Do napisania tego tekstu zainspirował mnie kolega, który ostatnio poruszył temat ransomware, a więc ataku, do którego wykorzystuje się maile phishingowe. Każdy chyba słyszał o załącznikach udających faktury za usługi telekomunikacyjne lub kurierskie. Tym razem nie poruszę zagadnienia ataków masowych, a skupię się na tych precyzyjnie celowanych, na konkretną organizację, dział organizacji lub osobę, najczęściej piastującą wysokie stanowisko (członka zarządu, dyrektora finansowego, główną księgową).

ANKIETA CYBERBEZPIECZEŃSTWO

Atak spear-phishing – przypadek firmy X

Rzecz miała miejsce jakiś czas temu w Polsce. Zarząd firmy X uważał, że wdrożone zabezpieczenia techniczne i organizacyjne są wystarczające, pomimo uwag zgłaszanych przez dyrektora bezpieczeństwa.

Cyberprzestępca dokonał selekcji pracowników firmy X. Prawdopodobnie w oparciu o powszechnie dostępne źródła jak strona firmy X, Krajowy Rejestr Sądowy, portale społecznościowe jak Facebook czy LinkedIn. Na swoją ofiarę wybrał wysoko postawionego pracownika mogącego zlecać przelewy, dalej zwanego Dyrektorem.

Cyberprzestępca wysyłając kilka odpowiednio przygotowanych wiadomości spear-phishingowych na służbowy adres Dyrektora uzyskał hasła do wykorzystywanych przez niego (również prywatnie) portali internetowych. Jedno z nich było identyczne, jak hasło do jego służbowej skrzynki pocztowej (bardzo niefrasobliwe zachowanie), a firma X nie korzystała z uwierzytelniania wieloskładnikowego, co haker szybko wykorzystał.

Podszywając się pod Dyrektora, naśladując nawet jego styl pisania, w tym wykorzystywane emotikony, zlecił księgowości wykonanie przelewu na wskazane konto.

Księgowość niczego nie podejrzewając zrealizowała przelew. Prawdopodobnie nikt by się nie zorientował w sytuacji do najbliższego audytu, gdyby nie zachłanność przestępcy. Ten zachęcony pierwszym sukcesem ponowił operację, tym razem kilkakrotnie podnosząc kwotę. Ta okazała się na tyle duża, że przelew musiał zostać zatwierdzony przez dodatkową osobę, o czym przestępca nie wiedział.

Nastąpiła szybka wewnętrzna weryfikacja. Okazało się, że Dyrektor nic nie zlecał, a przynajmniej nic o tym nie wie. Wiadomości po wysłaniu do księgowości były kasowane z jego skrzynki. Następnie audyt wewnętrzny wykazał, że nie jest to pierwszy przypadek, i że pewna suma została już bezpowrotnie stracona. Dopiero wtedy firma X zdecydowała się skorzystać z doradców i zwiększyć bezpieczeństwo swoich procesów.

Test bezpieczeństwa IT – dokonaj samooceny w 5 minut i otrzymaj wynik

Skorzystaj z naszych usług w zakresie: Cyberbezpieczeństwo
Dowiedz się więcej

Ataki spear-phishing – czy można się przed nimi uchronić?

Odpowiadając krótko – nie. Czy można było lepiej się zabezpieczyć (nie tylko technicznie) i zmniejszyć ryzyko wystąpienia takiego incydentu? Tak.

W jaki sposób? Kilka wskazówek poniżej:

  • Stosuj zasadę ograniczonego zaufania nawet w przypadku przełożonych i bliskich współpracowników. Każde niestandardowe zachowanie może świadczyć o próbie wyłudzenia.
  • Potwierdzaj zlecone czynności, co do których masz wątpliwości, telefonicznie lub osobiście. Jeżeli skrzynka mailowa zostanie przejęta, to każda wiadomość może zostać przechwycona, a odpowiedź zmanipulowana.
  • Wykorzystuj różnorodne oraz silne hasła w każdej wykorzystywanej usłudze (nie ważne czy prywatnie czy służbowo). Stosuj passphrase.
  • Jeśli nie możesz zapamiętać tylu haseł, skorzystaj z managera haseł, jest kilka darmowych rozwiązań wartych uwagi
  • Systematycznie podnoś świadomość dotyczącą zagrożeń wśród pracowników poprzez szkolenia, testy socjotechniczne i inne działania uświadamiające.
  • Opracuj szczelniejsze procedury, w szczególności dla procesów generujących wysokie ryzyka dla przedsiębiorstwa (nie tylko dotyczące realizacji przelewów)
  • Przeszkól swoich pracowników z nowych procedur i monitoruj skuteczność ich stosowania
  • Skorzystaj z rozwiązań antyspamowych dla swojej poczty firmowej
  • Włącz uwierzytelnianie wieloskładnikowe
  • Systematycznie weryfikuj poziom bezpieczeństwa, szczelności procedur i rozwiązań technicznych oraz wdrażaj usprawnienia.
  • Systematycznie weryfikuj informacje dostępne w Internecie na temat swoich pracowników mogących wnosić wysokie ryzyka do organizacji ze względu na posiadane uprawnienia np. poprzez biały wywiad (OSINT),

Warto równie pomyśleć o ubezpieczeniu od zagrożeń cybernetycznych. Co prawda nie zabezpieczy nas ono przed atakiem, ale ograniczy jego skutki. Niektóre z polis pokrywają nie tylko koszty obsługi incydentu i przywrócenia firmy do działania, ale równie inne koszty, jak okup w przypadku ataków ransomware.

Coraz więcej grup przestępczych specjalizuje się w tego typu misternie przygotowywanych atakach, tak żeby uprawdopodobnić szansę upolowania swojego wieloryba.

Nam nie pozostaje nic innego jak aktywnie podnosić świadomość dotyczącą bezpieczeństwa i budować kolejne mury wokół domu czy firmy oraz audytować je pod kątem skuteczności.

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Cyberbezpieczeństwo i outsourcing IT

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Pole zawiera niedozwolone znaki

Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

Skontaktuj się

Marcin Mańko

Starszy Konsultant

Skontaktuj się

Marcin Mańko

Starszy Konsultant

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.