Tag: ochrona informacji

W poniedziałek 6 października hakerzy zaatakowali Zakład Budynków Miejskich w Cieszynie i całkowicie zablokowali serwery. Instytucja miejska straciła kontrolę nad swoją wewnętrzną bazą danych. Atak pokazał, jak łatwo można sparaliżować pracę publicznej jednostki. Kto będzie ponosił odpowiedzialność i jakie będą kary? Warto o tym pomyśleć przed incydentem i zabezpieczyć infrastrukturę krytyczną.

 

Rys.1 Grafika UDANY ATAK HAKERSKI NA ZAKŁAD BUDYNKÓW MIEJSKICH W CIESZYNIE Źródło: gemini.google.com

Hakerzy użyli złośliwego programu typu ransomware. To oprogramowanie, które szyfruje i blokuje pliki na komputerach i serwerach. Nie ma pewności, czy skopiowali dane, ale istnieje takie ryzyko. Mogli uzyskać dostęp do imion, nazwisk, adresów, numerów telefonów i e-maili. Czy administratorzy danych w jednostkach samorządu terytorialnego są gotowi na takie incydenty? Niech to zdarzenie będzie refleksją, którą przekujemy w bezpieczeństwo innych JST. Zachęcam do analizy ryzyka i aktualizacji polityki bezpieczeństwa informacji oraz instrukcji zarządzania systemem teleinformatycznym.

W przeciwieństwie do ostatniego ataku na Łotwę, tutaj chodziło o coś więcej niż tylko o zablokowanie strony. Tu zagrożone są pieniądze i tożsamość klientów ZBM. Jeśli przestępcy znają PESEL, mogą wziąć kredyt pozabankowy. Mogą też podszyć się pod klienta i podpisać umowę cywilną, na przykład najmu. Pomyśl jako pracownik administracji, ile od ciebie zależy. Musisz zrozumieć, że to ty jesteś pierwszą i najważniejszą barierą przed atakiem. Jeden nierozważny klik pozwala hakerom na dostęp do całej bazy danych instytucji. Bierz udział w szkoleniach i pilnuj procedur.

Osoby poszkodowane powinny działać natychmiast, aby ochronić się przed oszustwem. Po pierwsze, należy założyć konto w systemie informacji kredytowej. Dzięki temu natychmiast dostaniesz powiadomienie, gdy ktoś będzie chciał wziąć na ciebie pożyczkę. Po drugie, zachowaj szczególną ostrożność przy odbieraniu telefonów i e-maili od nieznajomych. Nie podawaj żadnych danych. Ignoruj wiadomości, które proszą o pilne wykonanie mikroprzelewu lub kliknięcie w link. Twoja czujność to najlepsza zapora. Zmień hasła do kluczowych cyber usług.

Źródła:

• cieszyn.news; Atak hakerski na bazę danych ZBM. Mogą zostać wykorzystane do dokonania przestępstw

• rmf24.pl; Hakerzy zaatakowali zakład w Cieszynie. Serwer zablokowany

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

 

W czwartek 2.10.2025 r. hakerzy uderzyli w serwery łotewskich instytucji. Sparaliżowali strony internetowe telewizji, kilku ministerstw oraz urzędu premiera. Przez ponad godzinę obywatele nie mogli korzystać z ważnych, publicznych usług. Atak miał tylko jeden cel: zablokować dostęp. Hakerzy nie ukradli żadnych poufnych danych. Tego typu incydenty bezpieczeństwa zachęcają kolejne grupy do podejmowania działań na szkodę instytucji publicznych w innych krajach. Czy kolejny atak będzie wycelowany w polską infrastrukturę?

Rys.1 Grafika ŁOTEWSKIE INSTYTUCJE PUBLICZNE ZAATAKOWANE PRZEZ HAKERÓW Źródło: gemini.google.com

Włamywacze zastosowali metodę, którą nazywamy DDoS. Wyobraź sobie, że tysiące ludzi jednocześnie próbuje wejść do jednych drzwi urzędu. Robi się tłok. Drzwi się blokują. Podobnie działa serwer. Przeładowany ogromną liczbą zapytań po prostu przestaje działać. Szefowa łotewskiego zespołu cybernetycznego powiedziała jasno: utrudnienie dostępu to jedyny cel hakerów. Twoje dane były bezpieczne.

Ten incydent to element większej wojny hybrydowej. Eksperci mówią, że ataki te są częścią działań prowadzonych przez grupy wspierane przez Rosję i Białoruś. Mają siać panikę i podważyć nasze zaufanie do państwa. Hakerzy uderzają, ponieważ Łotwa zdecydowanie wspiera walkę Ukrainy o wolność. Musisz zrozumieć, że twoja praca w administracji jest na pierwszej linii tego cyberkonfliktu.

Jak możesz się bronić? Po pierwsze, aktualizuj systemy. Jeśli widzisz komunikat o nowej wersji programu, zainstaluj ją bez zbędnej zwłoki. Stary program jest dla włamywacza jak otwarte drzwi do twojego biura. Po drugie, używaj silnych haseł. Twoje hasło musi mieć co najmniej 12 znaków. Używaj małych i wielkich liter, cyfr oraz symboli. Niech hasło „Lato2025!” zmieni się w coś trudniejszego do złamania, na przykład „J0wiszMaszWielkiOg0n!”.

Instytucje wydają miliony na obronę serwerów. Cała ta obrona upada, gdy jeden pracownik popełni błąd. Na przykład, klikniesz w fałszywy link z wiadomości mailowej. Ten jeden mały błąd pozwala hakerom przejąć kontrolę nad twoim komputerem, który może stanowić wrota do dalszego ataku na infrastrukturę krytyczną twojej organizacji. Drugi scenariusz to tak zwane zombie, sprzęt staje się częścią armii komputerów zarządzanych przez hakerów bez twojej wiedzy. Twój służbowy komputer może zostać wykorzystany do kolejnego ataku DDoS na inną instytucję. Bądź świadomy każdej wiadomości, którą otwierasz. Działaj czujnie. Bezpieczeństwo organizacji, w której pracujesz zaczyna się od twojego pulpitu i poczty e-mail.

Źródła

• Polska Agencja Prasowa, pap.pl — „Łotwa ma problemy z hakerami. Atak na serwery instytucji publicznych”

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

 

W połowie września 2025 roku Acronis Threat Research Unit zidentyfikował aktywną kampanię phishingową klasy „FileFix” — wariant rodziny ataków ClickFix. Atak łączy socjotechnikę w formie fałszywego powiadomienia o blokadzie konta, mechanikę „copy-paste” poleceń do interfejsu systemowego – pasek adresu Eksploratora plików oraz wielowarstwową obfuskację oraz steganografię plików graficznych jako nośnika złośliwego kodu. Finalnym ładunkiem obserwowanym w kampanii jest infostealer znany jako StealC, zdolny do eksfiltracji haseł, portfeli kryptowalutowych i kluczy chmurowych [1].

 

Rys.1 Grafika FILEFIX — ANALIZA KAMPANII PHISHINGOWEJ Źródło: chatgpt.com

Szczegółowy przebieg

1. Phishing → redirect: wiadomość kieruje użytkownika na wielojęzyczną stronę podszywającą się pod portal pomocy (np. Meta Support). Na stronie znajduje się element UI wyglądający jak przycisk „Copy” obok widocznej „ścieżki do pliku”[1].

2. Copy/Paste z podmianą: przycisk kopiowania zapisuje do schowka polecenie PowerShell zamiast rzeczywistej ścieżki. Ofiara jest instruowana, aby wkleić zawartość schowka do paska adresu Eksploratora Windows. Po wklejeniu i naciśnięciu „Enter” w Eksploratorze polecenie zostaje wykonane [1].

3. Pobranie artefaktu: PowerShell pobiera plik *.jpg z zasobów zdalnych (np. Bitbucket/hosting plików), następnie uruchamia analizę obrazu w celu wyodrębnienia zaszytych binariów. Obfuskacja i steganografia utrudniają wykrycie przez skanery statyczne [2].

4. Odrzucenie UI i uruchomienie payloadu: strona wyświetla komunikat o błędzie dokumentu, maskując w tle wykonywanie pobierania i deobfuskacji. Zapisany plik *.exe jest uruchamiany (np. poprzez conhost.exe albo mechanizmy systemowe), sprawdzane na sandbox/VM i jeśli warunki są sprzyjające, następuje instalacja StealC oraz ewentualne pobranie dodatkowych modułów.[1]

Zapobieganie i hardening

1. Edukacja i procedury: organizowanie szkoleń phishingowych z realistycznymi scenariuszami „copy-paste”. Powiadomienia dla użytkowników, że polecenia ze stron WWW nie powinny być wklejane do interfejsów systemowych ani uruchamiane. Powyższa kampania polega wprost na błędzie użytkownika[2].

2. Ograniczenia wykonywania PowerShell: egzekwowanie zasad ExecutionPolicy + wdrożenie Constrained Language Mode, AppLocker/WDAC dla blokowania niezatwierdzonych skryptów i binariów. Blokowanie wykonywania PowerShell z kontekstów użytkowników bez potrzeby administracyjnej.[1]

3. Filtrowanie i sankcje na poziomie poczty: aktywne filtrowanie linków, dynamiczne sprawdzanie reputacji domen, sandboxing wiadomości oraz blokowanie załączników z podejrzanymi schematami.[2]

4. Kontrola hostu i EDR: reguły EDR wykrywające nietypowe pobrania plików graficznych połączone z aktywnością procesu PowerShell, zapisywanie i uruchamianie plików wykonywalnych z katalogów tymczasowych, oraz aktywność conhost.exe inicjująca procesy z nieoczekiwanych lokalizacji[1].

FileFix to przykład ewolucji ataków socjotechnicznych: autorzy kampanii przenoszą ciężar omijania zabezpieczeń z eksploatacji błędów (vulnerabilities) na manipulację zachowaniami użytkowników i złożone techniki ukrywania ładunków (steganografia + obfuskacja). Detekcja tego typu ataków wymaga skoordynowanego podejścia, technicznych barier (kontrola wykonywania skryptów, EDR/IDS), kontroli przepływu informacji (filtrowanie poczty, reputacja) oraz co najważniejsze rutynowej edukacji użytkowników. Organizacje powinny traktować „copy-paste” poleceń z Internetu jako wysokie ryzyko i projektować polityki bezpieczeństa oraz automatyczne blokady, które minimalizują możliwość wykonania kodu pochodzącego z niezaufanych źródeł [1].

Źródła

• [1] Acronis Threat Research Unit — „FileFix in the wild! New FileFix campaign goes beyond POC and leverages steganography”, 16 wrz 2025. Acronis

• [2] Sekurak — „FileFix – atak phishingowy wykorzystujący Eksplorator Systemu Windows”, 25 wrz 2025 (omówienie i streszczenie raportu Acronis). Sekurak

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Jako samorządowcy każdego dnia realizujemy szereg zadań wynikających z kompetencji JST. Budowa nowego żłobka, szkoły, chodnika, drogi czy sprawny odbiór odpadów jest dla każdego burmistrza celem nadrzędnym, aby mieszkańcom żyło się wygodniej i bezpieczniej. Często zadania merytorczne absorbują naszą uwagę zbyt mocno by dostrzec zagrożenie cybernetyczne. Jedno kliknięcie może spowodować lawinę problemów. Warto zastanowić się, czy Twoja jednostka samorządowa jest przygotowana na ataki cyfrowe, które mogą zniszczyć efektywność codziennego zarządzania.

 

Źródło Photo by FlyD on Unsplash

Jak podaje „Herbapol-Lublin” S.A. – w wyniku działalności grupy hakerów systemy informatyczne spółki zostały zaszyfrowane za pomocą złośliwego oprogramowania, co skutkowało czasową utratą dostępności.

W związku z powyższym nie można wykluczyć, że mogło dojść do nieuprawnionego dostępu do danych osobowych, co w konsekwencji może skutkować próbą ich wykorzystania.

Zarząd Spółki „HERBAPOL-LUBLIN” S. A. zwraca się do zainteresowanych o wzmożoną czujność i informuje o możliwych skutkach.

„Ewentualny nieuprawniony dostęp do Państwa danych osobowych może się wiązać z:

• uzyskaniem przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w

instytucjach pozabankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki

lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności

okazywania dokumentu tożsamości,

• kradzieżą lub sfałszowaniem tożsamości, np. posłużeniem się Państwa danymi przez osobę

nieuprawnioną w celu zawarcia umowy, zaciągnięcia zobowiązania finansowego, podszycia

się pod Państwa w przypadku otrzymania mandatu,

• uzyskaniem autoryzacji do usług bankowych, ubezpieczeniowych lub telekomunikacyjnych,

np. w celu zamówienia dodatkowych usług lub urządzeń w Państwa imieniu.

• uzyskaniem dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom,

których dane naruszono oraz ich danych o stanie zdrowia, ponieważ często dostęp do

systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość

za pomocą numeru PESEL,

• zarejestrowaniem przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów

przestępczych.

• skorzystaniem z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad

środkami budżetu obywatelskiego, co z kolei uniemożliwiałoby to osobom, których dane w

sposób nieuprawniony użyto skorzystanie z przysługującego im prawa.”

Patrząc przez pryzmat powyższego, taka sytuacja może spotkać każdego z nas. Zadbajmy o poprawę kompetencji pracowników samorządowych poprzez organizacje szkoleń i testów. Przypominajmy pracownikom o zagrożeniach i odpowiedzialności za dane, jakie przetwarzamy w ramach pełnionych obowiązków.

Praktyczne wskazówki na zwiększenie cyberbezpieczeństwa:

• Szkolenia i poprawa świadomość pracowników.

• Redundancja infrastruktury krytycznej.

• Implementacja oprogramowania antywirusowego, firewalla, szyfrowania danych oraz systemów wykrywania intruzów.

• Regularne aktualizacje i patchowanie oprogramowania.

• Samowystarczalność energetyczna na min. 24h.

Źródła:

Komunikat dotyczący ataku hakerskiego na infrastrukturę informatyczną Herbapol – Lublin S.A https://www.herbapol.com.pl/assets/files/zawiadomienie-o-naruszeniu-danych-bylych-pracownikow-herbapol-lublin-s.a_.pdf

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

BEC (Business‑Email‑Compromise) to wysoce ukierunkowany atak socjotechniczny przeprowadzany drogą e‑mail. Atakujący podszywa się pod zaufane osoby np.: burmistrzów, wójtów, skarbików, mieszkańców i nakłania cię do przesłania pieniędzy lub ujawnienia danych. Hakerzy raczej nie używają malware, załączników, ani linków. Wystarczy tekst e‑maila, precyzyjnie spersonalizowany, na podstawie informacji o organizacji zaczerpniętych z danych publicznych. Takie ataki nie są wykrywane przez tradycyjne filtry antyspamowe.

 

Źródło https://bezpiecznymiesiac.pl/

Schemat ataku BEC

‑ Rozpoznanie: często wystarczy OSINT, atakujący zdobywa dane o strukturze organizacji, osobach decyzyjnych, stylu komunikacji.

‑ Uwiarygodnienie wiadomości: Atakujący może użyć konta identycznego lub bardzo podobnego do oryginalnego (np. drobna zmiana domeny) albo włamać się na konto, by wysyłać żądania w imieniu skarbnika do burmistrza z prośbą o elektroniczne podpisanie umowy czy przelewu.

‑ Treść wiadomości: zgłaszanie „pilnych”, „poufnych” żądań, czasem w trakcie realnych wątków e‑mailowych.

Przykłady:

– Przejęcie konta – monitorowanie treści e-mail prze kilka tygodni, atak następuje w momencie głównych miesięcznych płatności – np. wypłaty dla pracowników. Wysyłanie wiadomości z przejętego adresu.

– Podszywanie się pod prawnika, skarbnika, kierownika – zwykle do nowych lub młodszych pracowników z pilnym zadaniem.

– Modyfikacja faktur – w rzeczywistych wątkach zmieniają numer konta bankowego w fakturze.

Najnowsze badania wykazują, że LLM potrafią samodzielnie generować spersonalizowane e‑maile. Ataki zautomatyzowane przez AI działały porównywalnie z ekspertami i o 350% lepiej niż grupa kontrolna jak podaje Cornell University. Według badań przeprowadzonych przez Eye Security w oparciu o dane klientów, ataki typu Business Email Compromise (BEC) znacząco wzrosły w roku 2024, stanowiąc 73% wszystkich zgłoszonych incydentów cybernetycznych – to gwałtowny wzrost w porównaniu z 44% w 2023 roku.

Pytania dla kadry wysokiego szczebla:

• Czy przeprojektowałeś procedury w instytucji, by przelewy wymagały potwierdzenia przed realizacją?

• Czy pracownicy znają schematy najczęstszych ataków i wiedzą jak je rozpoznać?

• Czy filtrowanie e‑maili dostrzega tylko malware, czy analizuje też zachowania?

• Czy wdrożyłeś MFA odporne na phishing, np. tokeny fizyczne, analiza anomalii?

Wskazówki

1. Weryfikuj każdą pilną prośbę o zmianę danych bankowych lub wykonanie przelewu – Zadzwoń do źródła pod oficjalny znany numer, niezależnie od tego, kto prosi.

2. Sprawdzaj adres e‑mail dokładnie – drobne litery, różnice jednej litery w domenie; kliknij „reply” i sprawdź adres docelowy.

3. Opracuj i egzekwuj bezpieczne procedury: każda faktura, zmiana danych, duża płatność musi przejść przez formalny proces wewnętrzny.

4. Szkolenie pracowników powinno być ciągłym procesem. Przeprowadzaj testy po szkoleniach.

5. Wdrażaj nowoczesne technologie – AI‑based monitoring, który rozpoznaje anomalie zachowania e‑maili zamiast tylko treści, stosuj MFA (tokeny, biometria).

6. Opracuj plan na wypadek incydentu –blokuj podejrzane konta, zgłaszaj do banku, raportuj do CERT.

Źródła:

NASK, „Ataki typu Buisness E-mail Compromise” https://bezpiecznymiesiac.pl/bm/aktualnosci/1433,Ataki-typu-Buisness-E-mail-Compromise.html?sid=6a7cc6b0daec7ad495edd61d2afba45d

Microsoft, „Istota naruszenia biznesowej poczty e-mail (BEC)” https://www.microsoft.com/pl-pl/security/business/security-101/what-is-business-email-compromise-bec

Eye Security, „Eye Security Warns: BEC Incidents Surge in 2024, Driving Up Insurance Costs” https://www.eye.security/press/bec-incidents-surge-in-2024-driving-up-insurance-costs

Cornell University, „Evaluating Large Language Models’ Capability to Launch Fully Automated Spear Phishing Campaigns: Validated on Human Subjects” https://arxiv.org/abs/2412.00586?utm_source=chatgpt.com

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.