Do napisania tego tekstu zainspirował mnie kolega, który ostatnio poruszył temat ransomware, a więc ataku, do którego wykorzystuje się maile phishingowe. Każdy chyba słyszał o załącznikach udających faktury za usługi telekomunikacyjne lub kurierskie. Tym razem nie poruszę zagadnienia ataków masowych, a skupię się na tych precyzyjnie celowanych, na konkretną organizację, dział organizacji lub osobę, najczęściej piastującą wysokie stanowisko (członka zarządu, dyrektora finansowego, główną księgową).
Podsumowanie:
- Ataki phishingowe można podzielić na dwa główne typy: ataki masowe (np. wspomniane faktury) i ataki celowane zwane również spear-phishing, czasem whaling.
- Drugi typ ataków zwykle jest dużo lepiej przemyślany, przygotowany i trudniejszy do wykrycia przez użytkownika nie będącego specjalistą od IT lub bezpieczeństwa.
Atak spear-phishing – przypadek firmy X
Rzecz miała miejsce jakiś czas temu w Polsce. Zarząd firmy X uważał, że wdrożone zabezpieczenia techniczne i organizacyjne są wystarczające, pomimo uwag zgłaszanych przez dyrektora bezpieczeństwa.
Cyberprzestępca dokonał selekcji pracowników firmy X. Prawdopodobnie w oparciu o powszechnie dostępne źródła jak strona firmy X, Krajowy Rejestr Sądowy, portale społecznościowe jak Facebook czy LinkedIn. Na swoją ofiarę wybrał wysoko postawionego pracownika mogącego zlecać przelewy, dalej zwanego Dyrektorem.
Cyberprzestępca wysyłając kilka odpowiednio przygotowanych wiadomości spear-phishingowych na służbowy adres Dyrektora uzyskał hasła do wykorzystywanych przez niego (również prywatnie) portali internetowych. Jedno z nich było identyczne, jak hasło do jego służbowej skrzynki pocztowej (bardzo niefrasobliwe zachowanie), a firma X nie korzystała z uwierzytelniania wieloskładnikowego, co haker szybko wykorzystał.
Podszywając się pod Dyrektora, naśladując nawet jego styl pisania, w tym wykorzystywane emotikony, zlecił księgowości wykonanie przelewu na wskazane konto.
Księgowość niczego nie podejrzewając zrealizowała przelew. Prawdopodobnie nikt by się nie zorientował w sytuacji do najbliższego audytu, gdyby nie zachłanność przestępcy. Ten zachęcony pierwszym sukcesem ponowił operację, tym razem kilkakrotnie podnosząc kwotę. Ta okazała się na tyle duża, że przelew musiał zostać zatwierdzony przez dodatkową osobę, o czym przestępca nie wiedział.
Nastąpiła szybka wewnętrzna weryfikacja. Okazało się, że Dyrektor nic nie zlecał, a przynajmniej nic o tym nie wie. Wiadomości po wysłaniu do księgowości były kasowane z jego skrzynki. Następnie audyt wewnętrzny wykazał, że nie jest to pierwszy przypadek, i że pewna suma została już bezpowrotnie stracona. Dopiero wtedy firma X zdecydowała się skorzystać z doradców i zwiększyć bezpieczeństwo swoich procesów.
Test bezpieczeństwa IT – dokonaj samooceny w 5 minut i otrzymaj wynik
Ataki spear-phishing – czy można się przed nimi uchronić?
Odpowiadając krótko – nie. Czy można było lepiej się zabezpieczyć (nie tylko technicznie) i zmniejszyć ryzyko wystąpienia takiego incydentu? Tak.
W jaki sposób? Kilka wskazówek poniżej:
- Stosuj zasadę ograniczonego zaufania nawet w przypadku przełożonych i bliskich współpracowników. Każde niestandardowe zachowanie może świadczyć o próbie wyłudzenia.
- Potwierdzaj zlecone czynności, co do których masz wątpliwości, telefonicznie lub osobiście. Jeżeli skrzynka mailowa zostanie przejęta, to każda wiadomość może zostać przechwycona, a odpowiedź zmanipulowana.
- Wykorzystuj różnorodne oraz silne hasła w każdej wykorzystywanej usłudze (nie ważne czy prywatnie czy służbowo). Stosuj passphrase.
- Jeśli nie możesz zapamiętać tylu haseł, skorzystaj z managera haseł, jest kilka darmowych rozwiązań wartych uwagi
- Systematycznie podnoś świadomość dotyczącą zagrożeń wśród pracowników poprzez szkolenia, testy socjotechniczne i inne działania uświadamiające.
- Opracuj szczelniejsze procedury, w szczególności dla procesów generujących wysokie ryzyka dla przedsiębiorstwa (nie tylko dotyczące realizacji przelewów)
- Przeszkól swoich pracowników z nowych procedur i monitoruj skuteczność ich stosowania
- Skorzystaj z rozwiązań antyspamowych dla swojej poczty firmowej
- Włącz uwierzytelnianie wieloskładnikowe
- Systematycznie weryfikuj poziom bezpieczeństwa, szczelności procedur i rozwiązań technicznych oraz wdrażaj usprawnienia.
- Systematycznie weryfikuj informacje dostępne w Internecie na temat swoich pracowników mogących wnosić wysokie ryzyka do organizacji ze względu na posiadane uprawnienia np. poprzez biały wywiad (OSINT),
Warto równie pomyśleć o ubezpieczeniu od zagrożeń cybernetycznych. Co prawda nie zabezpieczy nas ono przed atakiem, ale ograniczy jego skutki. Niektóre z polis pokrywają nie tylko koszty obsługi incydentu i przywrócenia firmy do działania, ale równie inne koszty, jak okup w przypadku ataków ransomware.
Coraz więcej grup przestępczych specjalizuje się w tego typu misternie przygotowywanych atakach, tak żeby uprawdopodobnić szansę upolowania swojego wieloryba.
Nam nie pozostaje nic innego jak aktywnie podnosić świadomość dotyczącą bezpieczeństwa i budować kolejne mury wokół domu czy firmy oraz audytować je pod kątem skuteczności.
