Phishing, czyli kradzież danych uwierzytelniających użytkowników lub poufnych danych za pomocą socjotechniki, stanowi poważne zagrożenie, odpowiadając za ponad 30% wszystkich znanych naruszeń.
Cyberzagrożenia i statystyki
Wraz z masową migracją do pracy zdalnej podczas pandemii hakerzy zwiększyli swoje wysiłki w celu kradzieży danych logowania, wykorzystując chaos i brak osobistej weryfikacji użytkowników.
Doprowadziło to do odrodzenia starej techniki vishingu, która podobnie jak phishing online polega na wykorzystaniu socjotechniki przez telefon w celu kradzieży poufnych informacji. W rezultacie rośnie liczba ataków vishing, których doświadczyło 69% firm w 2021 r., w porównaniu z 54% w 2020 r. Ataki te często przybierają formę oszustw związanych z pracą lub wsparciem technicznym i mogą być niezwykle przekonujące.
W sierpniu 2020 roku FBI wraz z CISA wydały ostrzeżenie dotyczące zdalnych użytkowników, którzy są celem atakujących podszywających się pod numery biznesowe organizacji i podszywających się pod dział obsługi IT.
Vishing omija 2FA
Jednym z najbardziej niepokojących aspektów vishingu jest zdolność atakujących do obejścia środków bezpieczeństwa uwierzytelniania dwuskładnikowego (2FA). 2FA to popularna forma uwierzytelniania wieloskładnikowego, która wymaga od użytkowników podania dwóch rodzajów informacji: hasła oraz jednorazowego kodu wysyłanego SMS-em.
Atakujący osiągają je, podszywając się pod przedstawiciela pomocy technicznej i proszą ofiarę o kod 2FA przez telefon. Jeśli ofiara poda kod, osoba atakująca może uzyskać pełny dostęp do swojego konta, co może prowadzić do ujawnienia informacji finansowych lub osobistych.
Atakujący podszywający się pod pomoc techniczną
Częstym przypadkiem jest sytuacja, w której użytkownikom wyskakuje okienko z informacją, że ich urządzenie zostało naruszone lub zainfekowane złośliwym oprogramowaniem, a do rozwiązania problemu wymagana jest profesjonalna pomoc telefoniczna.
Alternatywnie ofiary mogą otrzymać telefon od rzekomego przedstawiciela pomocy technicznej renomowanego dostawcy oprogramowania, który twierdzi, że na ich komputerze wykryto malware. Atakujący będzie próbował przekonać użytkownika do pobrania oprogramowania do zdalnego dostępu pod pretekstem przedstawicieli pomocy technicznej IT. To ostatnia faza oszustwa, po której następuje szach-mat dla niczego niepodejrzewających ofiar i potencjalny zysk dla atakujących np. wyprowadzenie środków z konta bankowego ofiary.
Napastnicy podszywający się pod helpdesk cały czas działają: w lipcu 2020 r. Twitter doświadczył poważnego naruszenia bezpieczeństwa, gdy hakerzy wykorzystali oszustwo vishing, aby z powodzeniem uzyskać dostęp do dziesiątek kont użytkowników, w tym Baracka Obamy, Joe Bidena, Jeffa Bezosa i Elona Muska. Atakujący wykorzystali te konta do tweetowania oszustwa związanego z bitcoinami, co doprowadziło do szybkiej kradzieży ponad 100 000 USD.
W przeciwieństwie do tradycyjnych oszustw ataki hakerskie są wymierzone w starannie wybrane osoby, zbierając obszerne informacje na ich temat z mediów społecznościowych i innych publicznych źródeł. Informacje te są następnie wykorzystywane do identyfikowania pracowników, którzy są najbardziej skłonni do współpracy i mają dostęp do pożądanych zasobów.
Hakerzy dzwonią do pomocy technicznej i podszywają się pod zwykłych użytkowników
Ataki socjotechniczne są starannie sfabrykowane na podstawie zebranych danych i mogą służyć do podszywania się pod użytkownika końcowego podczas rozmowy z działem pomocy organizacji. Doświadczony atakujący może łatwo uzyskać odpowiedzi na pytania dotyczące bezpieczeństwa z różnych źródeł, zwłaszcza wiedząc, że użytkownicy umieszczają zbyt wiele danych osobowych w mediach społecznościowych.
Microsoft potwierdził, że znana grupa zagrożeń LAPSUS$ dzwoni do działu pomocy docelowej organizacji i próbuje przekonać personel pomocy technicznej do zresetowania poświadczeń uprzywilejowanego konta. Grupa wykorzystała wcześniej zebrane informacje, poprosiła anglojęzycznego rozmówcę o rozmowę z działem pomocy technicznej. Hakerzy byli w stanie odpowiedzieć na typowe pytania odzyskiwania, takie jak „pierwsza ulica, na której mieszkałeś” lub „nazwisko panieńskie matki” na podstawie zebranych danych, aby przekonać personel pomocy technicznej o autentyczności.
W kolejnej próbie dotarcia do helpdesku wykorzystano niedbałość.
Hakerzy pobrali 780 GB kodu źródłowego Electronic Arts. Cyberprzestępcy wykorzystali uwierzytelniające pliki cookie do podszycia się pod już zalogowanego pracownika i uzyskania dostępu do kanału Slack EA, a następnie przekonali pracownika wsparcia IT, aby przyznał im dostęp do wewnętrznej sieci firmy.
Skąd dział pomocy technicznej może wiedzieć, kto naprawdę dzwoni?
Weryfikacja tożsamości użytkownika w epoce vishingów jest ważniejsza niż kiedykolwiek. Wraz ze wzrostem cyberataków organizacje muszą mieć środki bezpieczeństwa, aby chronić swoich pracowników, chronić ich poufne informacje i zapobiegać nieautoryzowanemu dostępowi.
Bezpłatny Webinar CyberWtorki LIVE Czego uczy atak hakerski?
Zastanawiasz się nad odpowiedzialnością dopuszczenia do ataku hakerskiego w Twojej organizacji? Weź udział w Webinarze CyberWtorki LIVE Czego uczy atak hakerski?
Spotkanie poprowadzi Konrad Glejt. Na pytanie odpowiedzą specjaliści — adwokat Jarosław Hein z kancelarii Rödl & Partner w Polsce i inżynier IT Daniel Winiarski.
Zadbaj o cyberbezpieczeństwo w Twojej organizacji
