9 stycznia 2020
Ataki przynoszą duże szkody finansowe, ale także przerywają ciągłość działania organizacji, zmniejszają jej produktywność, powodują utratę lub wyciek danych (co może nieść za sobą grzywny) oraz negatywnie wpływają na wizerunek firmy, obniżając zaufanie do niej.
Cyberprzestępcy są coraz lepsi w wykorzystywaniu socjotechnik i omijaniu wdrażanych zabezpieczeń. E-mail to nadal jeden z najbardziej krytycznych punktów w sieci. Atakujący nie tylko wysyłają linki czy pliki ze złośliwym oprogramowaniem. Coraz częstszą praktyką jest naśladowanie zachowania typowego dla biznesu. Ich ukierunkowane ataki nie są już masowe, ale skupiają się na kilku wybranych osobach – według raportu Barracudy – maksymalnie sześciu. Swoje działania opierają na zachowaniach typowych w organizacjach (jak na przykład wysyłanie maili w dni powszednie w godzinach pracy) oraz na informacjach o danej osobie lub organizacji (na przykład w treści maila jest ich imię albo wiedzą, kto jest dyrektorem). Często badają swoje cele zanim przystąpią do ataku. Dzięki temu mogą podszyć się pod zaufanego współpracownika.
Ich celem zwykle jest kradzież poufnych danych (na przykład logowania lub finansowe), które następnie są wykorzystywane. Atak ukierunkowany często nie zawiera złośliwych linków czy załączników. Może je zamieścić na domenie, która nie była wcześniej wykorzystywana w ataku (może to być na przykład legalna strona, która została przejęta). Tak zaprojektowany atak może skutecznie ominąć tradycyjne zabezpieczenia (na przykład filtry antyspamowe).
Co jeszcze cechuje ataki ukierunkowane? 85% maili w treści zawiera komunikat o tym, że odbiorca musi szybko podjąć działanie. 59% to prośba o pomoc, a 26% maili to pytanie, czy odbiorca wiadomości ma teraz chwilę.
Takie ataki mają wysoki wskaźnik klikalności. Otwierany jest co 10 mail, a gdy treść jest spersonalizowana lub gdy atakujący podszywa się pod dział HR lub IT: nawet 3 maile na 10.
Podszywanie się pod znaną markę
Cyberprzestępcy wybierają znaną markę i powszechnie używane aplikacje biznesowe (np. Microsoft). Zapewnia im to większe możliwości wydobycia danych (na przykład numeru karty kredytowej) i przejęcia konta.
Oszukiwanie
W tym przypadku wykorzystuje się różne haczyki. Może to być wygrana na loterii czy prośba o darowiznę. Tego typu ataki służą przechwyceniu wrażliwych danych prywatnych, które umożliwią identyfikację osób. Nakłania się odbiorcę do ujawnienia informacji, a następnie oszukania jej lub kradzieży tożsamości.
Maile biznesowe
Ten typ maili jest rzadko używany, ale za to przynosi spore straty atakowanej firmie. Cyberprzestępcy podszywają się na przykład pod pracownika organizacji, sprzedawcę lub inną zaufaną osobę. W wiadomości żądają przelewu lub przesłania im wrażliwych danych od pracowników, którzy mają dostęp do informacji finansowych (na przykład księgowość). Są one szczególnie trudne do wykrycia, ponieważ rzadko zawierają podejrzane linki lub złośliwy załącznik.
Blackmail
To typowy szantaż. Hakerzy wysyłają wiadomość, że są w posiadaniu wideo lub obrazu, który udostępnią kontaktom atakowanego, jeśli ten nie zapłaci.
Ataki w godzinach, które nie budzą podejrzeń
91% ataków jest rozpoczynanych w dni powszechnie w godzinach pracy, aby wyglądało to przekonująco. Raczej nie są wysyłane w dni wolne od pracy. Z drugiej strony często wykorzystuje się intensywny czas, kiedy ludzie mają dużo pracy. Wyobraź sobie, że ktoś przeprowadza na początku września atak na szkołę. Intensywność działań jest duża, w placówce pojawiają się nowi pracownicy, uczniowie i ich rodzice.
Ataki z zaufanego źródła
Cyberprzestępcy fałszują konta e-mail (domeny i nazwy), podszywając się na przykład pod dyrektora, prosząc o przelew bankowy lub dane osobowe. Takie wiadomości są wysyłane maksymalnie do 6 pracowników. Hakerzy mogą monitorować odpowiedzi, a wręcz ich oczekują. Z tego powodu pierwszy wysłany e-mail może być bardzo prosty (na przykład: „Masz minutę?” lub „Potrzebuję Twojej pomocy”). Często wykorzystuje się popularne i bezpłatne domeny pocztowe. Ataki mogą również pochodzić od zainfekowanych kont e-mail, przez to są jeszcze trudniejsze do wykrycia. Czasem do DW dodaje się inny adres zwrotny. Może to być szczególnie mylące, jeśli odbiorca odczytuje wiadomość na smartfonie.
Krótkie i pilne wiadomości
Większość wysyłanych przez cyberprzestępców maili to żądania, które wymagają szybkiej reakcji. Często prośby wydają się być pochodzące od wyższej kadry zarządzającej lub od zaufanego współpracownika. Wiadomości są zwięzłe i ogólne, aby podkreślić pośpiech i zmobilizować odbiorcę do pośpiesznego działania. Sugeruje się również, że zostało to już wcześniej omówione. Maile są personalizowane, np. w temacie występuje imię odbiorcy. Gdy wiadomość z prośbą o pomoc lub pytanie, czy dana osoba ma chwilę na zajęcie się czymś. Dopiero w drugiej wiadomości następuje żądanie (np. robienie przelewu, zakup kart upominkowych, przegląd dokumentu). Tylko 3% zawiera link lub załącznik. Często haker podszywa się pod dział HR, IT lub finansowy, a nie konkretną fizyczną osobę. Zdarzają się sytuację, gdy odbiorca jest proszony o podanie numeru telefonu i tam dopiero są wysyłane złośliwe odnośniki. Z kolei maile kierowane do działów księgowych mają na celu przeniesienie wynagrodzeń pracowników na inne konta. Hakerzy udają pracowników i podają nowy numer konta. W okresie, w którym często wręczane są upominki (na przykład bony), można otrzymać wiadomość z prośbą o zakup tychże dla pracowników lub klientów – nie budzi to podejrzeń, a ekscytację. Ponadto nie wspomina się o nich innym kolegom i koleżankom.
Edukacja pracowników
Pokaż im, jak rozpoznać fałszywe wiadomości (przygotowaliśmy specjalne plakaty pomocnicze).
Wewnętrzne zasady
Wprowadź w organizacji protokoły, które utrudniają tego typu sytuacje, na przykład wydłuż ścieżkę decyzyjną, aby więcej osób musiało brać udział w procesie.
Stwórz zasady reagowania na incydenty
Opracuj ścieżki działania w momencie ataku phishingowego tak, aby szybko usunąć złośliwe wiadomości.
Odpowiednio chroń swoją sieć
Stosuj zabezpieczenia sieci tak, aby jak najwięcej ataków nie miało szans na powodzenia.
Usługi profesjonalne
Rozwiązania serwerowe
Rozwiązania sieciowe
System backupu danych
Zabezpieczenia klasy Endpoint
