Ochrona firmy przed atakami phishingowymi

Czy wiecie, że ponad 90% udanych ataków hakerskich i przypadków kradzieży danych zaczyna się od oszustwa w postaci phishingu? A czy w ogóle wiecie, czym jest phishing i jak można uchronić przed nim firmę?

Oszustwo phishingowe to rodzaj ataku, w ramach którego cyberprzestępcy próbują podstępem skłonić użytkowników do wykonania określonej czynności, takiej jak kliknięcie linku, podanie poświadczeń, otwarcie załącznika, a nawet wprowadzenie zmian w jednym z firmowych procesów. Oszustwa te najczęściej są realizowane przy użyciu złośliwych e-maili, ale mogą też mieć inne formy. Mogą doprowadzić do zainstalowania ransomware lub innego złośliwego oprogramowania (wirusów, trojanów, robaków itp.), kradzieży poświadczeń lub pieniędzy, utraty danych, a nawet kradzieży tożsamości. Hakerzy-phisherzy wykorzystują typowe cechy ludzkie, takie jak zaufanie wobec znajomych, aby podstępem skłonić ofiarę ataku do zrobienia czegoś, czego normalnie by nie zrobiła.

Przygotowanie obrony

Skoro phishing opiera się na podstępie, jak uchronić pracowników przed tego typu atakami? Walka z nimi przypomina strzelanie do ruchomego celu. Ponieważ obecnie phisherzy zmieniają taktykę swoich podstępnych działań, szczególnie ważne jest odpowiednie przygotowanie, które pozwoli uniknąć zaskoczenia.

W ramach przygotowań warto wzmocnić techniczne mechanizmy obrony i potraktować pracowników jako wsparcie dla firmowego działu bezpieczeństwa. Do rozwiązań skutecznie blokujących phishingowe e-maile na drodze do skrzynek pracowników należą odpowiednie filtry antyspamowe, bezpieczna brama e-mail oraz stosowanie standardowych protokołów uwierzytelniania poczty (takich jak DMARC, DKIM czy SPF) i innych technologii. Jednak ostatecznie i tak nie uda się uniknąć sytuacji, w której ten czy inny pracownik bezpośrednio zetknie się z phishingiem. A wówczas wystarczy jedno kliknięcie, by wywołać chaos, którego usunięcie będzie wymagało od działu bezpieczeństwa wielu godzin dodatkowej pracy.

Czy nie lepiej by było, gdyby pracownik, który zetknie się z phishingowym e-mailem, rozpoznał go i zgłosił, zamiast klikać zawarty w nim link? Odpowiedź jest oczywista. Dlatego osobiście za priorytet uważam bieżące szkolenia uświadamiające z zakresu bezpieczeństwa. Pracowników należy przeszkolić, aby wiedzieli, na czym polega phishing i jak identyfikować tego rodzaju oszustwa. W miarę możliwości należy sprawdzać, czy potrafią rozpoznawać wiadomości phishingowe, i nagradzać ich za skuteczną identyfikację. Warto też zachęcać pracowników, by zgłaszali podejrzane e-maile do działu bezpieczeństwa — najlepiej maksymalnie ułatwiając dokonywanie takich zgłoszeń. Niech phishing czy bezpieczeństwo nie będą tematem wspominanym raz na rok, ale przedmiotem ciągłego dialogu z pracownikami.

Anatomia ataku phishingowego

Aby właściwie przygotować pracowników, trzeba najpierw dobrze poznać przeciwnika. Na czym polega phishing i do czego dążą stosujący go hakerzy?

Phishing opiera się na prostej i nienowej koncepcji. Czy zdarzyło się Wam kiedyś odebrać telefon i usłyszeć, że wygraliście konkurs, którego nie mogliście sobie przypomnieć? Być może w emocjach podaliście dzwoniącemu wszystkie dane niezbędne do odebrania rzekomej nagrody. Ten sam mechanizm obecnie wykorzystują phisherzy, tyle że za pośrednictwem e-maili lub innego cyfrowego kanału komunikacji.

Phisherzy, czyli wyrafinowani oszuści stosujący cyfrowe środki komunikacji, wykorzystują typowe cechy ludzkie, takie jak zaufanie wobec znajomych, aby podstępem skłonić ofiarę ataku do zrobienia czegoś, czego normalnie by nie zrobiła.

Podpis pod grafiką: Wysłanie e-maila à Odbiorca łapie przynętę à Odbiorca wykonuje zamierzoną czynność à Kradzież danych lub zainfekowanie komputera

Przykładowo phisher wysyła e-mail do odbiorcy. E-mail zawiera przynęty, które mają skłonić odbiorcę do wykonania określonej czynności. Takie wiadomości zazwyczaj zawierają hiperlinki lub załączniki, choć nie jest to regułą. Hiperlinki najczęściej prowadzą do fałszywych stron internetowych, które proszą o podanie określonych informacji, a czasem nawet podszywają się pod witryny prawdziwych firm. Załączniki zazwyczaj zawierają złośliwy kod, który ma na celu zainfekowanie komputera lub sieci odbiorcy. E-maile, które nie zawierają hiperlinku ani załącznika, najczęściej proszą odbiorcę, aby odpisał na adres e-mail nadawcy lub zadzwonił pod określony numer w celu przekazania nadawcy potrzebnych mu informacji.

Jeśli odbiorca e-maila nabierze się na oszustwo, często nie zdaje sobie z tego sprawy. Uważa, że wiadomość była prawdziwa i być może nawet wyniknie z niej coś dobrego. Tymczasem phisher już wykradł dane lub pieniądze albo zainfekował komputer odbiorcy.

Rodzaje ataków phishingowych

Nie wszystkie ataki phishingowe są takie same. Istnieje kilka rodzajów oszustw, na które trzeba uczulić wszystkich pracowników przedsiębiorstwa. Oto kilka najczęściej spotykanych typów ataków:

Spear phishing

Spear phishing to ukierunkowane oszustwo przeznaczone dla określonego grona odbiorców. Takiego e-maila nie otrzymuje się przez przypadek. Phisher wyszukuje ofiarę przez gromadzenie i analizę odpowiednich informacji oraz przygotowuje wiadomość o przekonującej treści. Przykładowo odbiorca może pracować w firmowym dziale HR lub niedawno zamieścił w mediach społecznościowych wpis informujący o awansie.

Whaling

Whaling to odmiana ataku typu spear phishing wymierzona bezpośrednio w członków najwyższego kierownictwa firmy, czyli w „grube ryby” (whaling oznacza łowienie wielorybów). Członkowie najwyższego kierownictwa firmy są zazwyczaj dobrze znani — można ich na przykład łatwo znaleźć na firmowej stronie internetowej. To sprawia, że są łatwym celem ataku. Ponadto najczęściej mają dostęp do poufnych informacji i podejmują decyzje finansowe, co dodatkowo zwiększa ich atrakcyjność z perspektywy phisherów.

BEC i CEO Fraud

Kolejnymi odmianami ataków spear phishing są oszustwa typu BEC (Business Email Compromise) i CEO Fraud, które polegają na podszywaniu się pod firmę lub jej dyrektora generalnego. Phisherzy wiedzą, że zazwyczaj ufamy ludziom zajmującym wyższe stanowiska, dlatego podszywają się pod osoby, które mogą wydać ofierze polecenie służbowe. Firmową domenę e-mail można łatwo spreparować, a oficjalne logo jest dostępne w Internecie. Ponadto w wielu mediach społecznościowych bez problemu można znaleźć nazwiska osób pracujących w danej firmie. Dlatego atak typu BEC jest łatwy do przeprowadzenia.

Vishing

Vishing (skrót od „voice phishing”) to phishing przez telefon. Jego przykładem są oszukańcze połączenia telefoniczne, z którymi wciąż można się zetknąć i które były stosowane na długo przed upowszechnieniem się komputerów osobistych. Te tradycyjne oszustwa są skuteczne, ponieważ gdy słyszymy czyjś głos, łatwiej nam nawiązać relację z tą osobą. A relacja sprawia, że trudniej nam jest nie spełnić prośby rozmówcy.

Smishing / SMShing

Smishing, znany także jako SMShing (skrót od „SMS phishing”), polega na wysyłaniu złośliwych wiadomości tekstowych. Są to krótsze wersje bardziej tradycyjnych oszustw phishingowych i zazwyczaj zawierają skrócony hiperlink z krótką, konkretną wiadomością wzywającą do działania.

Świadomość dotycząca phishingu: jak rozpoznać oszustwo?

Jedno z oczywistych pytań, które od razu przychodzą do głowy, brzmi: „jak określić, czy mam do czynienia z phishingiem”? W odpowiedzi moglibyśmy szczegółowo omówić różne sposoby analizowania nagłówków e-maili, ale z perspektywy typowych użytkowników ważne jest wyczulenie na kilka kluczowych sygnałów ostrzegawczych. Jednak jeszcze ważniejsza od tych sygnałów jest jedna fundamentalna zasada: jeśli pracownik ma jakiekolwiek wątpliwości, powinien samodzielnie wykonać odpowiednie czynności sprawdzające i zgłosić podejrzaną o phishing wiadomość do działu bezpieczeństwa, aby umożliwić jej bardziej szczegółową analizę. Warto zachęcać pracowników do zdrowego sceptycyzmu.

Sygnały ostrzegawcze dotyczące phishingu 

Jakie są sygnały ostrzegawcze? Jest ich wiele, a ponadto zmieniają się one wraz ze zmianami taktyki phisherów. Zasadniczo można powiedzieć, że jeśli pracownik zauważy dowolną kombinację poniższych czynników, powinien zachować szczególną ostrożność:

  • Ogólne pozdrowienie lub podpis
  • Brak informacji o nadawcy lub firmie
  • Spikselizowane lub rozmyte obrazy albo zdjęcia
  • Bezsensowne linki do stron internetowych
  • Literówki i błędy ortograficzne lub gramatyczne
  • Groźby lub pilne prośby
  • Podejrzanie atrakcyjne oferty lub propozycje
  • Prośba o podanie danych osobowych, przelanie lub przeniesienie pieniędzy albo zmianę danych do bezpośredniej wpłaty na konto
  • Nieoczekiwany e-mail lub załączniki do niego​ 
  • Niezgodność tematu i treści wiadomości
  • Brak powiązanej komunikacji

Trudno ustalić, czy e-mail jest prawdziwy czy phishingowy? Co należy wówczas zrobić: 

  1. Wykonać czynności sprawdzające. Poszukać w Internecie informacji na temat rzekomego nadawcy. Można nawet dosłownie wyszukać treść otrzymanego e-maila i sprawdzić, czy ktoś już nie oznaczył go jako oszustwo.
  2. Potwierdzać prośby przy użyciu drugiej metody weryfikacji. Nie wolno odpowiadać nadawcy, odpisując na pierwotny e-mail. Należy się z nim skontaktować przy użyciu innej metody komunikacji, na przykład numeru telefonu lub adresu e-mail z niedawnego rachunku, i potwierdzić prośbę.
  3. Wskazać myszą linki zawarte w e-mailu i sprawdzić, czy adres internetowy, do którego prowadzi hiperlink, jest zgodny z prawdziwą domeną witryny internetowej firmy. W razie niepewności należy wpisać hiperlink w przeglądarce, ale bezwzględnie nie należy go klikać.
  4. Zobaczyć, jakie nazwy plików mają załączniki. Zastanowić się, czy były oczekiwane lub są potrzebne. Nie wolno otwierać załączników, których nie oczekiwaliśmy, ani takich, których nazwy kończą się trudnymi do rozpoznania rozszerzeniami (np. nazwapliku.exe, jeśli rzekomo ma to być dokument Word).
  5. Kierować się własnym osądem. W wielu przypadkach wystarczy trochę zdrowego rozsądku, aby określić, czy dany e-mail jest prawdziwy czy raczej podejrzany.

Trudno określić, czy strona internetowa, do której prowadzi hiperlink, jest prawdziwa? Co warto wówczas zrobić: 

  • Użyć fałszywego hasła. Pozwoli to sprawdzić, czy witryna rozpozna podane hasło jako niepoprawne. (Jeśli witryna jest fałszywa i jej zadanie polega na gromadzeniu haseł, nie rozpozna niepoprawnego hasła).  
  • Sprawdzić adres WWW. Czy nazwa firmy zawarta w adresie URL ma poprawną pisownię? Czy adres zaczyna się od https, a nie od http? Sama cząstka https w adresie nie daje gwarancji, że strona jest prawdziwa — oznacza jedynie, że połączenie jest zabezpieczone. Jeśli jednak adres nie zaczyna się od https, powinno to być sygnałem ostrzegawczym powstrzymującym użytkownika przed wprowadzeniem jakichkolwiek informacji. Podobnie ikona zamkniętej kłódki lub klucza w pasku adresu nie zawsze oznacza, że strona jest prawdziwa. Jeśli jednak jej nie ma, nie należy podawać żadnych informacji.  
  • Zwrócić uwagę na wyskakujące okienka. Jeśli po wejściu do witryny zalewają nas reklamy w wyskakujących okienkach, należy zachować ostrożność.   
  • Zwrócić uwagęna identyfikację wizualną. Czy identyfikacja wizualna witryny — jej wygląd i sposób działania — odpowiada naszym oczekiwaniom względem firmy, którą rzekomo odwiedzamy?

Co zrobić, jeśli przedsiębiorstwo padnie ofiarą ataku phishingowego?

Przypominam, że fundamentem phishingu jest podstęp. Mimo wdrożenia najlepszych środków antyphishingowych i programów uświadamiających jeden z pracowników może się dać oszukać. Takie sytuacje się zdarzają. Ważne, by mieć przygotowany sposób reagowania na taki incydent.

Poniżej przedstawiamy kroki zaradcze, za pomocą których we współpracy z działem bezpieczeństwa można opracować firmowy plan reagowania i odzyskiwania danych:

Ograniczenie potencjalnego ryzyka

Jeśli odbiorca złośliwego e-maila phishingowego wykona czynność zamierzoną przez jego nadawcę, należy w miarę możliwości odizolować jego komputer i udostępnić go działowi bezpieczeństwa na potrzeby wyjaśnienia sytuacji.

Zmiana haseł

Użytkownik musi zmienić dotychczasowe hasło. Jeśli korzysta z wielu haseł, warto zmienić je wszystkie, ponieważ nie jest znany zasięg możliwego naruszenia zabezpieczeń.

Postępowanie zgodnie z procedurą reagowania na incydenty

Atak phishingowy to rodzaj incydentu cybernetycznego. Dlatego należy zastosować firmową procedurę reagowania na incydenty, która powinna obejmować takie kroki jak identyfikacja e-maila phishingowego, odszukanie go w skrzynkach innych użytkowników, usunięcie go z tych skrzynek, ocenę wpływu i ustalenie dalszego postępowania.

Poszukanie złośliwego oprogramowania

Przy użyciu narzędzi do monitorowania należy przeskanować komputer danego użytkownika i firmową sieć pod kątem złośliwego oprogramowania (takiego jak wirusy, trojany czy robaki), podejrzanej aktywności lub anomalii.

Ochrona pracowników

W zależności od charakteru ataku phishingowego: jeśli użytkownik ujawnił dane osobowe, warto, aby skonfigurował alerty dotyczące możliwego oszustwa w instytucjach zajmujących się monitorowaniem aktywności kredytowej. Jeśli autor ataku podszywał się pod prawdziwą firmę, należy poinformować tę firmę o incydencie, aby i ona mogła ostrzec swoich pracowników.

Wyciągniecie wniosków

Tak jak w przypadku każdego cyberataku wnioski wyciągnięte z incydentu często mają większą wartość niż dane skradzione przez hakerów. Dlatego warto prowadzić listę wniosków oraz na jej podstawie oceniać dotychczasowe procesy i mechanizmy kontrolne, w razie potrzeby wprowadzając uzasadnione zmiany. Dodatkowo należy stale pracować nad zwiększaniem świadomości użytkowników dotyczącej phishingu.

Oszustwa phishingowe to główny wektor ataków cybernetycznych, w ramach których hakerzy wykorzystują znajomość ludzkiej psychologii, aby skłonić swoje ofiary do wykonania określonej czynności. Aby pokrzyżować im plany, warto przygotować mechanizmy obronne i przeszkolić pracowników w zakresie rozpoznawania oszustw.

Dodatkowe materiały:

Obejrzyj webinarium 3 kluczowe strategie zapobiegania atakom ransomware

NOVINKA
V11A

Wyeliminowanie strat danych
Ochrona przed ransomware

#1 Backup and Recovery

Dodaj komentarz

Twój adres email nie zostanie opublikowany.