Wysyłka fałszywych wiadomości e-mail czy przekierowywanie na fałszywe strony internetowe to metody, które są najczęściej wykorzystywane w atakach phishingowych. Cyberprzestępcy uwielbiają bazować na naszych emocjach i potrzebach – i bezbłędnie wykorzystują je do wyłudzania danych.
Zapraszamy do lektury pierwszej części wywiadu z Piotrem Kulikiem, Product Managerem w Veracomp. Rozmawiamy o tym, jak właściwie zabezpieczyć firmową skrzynkę i do jakich metod uciekają się cyberprzestępcy, aby zdobyć informacje o naszych hasłach, numerach kart kredytowych czy kont bankowych.
VIDA: Jaki jest najlepszy sposób na zabezpieczenie firmowej poczty?
Piotr Kulik: Firmowa poczta to zazwyczaj główny kanał komunikacyjny w przedsiębiorstwach, którego bezpieczeństwo ma strategiczne znaczenie dla ciągłości i stabilności funkcjonowania organizacji. Ponad 90% ataków kierowanych jest dostarczanych za pomocą poczty elektronicznej. W mojej opinii skuteczne rozwiązanie do ochrony poczty to takie, które koncentruje się na użytkowniku, gdyż to on jest najczęściej celem ataku. Dla cyberprzestępców szczególnie interesująca jest poczta wewnętrzna, która jest bogatym źródłem informacji, tak samo jak bazy danych i dane uwierzytelniające. To właśnie użytkownik posiada dostęp do takich informacji, dlatego można go uznać za ostatnie ogniwo bezpieczeństwa.
Najlepszym sposobem zabezpieczenia firmowej poczty jest połączenie nowoczesnych rozwiązań technologicznych z budowaniem świadomości użytkowników i stworzeniem efektywnych procedur. Aby wybrać właściwe rozwiązanie do ochrony naszej firmowej skrzynki, należy wziąć przede wszystkim pod uwagę ataki, na które najczęściej jesteśmy narażeni.
Może to być masowo rozsyłany spam, który na szczęście charakteryzuje się niewielką skutecznością, bo jest blokowany przez silniki antyspamowe. Podobnie jest w przypadku kampanii zawierających znany malware – antywirusy bazujące na sygnaturach czy bazy reputacyjne radzą sobie z nimi naprawdę dobrze. Warto jednak rozważyć ochronę przed nieznanymi zagrożeniami za pomocą sandboxingu, dzięki czemu redukujemy ryzyko i zyskujemy dodatkowe ogniwo w łańcuchu ochrony.
Rozwiązania klasy enterprise często działają prewencyjnie, czyli już na wejściu redukują ryzyko skutecznego ataku poprzez właściwą konfigurację protokołów DKIM, SPF czy DMARC. Nie bez znaczenia jest też rola rozwiązań do zabezpieczenia poczty w przypadku, gdy atak ominie nasze zabezpieczenia i dotrze do stacji roboczych użytkowników. Jeżeli nasza bramka już przepuściła zagrożenie, to byłoby dobrze, aby była wyposażona w narzędzie do automatycznej kwarantanny i możliwość raportowania zagrożenia zauważonego przez użytkowników.
Podsumowując, najlepsze rozwiązanie do zabezpieczenia firmowej poczty to takie, które koncentruje się na użytkowniku końcowym, skutecznie zapobiega atakom, a jednocześnie minimalizuje wpływ zagrożeń, które mimo wszystko przedostaną się przez nasze zabezpieczenia. Pamiętajmy jednak, że nie ma rozwiązań doskonałych. Jeżeli ktoś gwarantuje stuprocentową skuteczność, to nie mówi nam całej prawdy.
Na jakie typy zagrożeń jest narażony typowy pracownik korzystający z poczty firmowej? Czy zawsze chodzi tylko o złośliwy skrypt znajdujący się w załącznikach lub o phishing?
Dostarczanie użytkownikom malware za pośrednictwem adresu URL lub załącznika wciąż nie wychodzi z mody. Baza sygnatur stale rośnie, ale przybywa też nowych zagrożeń. Zresztą ataki wcale nie muszą zawierać złośliwego kodu, bo przestępcy coraz częściej stosują socjotechnikę, która jest przerażająco skuteczna. Ich e-maile zawierają czysty tekst, niewykrywalny przez ochronę antywirusową lub sandboxing.
Jeśli chcemy skutecznie chronić naszą sieć, musimy zrozumieć stronę atakującą – hakerom tworzącym ataki kierowane zależy na dotarciu do osób z konkretnymi uprawnieniami i posiadającymi dostęp do pożądanych przez nich danych. W takiej sytuacji jedyną linią obrony jest użytkownik. To od jego wiedzy i czujności zależy czy atak zostanie przeprowadzony z powodzeniem. Świadomy, przeszkolony użytkownik może skutecznie rozpoznać próbę ataku i postąpić zgodnie z ustaloną procedurą. Zazwyczaj polega to na przekazaniu podejrzanej wiadomości do działu bezpieczeństwa, co wiąże się z koniecznością przesłania wiadomości jako załącznika, znajomością właściwego adresu e-mail i oczywiście osoby po drugiej stronie, zajmującej się takim problemem.
W celu maksymalnej redukcji zagrożenia Proofpoint proponuje koncepcję CLEAR. Do zaraportowania wykorzystywany jest moduł PhishAlarm, będący dodatkowym przyciskiem w kliencie pocztowym, co jest bardzo wygodne i intuicyjne dla użytkownika. Wciśnięcie tego przycisku generuje zapytanie do automatycznej kwarantanny TRAP. Po zaraportowaniu podejrzanej wiadomości przez pierwszego użytkownika, możemy zobaczyć do kogo jeszcze została ona skierowana i usunąć ją ze skrzynek odbiorczych, aby uniknąć zagrożenia wśród pozostałych pracowników.
Takie rozwiązanie pozwala chronić nie tylko konkretnego użytkownika, ale skutecznie odeprzeć atak na powierzchni całej organizacji.
W mediach poruszających tematykę cyberbezpieczeństwa najczęściej przytacza się przypadki zagrożeń związanych z masowymi atakami phishingu. Czy znasz przypadki, kiedy atak został wymierzony w konkretną osobę?
Kampanie phishingowe lub smishingowe podszywające się pod firmy kurierskie albo elektromarkety budują swoją skuteczność na bazie liczby rozesłanych wiadomości. Są też medialnie, z uwagi na to, że hakerzy posługują się rozpoznawalnymi logotypami marek. Ataki kierowane nie są aż tak nagłaśniane, a mając na uwadze ich osobisty charakter, firmy niejednokrotnie nie przyznają się, że były celem ataku. Osobiście znam kilka osób, które zostały zaatakowane bardzo precyzyjną wiadomością. Sam też byłem celem takiego ataku.
Hakerzy przygotowując atak kierowany w pierwszej kolejności określają potencjalne zyski i budują pod nie cały scenariusz. Celem przestępców może być baza danych, credentiale do systemu, dostęp do sieci czy skłonienie pracownika do przelania pieniędzy na ich konto. W następnym kroku analizują organizację pod kątem osób, które są powiązane z ich celem i przeprowadzają wywiad. Posługują się serwisami społecznościowymi, notkami prasowymi, stroną internetową, a nawet telefonicznie próbują zdobyć imię i nazwisko właściwej osoby. Tworzone w atakach kierowanych historie są bardzo prawdopodobne, prośby tam zawarte wpisują się w codzienny model działania atakowanego i często nie budzą żadnych podejrzeń.
Jakie znasz najciekawsze/najbardziej wyrafinowane próby oszustwa przy pomocy poczty e-mail?
Jednym z najciekawszych ataków, o jakim słyszałem, była próba podszycia się pod członka zarządu pewnej spółki. Celem ataku było wytransferowanie pieniędzy na podstawiony numer konta. Atakujący zrobili bardzo rzetelny wywiad, namierzyli osobę będącą w zarządzie z imienia i nazwiska, która miała uprawnienia do reprezentowania spółki. Nie było to trudne zadanie, bo takie informacje są ogólnodostępne w Krajowym Rejestrze Sądowym. Poznanie konstrukcji adresu e-mailowego również było trywialne – wystarczyło zapewne przesłać zapytanie do działu handlowego albo zaproponować współpracę marketingową i w ten sposób poznać adres e-mail osoby o właściwych uprawnieniach. Kolejnym elementem było zdobycie kontaktu do działu księgowości. Po uzyskaniu takich informacji wystarczy przekonać księgową do wykonania przelewu na wskazane przez cyberprzestępców konto.
Jak hakerzy uwiarygodnili swoją wiadomość? Atakujący mieli wiedzę kiedy członek zarządu, pod którego zamierzają się podszyć, będzie poza biurem. Skąd czerpali takie informacje? Z pomocą przyszły media społecznościowe. Takie posunięcie sprawiło, że księgowa nie miała możliwości zweryfikowania otrzymanego polecenia ze swoim przełożonym twarzą w twarz. Wykorzystując socjotechnikę, przestępcy skonstruowali treść wiadomości w taki sposób, aby nadać jej poczucie pilności. Do zaatakowanej osoby zwrócono się osobiście, wiadomość przybrała najpewniej następujący kształt: Pani/Panie (imię), bardzo proszę o szybkie przelanie na konto X kwoty Y. Aby uniknąć kar i dodatkowych kosztów pieniądze muszą zostać przesłane jeszcze dzisiaj. Oczywiście wiadomość została wysłana pod koniec dnia roboczego, tak aby w maksymalnym stopniu ograniczyć zaatakowanemu pracownikowi pole manewru. Takie okoliczności powodują ogromną presję i stres, dlatego łatwo popełnić błąd.
Na szczęście ten atak nie powiódł się dzięki właściwie skonstruowanym procedurom wewnętrznym i świadomości pracownika. Kwota, którą planowano wyłudzić była znaczna i niewiele zabrakło, aby firmowe środki bezpowrotnie zniknęły z konta. Niestety znam też przypadki, w których takie ataki się powiodły – kilka miesięcy temu ofiarą phishingu padła jedna ze spółek należących do Polskiej Grupy Zbrojeniowej, czego efektem było wytransferowanie 4 milionów złotych. Fanom piłki nożnej polecam zapoznać się z przypadkiem związanym z transferem Stefana de Vrija – rzymskie Lazio wypłaciło wtedy przestępcom 2 miliony euro.
