W minionym roku w polskiej cyberprzestrzeni zarejestrowano o 73% więcej incydentów bezpieczeństwa w porównaniu do 2018 roku. Jednym z najczęściej występujących cyberzagrożeń jest phishing, który stanowi ponad połowę (54,2%) wszystkich cyberincydentów w Polsce. Warto zatem poświęcić mu chwilę uwagi i zrozumieć czym jest i do jakich skutków może prowadzić.
Czym jest phishing?
Phishing jest atakiem socjotechnicznym, który bazuje na najsłabszym ogniwie ochrony, jakim jest człowiek. Jest to metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych logowania), zainfekowania komputera szkodliwym oprogramowaniem lub nakłonienia ofiary do określonych działań. Sam atak nie wymaga posiadania zaawansowanej wiedzy technicznej ani szukania luk w zabezpieczeniach systemów informatycznych. Atak ma najczęściej charakter masowej kampanii, ale może być też ukierunkowany na konkretną osobę lub firmę – wtedy mówimy o spear phishingu – lub na przedstawicieli kierownictwa wyższego szczebla – wtedy mówimy o whalingu (whaling w języku angielskim oznacza wielorybnictwo).
Test bezpieczeństwa IT – dokonaj samooceny w 5 minut i otrzymaj wynik
Ważny fragment
Większość ataków phishingowych opiera się na wysyłaniu w e-mailach linków do stron podszywających się pod prawdziwe witryny.
Na potrzeby oszustwa atakujący tworzy realistycznie wyglądającą stronę (a często kopię strony pod którą się podszywa) i kieruje ofiarę ataku na tę stronę poprzez nieznacznie zmodyfikowany zapis adres strony np. nazwę domeny z literówką lub wyświetlanie w wiadomości e‑mail linku o prawidłowej nazwie, ale prowadzącego do fałszywej strony. Pewną odmianą phinshingu jest vishing, który zamiast wiadomości e‑mail wykorzystuje połączenie głosowe np. telefon. Przykładem vishingu może być atak polegający na podszyciu się pod pracownika działu informatyki i nakłonienie użytkownika do otwarcia strony internetowej i zainstalowania z niej złośliwego oprogramowania.
Skutki ataku phishingowego
Bezpośrednim skutkiem ataku phishingowego jest najczęściej kradzież tożsamości ofiary – głównie w przypadku ujawnienia danych logowania ofiary – ale może nim być całkowita utrata kontroli nad komputerem albo całym systemem informatycznym – w przypadku infekcji złośliwym oprogramowaniem. Na co dzień ataki phishingowe mogą dotykać nas w kampaniach przejmowania kont użytkowników na portalach społecznościowych, sklepach internetowych i innych serwisach internetowych np. portal klienta dostawcy usług telekomunikacyjnych lub bankowość internetowa. W takiej sytuacji atakujący przesyłają wiadomości e-mail do tysięcy użytkowników z zamiarem nakłonienia ich do zalogowania się na fałszywej stronie internetowej nad którą mają kontrolę. Ofiara klika w zawarty w wiadomości e‑mail link, który prowadzi ją do fałszywej strony logowania.
Ważny fragment
Jeśli atakującemu uda się nakłonić ofiarę do zalogowania na fałszywej stronie, to atakujący otrzymuje dane logowania ofiary (login, hasło) do strony pod którą się podszywa.
Od tego momentu atakujący może logować się do serwisu internetowego i podszywać się pod ofiarę. Mamy zatem do czynienia z kradzieżą tożsamości ofiary.
Przykładowy scenariusz ataku phishingowego
Ten z pozoru niegroźny atak może prowadzić do katastrofalnych skutków. Wyobraźmy sobie scenariusz, w którym ofiara otrzymuje wiadomość e-mail z działu informatyki z informacją, że wprowadzono zmiany w dostępnie zdalnym do poczty e-mail. W celu weryfikacji poprawności działania systemu pocztowego użytkownik powinien kliknąć link zawarty w wiadomości i zalogować się do systemu przez przeglądarkę internetową. Wiadomość wygląda na autentyczną, a po kliknięciu linku otwiera się strona logowania całkowicie przypominająca znaną użytkownikowi stronę logowania do poczty. Zgodnie z instrukcją ofiara wpisuje swój login i hasło i… w tym momencie atakujący uzyskują dane logowania do prawdziwej skrzynki pocztowej użytkownika.
Kolejne kroki atakującego mogą być różne np. przejęcie dostępu do dowolnego serwisu internetowego, w którym ofiara używa przejętej skrzynki e-mail, ale w przypadku spear phishingu lub whalingu atakujący może mieć znacznie bardziej wyrafinowany cel np. wykorzystanie skradzionej tożsamości do kradzieży pieniędzy. Jeśli mamy do czynienia z atakiem ukierunkowanym atakujący po zalogowaniu do skrzynki pocztowej ofiary, może prowadzić z niej korespondencję z klientami i dostawcami… może również korespondować z innymi pracownikami firmy, którzy mogą nieświadomie ujawniać poufne informacje.
Ważny fragment
W ten sposób atakujący profiluje ofiarę i przygotowuje się do ataku właściwego. Taka faza profilowania może trwać kilka dni, tygodni a nawet miesięcy.
W tym miejscu zapewne zdaliście sobie Państwo sprawę z tego, jak ważne są regularne zmiany haseł do swojego konta w systemie. To praktycznie jedyna metoda, która może zatrzymać atakującego przed dalszą penetracją środowiska firmy. Atakujący to wiedzą, dlatego do właściwego ataku przygotowują się szybko, sprawnie i w sposób nie pozostawiający śladów… bo z punktu widzenia systemu informatycznego z konta korzysta uprawniony użytkownik. Kulminacyjny moment nadchodzi wraz z tym, jak atakujący wysyła ze skrzynki mailowej ofiary do klienta sfałszowaną fakturę, w której zmieniony jest numer rachunku bankowego lub wysyła do dyrektora finansowego polecenie pilnego przelewu w związku z finalizowaną właśnie transakcją. Czy to się dzieje naprawdę? Owszem, bo wiadomość napisana jest tak jak pisze ofiara, zawiera wszystkie załączniki, które powinna zawierać i pochodzi ze skrzynki ofiary. Adresat wiadomości nie ma żadnych podstaw żeby nie ufać takiej wiadomości. Co więcej, w przypadku gdy wiadomość pochodzi o prezesa lub członka zarządu, nikt nie odważy się kwestionować polecenia zawartego w wiadomości. W taki właśnie sposób dochodzi do kradzieży środków finansowych na ogromną skalę.
W przypadku ataków ukierunkowanych mamy do czynienia z wymuszeniami przelewów na setki tysięcy złotych. Jeden z większych znanych mi przypadków, który był poddany analizie przeze mnie i mój zespół, na zlecenie zaatakowanej firmy, doprowadził do wymuszenia przelewu na blisko 10 milionów złotych. Czy można było takiej stracie zapobiec? Tak, ale pierwszym krokiem w zapobieganiu zawsze jest diagnoza zagrożeń, audyt bezpieczeństwa i uświadomienie sobie słabych punktów organizacji. Dopiero wtedy można stworzyć mechanizmy organizacyjne i techniczne, które pozwolą nam reagować na takie i podobne zagrożenia. Środkiem, który jest warty rozważenia jest ubezpieczenie od cyberzagrożeń ale pamiętajmy, że stanowi ono jedynie uzupełnienie mechanizmów bezpieczeństwa, które przede wszystkim powinny tworzyć długotrwałą odporność na zagrożenia.
Żyjemy w czasach upadku modelu zaufania, które towarzyszyło nam przez wieki w relacjach międzyludzkich. Dzisiaj w erze komunikacji elektronicznej, gdzie tożsamość osoby jest tożsamością cyfrową musimy zdawać sobie sprawę z nowych zagrożeń dla nas samych i firm w których pracujemy i którymi zarządzamy. Bagatelizowanie problemu to chowanie głowy w piasek, bo zarówno dynamika wzrostu zagrożeń w ostatniej dekadzie jak i stopień automatyzacji ataków oznaczają, że nie wolno nam myśleć w cyberzagrożeniach w kategorii „czy nas dotkną” tylko „kiedy nad dotkną”. W przeciwnym razie będziemy pewną ofiarą cyberataków. Nawet uważamy, że nas to nie dotyczy.
Najbardziej popularne cyberzagrożenia |
---|
54,2% Phishing |
14,9% Złośliwe oprogramowanie |
12,1% Obraźliwe i nielegalne treści |