Nawet najbardziej świadomi użytkownicy miewają obecnie trudności z identyfikacją udoskonalonych kampanii phishingowych. Tradycyjne ataki w postaci masowego mailingu pozwalają hakerom w krótkim czasie zainfekować wiele kont „uśpionych” użytkowników. Zaawansowane kampanie spear-phishingowe są wysoce ukierunkowane i spersonalizowane. Taka strategia zwiększa szanse na sukces i sprawia, że nielegalne działania są coraz trudniejsze do wykrycia.
[caption id="attachment_1879" align="aligncenter" width="1024"] Wzrost odsetek przychodzących wiadomości e-mail związanych z phishingiem. Badanie nad bezpieczeństwem firmy Microsoft (źródło: Microsoft Security Intelligence Report)[/caption]
Kto może paść ofiarą spear-phishingu?
Każdy! Jednak żeby lepiej zrozumieć jak sprytne są kampanie phishingowe wyobraźmy sobie zapracowanego rekrutera, w pewnej firmie IT. Mimo zamieszczenia ogłoszenia na znanych portalach, firma nie może się zdecydować na odpowiedniego kandydata. Pod presją upływającego czasu i nacisku przełożonego rekruter decyduje się na umieszczenie ogłoszenia na swoich portalach społecznościowych. Po kilku dniach rekruter otrzymuje e-mail od potencjalnego kandydata. Po kliknięciu w załączony życiorys pracownik nieumyślnie infekuje komputer złośliwym oprogramowaniem.
Kampania phishingowa była tutaj mocno przemyślana. Hakerzy chcieli przeniknąć do działu kadr aby mieć dostęp do numerów ubezpieczeń społecznych pracowników. Za cel wybrali więc sobie pracownika rekrutacji, za pomocą którego w prosty sposób przeniknęli do struktury firmy i interesujących ich baz.
Przed przystąpieniem do ataku hakerzy przeprowadzili wnikliwy przegląd:
Korporacyjnych stron środowiskowych, aby uzyskać wgląd w procesy, działy i lokalizacje.
Używali skryptów do zbierania adresów e-mail.
Śledzili firmowe konta w mediach społecznościowych, aby zrozumieć role firmy oraz relacje między ludźmi i działami.
[caption id="attachment_1880" align="aligncenter" width="1024"] Badania i atak są pierwszymi krokami w dłuższej strategii usuwania wrażliwych danych[/caption]
Innym przykładem pomysłowości cyberprzestępców może być przypadek pewnego dyrektora wykonawczego. Pracownik późno w nocy otrzymuje e-mail od swojego szefa – dyrektora generalnego. Dyrektor generalny jest w podróży do USA, gdzie ma się spotkać z klientem. Dyrektor generalny wskazuje w e-mailu miasto, w którym się znajduje i prosi, aby pracownik natychmiast przekazał 10.000 dolarów, aby zapłacić klientowi. Z racji późnej pory oraz chęci przypodobania się szefowi pracownik niezwłocznie dokonuje przelewu, realizując w ten sposób chytry plan podszywającego się pod nadawcę hakera.
W tym przypadku, na skuteczność ataku wpłynęła dokładna analiza relacji międzyludzkich wewnątrz organizacji. Ofiara dobrze znała nadawcę wiadomości, a jego reakcja była zgodna z oczekiwaniami hakera.
Podsumowując, do przeprowadzenia kampanii phishingowej napastnicy wykorzystali następujące informacje:
Zidentyfikowali wysoko postawioną osobę w firmie, mającą prawo podpisu pod dużymi sumami.
Wybrali dyrektora generalnego jako wiarygodne źródło, który może zlecić przelew.
Odkryli szczegóły dotyczące zbliżającej się podróży dyrektora generalnego do USA w oparciu o posty w mediach społecznościowych.
Ataki na prezesa są coraz bardziej powszechne. Kierownictwo ma większą władzę i dostęp do cennych informacji niż przeciętny pracownik. Ludzie są skłonni szybciej reagować na e-maile od szefa, zwłaszcza na te z dopiskiem „pilne”.
[caption id="attachment_1881" align="aligncenter" width="1024"] Im bardziej ukierunkowana kampania, tym większa potencjalna wypłata[/caption]
Zarówno w pierwszym jak i drugim przypadku schemat działania cyberprzestępców jest podobny. Wybór ofiary poprzedzony dokładną analizą struktury firmy oraz dobrze sformułowana treść zachęcająca do działania. W pierwszej historii rekruter poprzez kliknięcie w zainfekowany załącznik zapewnił atakującemu dostęp do cennych informacji. W drugiej historii dyrektor wykonawczy nieumyślnie uszczuplił konto firmy o 10.000 dolarów.
Kampanie phishingowe mają 3 zasadnicze cele:
Zainfekować złośliwym oprogramowaniem środowisko ofiary.
Uzyskać dostęp do poufnych informacji lub zasobów firmy.
Wyłudzić środki pieniężne.
Hakerzy ciągle usprawniają swoje kampanie aby skuteczniej dotrzeć do użytkowników. Istnieją jednak kroki, które można podjąć aby ograniczyć działania cyberprzestępców. Ważne jest podnoszenie świadomości wśród pracowników i ich wyczulenie na potencjalne zagrożenia.
Szybkie e-maile phishingowe świetnie się sprawdzają, skutecznie podszywając się pod wiarygodne źródło, jednak często pojawiają się drobne szczegóły, które mogą je zdradzić, np.:
Adres e-mail, który dzięki zastosowaniu w nim homoglifów wygląda niemal identycznie jak dobrze znany użytkownikowi adres.
Treść maila wzbudzająca poczucie pilności w połączeniu z prośbą o złamanie polityki firmy czy obowiązujących procedur.
Emocjonalny język, który wzbudza współczucie lub strach. Na przykład podszywający się dyrektor generalny, który sugeruje szybki przelew bez względu na porę, w przeciwnym wypadku zawiedziesz.
Nietypowa dla źródła terminologia.
Czujność użytkowników jest podstawą właściwej reakcji na phishing. Jeśli ktoś z zespołu zorientuje się, że stał się celem ataku ważne jest przekazanie tej informacji wewnątrz organizacji. Jest to bardzo istotne, ponieważ hakerzy często nie wysyłają wielu wiadomości e-mail, lecz mogą wybrać kilka osób z tego samego działu lub osoby powiązane biznesowo. Wymiana informacji wewnątrz firmy zaalarmuje innych użytkowników, aby zwracali uwagę na fałszywe e-maile.
Kampanie typu spear-phishing są często pierwszym krokiem do uzyskania bardziej uprzywilejowanego dostępu do zasobów firmy. Jeśli atakującemu uda się podbić ofiarę można jeszcze zmniejszyć szkody dzięki nowoczesnym technikom uwierzytelniania. Przykładowo uwierzytelnianie wieloczynnikowe (MFA) może zablokować ponad 99,9% ataków na konta.
[caption id="attachment_1882" align="aligncenter" width="951"] Zwiększone możliwości antyphishingu są dostępne w pakiecie Microsoft Office 365.[/caption]
Microsoft Office 365 jako jeden z największych dostawców usług poczty elektronicznej na świecie. Oferuje szereg domyślnych zabezpieczeń przed atakami typu phishingu oraz dodatkowe usługi, takie jak Microsoft Advanced Threat Protection (ATP).