanie użytkownika do grupy

Potencjalna eskalacja uprawnień

4732

Zmiana typu konta

np. z użytkownika na administratora

4728, 4729

Logowanie interaktywne

Może wskazywać na użycie nowego konta

4624

Próba logowania nieudana

Może wskazywać na brute-force

4625

4. Sprawdzaj, które konta są uprzywilejowane

  • Sprawdzaj członkostwo w grupach takich jak:

Domain Admins

Enterprise Admins

Administrators

  • Używaj zasady PoLP (Principle of Least Privilege) – tylko niezbędne uprawnienia.

  • Hakerzy często tworzą konta z nazwami przypominającymi konta systemowe (np. Admin1, SupportSvc).

Porównaj listę kont z listą zatwierdzonych użytkowników.

Sprawdź daty utworzenia kont – nietypowe godziny mogą wskazywać na atak.

Monitoruj konta nieaktywne, ale z uprawnieniami.

 

Opublikowane w

NARZĘDZIE DO ANALIZY POŁĄCZEN W SYSTEMIE WINDOWS

Wyobraź sobie, że pracujesz w urzędzie i nagle komputer zaczyna działać wolniej. W sytuacji kiedy mamy podejrzenie, że w naszym komputerze z systemem Windows dzieje się coś niepożądanego zastanawiamy się jak to sprawdzić. Pierwsze co przychodzi nam do głowy, to uruchomić skanowanie antywirusowe, i to jest dobre działanie. W pewnych przypadkach skaner może pominąć zagrożenia. Dodatkową opcją może być manualna kontrola połączeń sieciowych, jakie nawiązuje nasz system operacyjny. Możemy zrobić to za pomocą linii komend CMD wpisując polecenie netstat, które służy do wyświetlania informacji o połączeniach sieciowych, portach, procesach, statystykach protokołów i tabelach routingu.

 

IPv4

Źródło: opracowanie własne.



Powyższa komenda umożliwia sprawdzenie czy nasz komputer nie zawiera obiektów śledzących nas w sieci. Dostępne opcje pozwalają na filtrację i formatowanie wyświetlanych danych:

  • -a (wszystkie): Wyświetla wszystkie aktywne gniazda i nasłuchujące porty. 

  • -n (numeryczne): Wyświetla adresy IP i numery portów w formie numerycznej, zamiast rozwiązywać nazwy hostów i usług. 

  • -r (routing): Wyświetla tabelę routingu. 

  • -s (statystyki): Wyświetla szczegółowe statystyki dla poszczególnych protokołów sieciowych (np. IP, TCP, UDP). 

  • -e (interfejsy): Wyświetla statystyki dotyczące interfejsów sieciowych, takie jak liczba wysłanych i otrzymanych bajtów, pakietów oraz błędy. 

  • -p <protokół>: Wyświetla tylko połączenia dla określonego protokołu, np. -p TCP. 

  • -o (PID): (W systemie Windows) Wyświetla identyfikator procesu (PID) powiązanego z każdym połączeniem. 

  • -f (pełne nazwy DNS): (W systemie Windows) Wyświetla pełne nazwy domenowe dla adresów IP. 

  • -b (nazwa pliku wykonywalnego): (W systemie Windows) Wyświetla nazwę pliku wykonywalnego procesu, który korzysta z połączenia. 

  • -g (grupy multicast): (W systemach Linux) Wyświetla informacje o członkostwie w grupach multicast dla protokołów IPv4 i IPv6. 

  • -i (interfejsy): (W systemach Linux) Wyświetla tabelę wszystkich interfejsów sieciowych



Jeśli nie bardzo potrafimy zinterpretować wyniki, możemy skorzystać z pomocy AI 😊





Opublikowane w

INSTRUKCJA OD CERT POLSKA – JAK ZBUDOWAĆ CSIRT

Czy w samorządzie jest niezbędny wykwalifikowany zespół specjalistów odpowiedzialnych za ciągłe monitorowanie, wykrywanie, analizę i reagowanie na zagrożenia bezpieczeństwa informatycznego typu SOC lub CSIRT? Na to pytanie można odpowiedzieć dopiero po przeprowadzaniu szczegółowej analizy ryzyka. NIS2 nie wymusza w bezpośredni sposób posiadania takiej komórki w JST, ale wymaga wdrażania skutecznych mechanizmów monitorowania, zarządzania ryzykiem i reagowania na incydenty, co sprawia, że SOC jest najefektywniejszym sposobem na spełnienie tych wymogów. Kolejne pytanie brzmi, czy samorząd stać na zbudowanie takiego zespołu samodzielnie czy we współpracy z sąsiednimi gminami, a może z WOKISS? Taki zespół zmniejsza ryzyko przerw w usługach i podnosi poziom bezpieczeństwa danych, dodatkowo buduje profesjonalny wizerunek JST. Wokiss jako wieloletni integrator rozwiązań IT posiada odpowiednią kadrę i doświadczenie w realizacji podobnych projektów.

,,hacker"

 

Źródło: Obraz Gerd Altmann z Pixabay

CERT Polska opublikował rekomendacje dla ustanawiania zespołów CSIRT z myślą o powstawaniu CSIRT-ów sektorowych zgodnie z projektem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Rekomendacje kierowane są przede wszystkim do osób odpowiedzialnych za tworzenie zespołów cyberbezpieczeństwa w podmiotach krajowego systemu cyberbezpieczeństwa. W dokumencie zostały przedstawione praktyczne porady dotyczące organizacji i funkcjonowania zespołów CSIRT. Chodzi o to, by zespoły działały według podobnych zasad i mogły ze sobą współpracować. Jeśli zespół osiągnie podstawowy poziom dojrzałości według standardu ENISA, łatwiej poradzi sobie z incydentami i współpracą z innymi CSIRT-ami.

SCHEMAT IDEOWY CSIRT

  1. CEL

Zespół CSIRT ma reagować na incydenty związane z bezpieczeństwem komputerowym. Określ, co ma chronić. Na przykład: systemy płatności, dane mieszkańców, dostęp do poczty elektronicznej. Zdefiniuj, jakie podmioty będzie wspierał – czy tylko urząd, czy też szkoły, biblioteki, spółki komunalne itp..

  1. MANDAT I ZASADY DZIAŁANIA

Określ, co zespół może robić, a czego nie. Spisz to w prostym dokumencie. Pracownicy muszą wiedzieć, kiedy mają reagować, komu raportować i jakie decyzje mogą podejmować samodzielnie.

  1. KADRA

Wystarczą 2–3 osoby, które znają się na sieciach, systemach i potrafią szybko reagować. Zadbaj o ich szkolenia i umiejętność komunikacji.

  1. NARZĘDZIA

System do monitorowania sieci i analizy logów SIEM, EDR, XDR, NAC itp., Kolejny to dobrze działający system inwentaryzacji i monitorowania infrastruktury oraz łatwy w obsłudze system do obsługi zgłoszeń i komunikacji.

  1. PROCESY

Spisz proste scenariusze reagowania. Ustal, kiedy zgłaszasz sprawę wyżej – do kierownictwa, do prawnika, do mediów.

  1. WSPOŁPRACA

Nawiąż kontakt z zespołami CSIRT na poziomie krajowym. Dołącz do spotkań, grup dyskusyjnych, wymieniaj się doświadczeniami.

  1. WIZERUNEK

Publikuj informacje na stronie urzędu. Podaj kontakt, opisz, kiedy i jak można zgłaszać incydenty.





Pobierz plik z rekomendacjami.

Źródła:



Opublikowane w

NOWY PROJEKT „CYFROWY UCZEŃ” – CO MUSISZ WIEDZIEĆ



Rząd opublikował 13 sierpnia 2025 r. projekt rozporządzenia dotyczący nowego programu „Cyfrowy Uczeń”. Jak donoszą portale informacyjne, program ruszy od 31 sierpnia 2025 r. i obejmie cztery lata szkolne – do 30 listopada 2029 r. Z budżetu państwa przeznaczono 260 mln zł. Samorządy muszą zagwarantować minimum 20 % wkładu własnego.

 

robot

Źródło: Obraz Alexandra_Koch z Pixabay

Dotacje mogę trafić do:

  • przedszkoli (również specjalnych i integracyjnych),

  • placówek oświatowo-wychowawczych,

  • poradni psychologiczno-pedagogicznych,

  • młodzieżowych ośrodków wychowawczych i socjoterapii,

  • młodzieżowych domów kultury,

  • międzyszkolnych ośrodków sportowych,

  • burs i domów wczasów dziecięcych,

  • Ośrodka Rozwoju Edukacji i Centrum Informatycznego Edukacji

Program ma objąć:

  • Obszar sprzętowy – zakup lub modernizacja sprzętu: komputery, laptopy, tablety, sprzęt VR/AR, roboty edukacyjne, monitory interaktywne, wyposażenie pracowni, sieci LAN, pomoce dla uczniów ze specjalnymi potrzebami.

  • Obszar narzędziowy – oprogramowanie, licencje, materiały cyfrowe, przestrzeń w chmurze, usługi zdalnego zarządzania, materiały edukacyjne.

  • Obszar szkoleniowy/metodyczny – choć szczegóły jeszcze się pojawią, jest to jasny znak, że program nie ograniczy się do sprzętu, ale wesprze nauczycieli i metody ich pracy.

  • Obszar rozwoju usług cyfrowych dla edukacji – wsparcie dla Centrum Informatycznego Edukacji, w tym rozbudowa i utrzymanie np. ogólnodostępnego dziennika elektronicznego



Praktyczne wskazówki:

  • Zidentyfikuj potrzeby placówki.
    Czego najbardziej brakuje w Twojej placówce: sprzętu czy umiejętności? Zastanów się, czy najbardziej przyda się sprzęt, szkolenia, czy może chmura albo oprogramowanie.

  • Zacznij planować już teraz.
    Jakie efekty chcesz osiągnąć – bardziej kreatywną naukę, współpracę uczniów, lepszą dydaktykę? Jak to opisać we wniosku? Zacznij zbierać dane o stanie obecnym: ile mam komputerów, jakie oprogramowanie, jakie potrzeby. Pozwoli to skuteczniej wypełnić wniosek.

  • Przygotuj wkład własny.
    To minimum 20 %.

  • Pomyśl o trwałości zmian.
    Co zrobisz, gdy program się skończy? Czy masz plan na utrzymanie i rozwój? Warto zastanowić się, jak będziecie dalej korzystać ze sprzętu po zakończeniu projektu. Czy macie strategię rozwoju cyfryzacji?

  • Zadbaj o kompetencje nauczycieli.
    Zaplanuj, kto i jakich szkoleń potrzebuje. Nowoczesne technologie działają tylko, gdy ktoś potrafi ich używać.



Źródła:

 

Opublikowane w

KOLEJNY ATAK TYPU RANSOMWARE

Jako samorządowcy każdego dnia realizujemy szereg zadań wynikających z kompetencji JST. Budowa nowego żłobka, szkoły, chodnika, drogi czy sprawny odbiór odpadów jest dla każdego burmistrza celem nadrzędnym, aby mieszkańcom żyło się wygodniej i bezpieczniej. Często zadania merytorczne absorbują naszą uwagę zbyt mocno by dostrzec zagrożenie cybernetyczne. Jedno kliknięcie może spowodować lawinę problemów. Warto zastanowić się, czy Twoja jednostka samorządowa jest przygotowana na ataki cyfrowe, które mogą zniszczyć efektywność codziennego zarządzania.

 

kłódka

Źródło Photo by FlyD on Unsplash

Jak podaje „Herbapol-Lublin” S.A. – w wyniku działalności grupy hakerów systemy informatyczne spółki zostały zaszyfrowane za pomocą złośliwego oprogramowania, co skutkowało czasową utratą dostępności.

W związku z powyższym nie można wykluczyć, że mogło dojść do nieuprawnionego dostępu do danych osobowych, co w konsekwencji może skutkować próbą ich wykorzystania.

Zarząd Spółki „HERBAPOL-LUBLIN” S. A. zwraca się do zainteresowanych o wzmożoną czujność i informuje o możliwych skutkach.

„Ewentualny nieuprawniony dostęp do Państwa danych osobowych może się wiązać z:

• uzyskaniem przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w

instytucjach pozabankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki

lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności

okazywania dokumentu tożsamości,

• kradzieżą lub sfałszowaniem tożsamości, np. posłużeniem się Państwa danymi przez osobę

nieuprawnioną w celu zawarcia umowy, zaciągnięcia zobowiązania finansowego, podszycia

się pod Państwa w przypadku otrzymania mandatu,

• uzyskaniem autoryzacji do usług bankowych, ubezpieczeniowych lub telekomunikacyjnych,

np. w celu zamówienia dodatkowych usług lub urządzeń w Państwa imieniu.

• uzyskaniem dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom,

których dane naruszono oraz ich danych o stanie zdrowia, ponieważ często dostęp do

systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość

za pomocą numeru PESEL,

• zarejestrowaniem przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów

przestępczych.

• skorzystaniem z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad

środkami budżetu obywatelskiego, co z kolei uniemożliwiałoby to osobom, których dane w

sposób nieuprawniony użyto skorzystanie z przysługującego im prawa.”

Patrząc przez pryzmat powyższego, taka sytuacja może spotkać każdego z nas. Zadbajmy o poprawę kompetencji pracowników samorządowych poprzez organizacje szkoleń i testów. Przypominajmy pracownikom o zagrożeniach i odpowiedzialności za dane, jakie przetwarzamy w ramach pełnionych obowiązków.

Praktyczne wskazówki na zwiększenie cyberbezpieczeństwa:

  • Szkolenia i poprawa świadomość pracowników.

  • Redundancja infrastruktury krytycznej.

  • Implementacja oprogramowania antywirusowego, firewalla, szyfrowania danych oraz systemów wykrywania intruzów.

  • Regularne aktualizacje i patchowanie oprogramowania.

  • Samowystarczalność energetyczna na min. 24h.



Źródła:

Komunikat dotyczący ataku hakerskiego na infrastrukturę informatyczną Herbapol – Lublin S.A https://www.herbapol.com.pl/assets/files/zawiadomienie-o-naruszeniu-danych-bylych-pracownikow-herbapol-lublin-s.a_.pdf



AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.



Opublikowane w

DZIEŃ BEZ TELEFONU

15 lipca obchodzimy Światowy Dzień Bez Telefonu Komórkowego. To doskonała okazja, aby na chłodno przyjrzeć się naszym nawykom związanym z używaniem smartfonów i innych urządzeń ekranowych. Warto zastanowić się, jaką rolę odgrywają one w naszym życiu.

Współczesne telefony to znacznie więcej niż tylko urządzenia do dzwonienia i wysyłania SMS-ów. Stały się przenośnymi komputerami, które są nieodłączną częścią naszej codzienności. Służą nam nie tylko do komunikacji, ale również jako portfel, narzędzie do uwierzytelniania tożsamości, nawigacja, aparat fotograficzny, encyklopedia, sklep, dziennik elektroniczny, sterownik inteligentnych domów, trener personalny, a także źródło rozrywki w postaci gier, filmów czy mediów społecznościowych.

grupka znajomych

 

Źródło https://www.gov.pl

Jak podaje Instytutu Cyfrowego Obywatelstwa i Fundacji Orange w raporcie „Higiena cyfrowa dorosłych” z kwietnia 2025r:

„Najwięcej osób używa telefonu od 1 do 3 godzin dziennie (w dniu pracy/uczenia się – 34,6%, w dniu wolnym – 34,2%) oraz od 3 do 5 godzin dziennie (w dniu pracy/uczenia się – 23,5%, w dniu wolnym –22,2%), ok. 18% badanych używa telefonu 5 godzin i więcej.”

Do czego używamy naszych smartfonów?

„Najwięcej badanych internautek i internautów codziennie wykorzystuje urządzenia ekranowe przede wszystkim do aktywności na portalach społecznościowych (60%), komunikacji z innymi (54,4%) oraz wyszukiwania informacji (43,8%). Co ok. trzecia osoba codziennie ogląda na ekranach filmy lub inne materiały wideo (35,1%) i słucha muzyki, podcastów czy audiobooków (33,1%), 30,8% używa urządzeń codziennie do pracy i uczenia się.”

Jak się z tym czujemy?

„Ponad połowa internautek i internautów (54,5%) oceniła, że na używaniu urządzeń ekranowych spędza dużo czasu („bardzo dużo” i „raczej dużo”). Przeciwnego zdania („raczej mało” i „bardzo mało”) było jedynie 10% z nich. Co trzeciej osobie trudno było dokonać takiej oceny”

Patrząc przez pryzmat powyższego, zachęcamy do

  • aktywnego spędzania czasu z rodziną i przyjaciółmi,

  • realizacji swojego hobby,

  • spędzania czasu na aktywnościach fizycznych,

  • autorozwoju poprzez czytanie tradycyjnych książek.



Źródła:

Instytutu Cyfrowego Obywatelstwa i Fundacji Orange, „Higiena cyfrowa dorosłych” https://cyfroweobywatelstwo.pl/wp-content/uploads/2025/04/raport_higiena_cyfrowa_2025.pdf



AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

CZY AI POMAGA HAKEROM?

Niestety AI pozwala przestępcom tworzyć bardzo realistyczne wiadomości, obrazy i głosy. Dzięki możliwości analizy bardzo dużej ilości danych i korelacji zależności oszuści mogą przygotować precyzyjne celowane ataki na wybrane instytucje w dotąd niespotykanej skali. Oszustwa stają się coraz bardziej wyrafinowane i trudniejsze do rozpoznania co powinno skłonić organizacje do opracowania nowych strategii ochrony.

 

sztuczna inteligencja

Źródło https://www.nask.pl

Nask przedstawia przykłady zastosowań sztucznej inteligencji przez hakerów:

  • Automatyzacja ataków phishingowych: Boty AI mogą masowo rozsyłać wiadomości phishingowe, oceniać szanse na oszustwo i selekcjonować ofiary.

  • Phishing głosowy (vishing): AI tworzy realistyczne fałszywe głosy, które są trudne do odróżnienia od prawdziwych rozmów telefonicznych, wymagając zaledwie kilku sekund próbki głosu.

  • Manipulacje audiowizualne (deepfake): AI modyfikuje lub generuje materiały audiowizualne z wizerunkami znanych osób, by promować narzędzia lub zachęcać do kliknięć/pobierania.

  • Tworzenie fałszywych tożsamości: AI generuje autentycznie wyglądające profile w mediach społecznościowych, w tym zdjęcia, posty i wirtualne grupy znajomych, zwiększając skuteczność oszustw socjotechnicznych.

  • Automatyzacja interakcji: Chatboty AI prowadzą realistyczne rozmowy z ofiarami, by skłonić je do ujawnienia informacji lub wykonania działań.

  • Personalizacja ataków: AI analizuje dane ofiar (np. z mediów społecznościowych) w celu tworzenia spersonalizowanych i trudniejszych do wykrycia wiadomości oraz scenariuszy ataków.



Źródła:

NASK, „Sztuczna inteligencja a oszustwa internetowe” https://bezpiecznymiesiac.pl/bm/aktualnosci/1434,Sztuczna-inteligencja-a-oszustwa-internetowe.html?sid=16c7452d62eaa24527875be7b02782b8



AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

ATAK NA POCZTĘ E-MAIL (BEC)

BEC (BusinessEmailCompromise) to wysoce ukierunkowany atak socjotechniczny przeprowadzany drogą email. Atakujący podszywa się pod zaufane osoby np.: burmistrzów, wójtów, skarbików, mieszkańców i nakłania cię do przesłania pieniędzy lub ujawnienia danych. Hakerzy raczej nie używają malware, załączników, ani linków. Wystarczy tekst emaila, precyzyjnie spersonalizowany, na podstawie informacji o organizacji zaczerpniętych z danych publicznych. Takie ataki nie są wykrywane przez tradycyjne filtry antyspamowe.

 

zdjęcie od NASK

Źródło https://bezpiecznymiesiac.pl/

Schemat ataku BEC

‑ Rozpoznanie: często wystarczy OSINT, atakujący zdobywa dane o strukturze organizacji, osobach decyzyjnych, stylu komunikacji.

‑ Uwiarygodnienie wiadomości: Atakujący może użyć konta identycznego lub bardzo podobnego do oryginalnego (np. drobna zmiana domeny) albo włamać się na konto, by wysyłać żądania w imieniu skarbnika do burmistrza z prośbą o elektroniczne podpisanie umowy czy przelewu.

‑ Treść wiadomości: zgłaszanie „pilnych”, „poufnych” żądań, czasem w trakcie realnych wątków e‑mailowych.

Przykłady:

– Przejęcie konta – monitorowanie treści e-mail prze kilka tygodni, atak następuje w momencie głównych miesięcznych płatności – np. wypłaty dla pracowników. Wysyłanie wiadomości z przejętego adresu.

– Podszywanie się pod prawnika, skarbnika, kierownika – zwykle do nowych lub młodszych pracowników z pilnym zadaniem.

– Modyfikacja faktur – w rzeczywistych wątkach zmieniają numer konta bankowego w fakturze.

Najnowsze badania wykazują, że LLM potrafią samodzielnie generować spersonalizowane e‑maile. Ataki zautomatyzowane przez AI działały porównywalnie z ekspertami i o 350% lepiej niż grupa kontrolna jak podaje Cornell University. Według badań przeprowadzonych przez Eye Security w oparciu o dane klientów, ataki typu Business Email Compromise (BEC) znacząco wzrosły w roku 2024, stanowiąc 73% wszystkich zgłoszonych incydentów cybernetycznych – to gwałtowny wzrost w porównaniu z 44% w 2023 roku.

Pytania dla kadry wysokiego szczebla:

• Czy przeprojektowałeś procedury w instytucji, by przelewy wymagały potwierdzenia przed realizacją?

• Czy pracownicy znają schematy najczęstszych ataków i wiedzą jak je rozpoznać?

• Czy filtrowanie emaili dostrzega tylko malware, czy analizuje też zachowania?

• Czy wdrożyłeś MFA odporne na phishing, np. tokeny fizyczne, analiza anomalii?

Wskazówki

  1. Weryfikuj każdą pilną prośbę o zmianę danych bankowych lub wykonanie przelewu – Zadzwoń do źródła pod oficjalny znany numer, niezależnie od tego, kto prosi.

  2. Sprawdzaj adres e‑mail dokładnie – drobne litery, różnice jednej litery w domenie; kliknij „reply” i sprawdź adres docelowy.

  3. Opracuj i egzekwuj bezpieczne procedury: każda faktura, zmiana danych, duża płatność musi przejść przez formalny proces wewnętrzny.

  4. Szkolenie pracowników powinno być ciągłym procesem. Przeprowadzaj testy po szkoleniach.

  5. Wdrażaj nowoczesne technologie – AI‑based monitoring, który rozpoznaje anomalie zachowania e‑maili zamiast tylko treści, stosuj MFA (tokeny, biometria).

  6. Opracuj plan na wypadek incydentu –blokuj podejrzane konta, zgłaszaj do banku, raportuj do CERT.









Źródła:

NASK, „Ataki typu Buisness E-mail Compromise” https://bezpiecznymiesiac.pl/bm/aktualnosci/1433,Ataki-typu-Buisness-E-mail-Compromise.html?sid=6a7cc6b0daec7ad495edd61d2afba45d

Microsoft, „Istota naruszenia biznesowej poczty e-mail (BEC)” https://www.microsoft.com/pl-pl/security/business/security-101/what-is-business-email-compromise-bec

Eye Security, „Eye Security Warns: BEC Incidents Surge in 2024, Driving Up Insurance Costs” https://www.eye.security/press/bec-incidents-surge-in-2024-driving-up-insurance-costs

Cornell University, „Evaluating Large Language Models’ Capability to Launch Fully Automated Spear Phishing Campaigns: Validated on Human Subjects” https://arxiv.org/abs/2412.00586?utm_source=chatgpt.com

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.



Opublikowane w

TATO TO MÓJ NOWY NUMER – POMOCY

Jeśli dostaniesz wiadomość typu „Cześć tato, napisz do mnie na, WhatsApp wa.me/+48722179856 telefon zepsuty.” lub „Tato możesz mi wysłać 600 zł? Zaraz oddam, tylko teraz nie mogę zadzwonić.” Weź głęboki oddech i zastanów się czy to może być prawda czy jest to atak hakera. Osobiście dostałem taką wiadomości w takcie podróży na wakacje a moje dzieci siedziały tuż za mną i nie używały telefonów. Jedno słowo w SMS-ie: „mamo” czy „tato” wystarczy, żeby uruchomić w nas spiralę strachu i chęć natychmiastowego działania. A oszuści idą jeszcze dalej. Często w wiadomościach, które wyglądają, jakby napisało je nasze dziecko, jest jeszcze jeden wyraz: „pomocy”.

kobieta z dzieckiem

Źródło https://www.nask.pl

Cyberprzestępcy wykorzystują nasz lęk i troskę o bliskich. Wysyłają SMS-y czy wiadomości podszywając się pod dziecko lub wnuka. Piszą: „Tato, prześlij 600 zł, zaraz oddam, tylko teraz nie mogę zadzwonić”. Taka prośba łapie za serce i często tracimy zdrowy rozsądek.

Ataki odbywają się głównie w wakacje. Nasze pociechy często są na koloniach czy obozach i takie wiadomości mogą wydawać się prawdopodobne. Kontakt z dziećmi jest rzadszy i utrudniony, jesteśmy mniej czujni. Wiadomość przychodzi od nieznanego numeru, ma emocjonalny ton, często bez polskich znaków. To działa, bo reagujesz instynktownie, bez namysłu, w stresie o swoje dzieci. Emocje tłumią logiczne myślenie.

Oszuści wykorzystują sztuczną inteligencję aby podszywać się pod głos dzieci, dzwonią z płaczliwym tonem, opowiadają dramatyczne historie o wypadku. Na portalach społecznościowych atakują również przyjaciół: „Cześć, potrzebuję pilnie 200 zł, odezwę się jutro”.

Praktyczne zasady bezpieczeństwa

  • Zawsze sprawdzaj prośby o pieniądze. Zadzwoń do dziecka przez znany numer.

  • Zatrzymaj się na chwilę—nie reaguj impulsywnie.

  • Ustal z bliskimi hasło bezpieczeństwa. Dzięki niemu rozpoznasz prawdziwą wiadomość.

  • Jeśli ktoś zmienia numer i prosi o kod BLIK – wzbudza to podejrzenia.

  • Zgłaszaj podejrzane SMS-y lub wiadomości do CERT Polska.

Źródła:

NASK, „Gdy emocje stają się bronią” https://www.nask.pl/magazyn/gdy-emocje-staja-sie-bronia

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.