Pizza i audyt bezpiecze?stwa – co maj? ze sob? wspólnego?

Tylko w Polsce z atakami phishingowymi rocznie styka si? blisko 20% internautów. Na celowniku, obok u?ytkowników banków i systemów p?atniczych, s? klienci sklepów internetowych, co dowodzi, ?e g?ównym celem hakerów s? nasze pieni?dze (dane Kaspersky Lab). Zreszt?, hakerski “biznes” op?aca si?, bo jak podaje Nest Bank, a? 30% Polaków w ogóle nie wie co to phishing, a 32% ma wra?enie, ?e wie, cho? pewno?ci nie ma.

Jednocze?nie nadal ro?nie liczba ataków whalingowych, czyli bardziej dok?adnego i wyrafinowanego phishingu nakierowanego na instytucje rz?dowe i du?e biznesy. Jak donosz? autorzy raportu Verizon DBIR 2019, dzi? mened?erowie wysokiego szczebla i dyrektorzy firm (czyli osoby posiadaj?ce przywileje wykonawcze i dost?p do wielu zastrze?onych, cz?sto krytycznych rejonów infrastruktury informatyczne) s? 12 razy bardziej nara?eni na atak socjotechniczny ni? jeszcze rok temu.

Najdro?sza pizza w historii

Hakerzy stosuj? ró?ne metody, próbuj?c wykra?? wa?ne dla nich dane, takie jak m.in. dane dost?powe do kont bankowych, numery PIN lub CVC kart kredytowych, szczegó?owe dane osobowe czy – w przypadku whalingu – wra?liwe dane firmowe. Nadal g?ównym, cho? nie jedynym wektorem cyberataku s? maile, a jedn? z najpopularniejszych form – ataki socjotechniczne, czyli takie, które bazuj? na sk?onno?ci cz?owieka do bezwiednego ulegania wp?ywom innym. Przekonali si? o tym dyrektorzy i pracownicy znanej, mi?dzynarodowej korporacji, której warszawski oddzia? zosta? zaatakowany przez hakerów metod? “na pizz?”. Pomimo ?e firma posiada?a ochron? sprz?tu i oprogramowania na najwy?szym, ?wiatowym poziomie, cyberprzest?pcom uda?o si? znale?? luk? w zabezpieczeniu. Jak przebieg? atak?

“Na s?u?bowe adresy mailowe, podane na naszej stronie internetowej, przysz?a informacja o otwarciu nowej pizzerii w okolicy wraz z 30% zni?k? dla pierwszych klientów. Pracownicy skuszeni t? ofert? szybko zorganizowali “Pizza Day” i zamówili 8 pude?ek. Menu znajdowa?o si? na stronie www pizzerii, jak si? pó?niej okaza?o, która by?a fa?szywa i powsta?a tylko w celu uwiarygodnienia istnienia nowego lokalu” – opowiada Adam, CEO zaatakowanej firmy.

Co sta?o si? dalej? Po kilkudziesi?ciu minutach w firmie pojawi? si? dostawca z pizz? i gratisem w postaci LEDowych lampek na USB, zmieniaj?cych kolory w rytm muzyki. Mile zaskoczeni upominkiem pracownicy bez wahania pod??czyli je do komputerów. Nie mieli ?wiadomo?ci, ?e w ten sposób dali hakerom zdalny dost?p do urz?dze? firmowych, a ci w kilka minut zdestabilizowali prac? ca?ego systemu, a co za tym idzie, ca?ej firmy.

Jak to mo?liwe, ?e firma posiadaj?ca ochron? na najwy?szym poziomie, pad?a ofiar? cyberprzest?pców? Zawiod?o najs?absze, najmniej przewidywalne, a przy tym najbardziej podatne ogniwo, czyli cz?owiek – w tym przypadku nie?wiadomi zagro?e?, nieodpowiednio przeszkoleni pod wzgl?dem bezpiecze?stwa pracownicy firmy.

Za atakiem sta?o TestArmy CyberForces

Na szcz??cie dla pracowników, atak metod? “na pizz?” okaza? si? by? z góry zaplanowanym audytem bezpiecze?stwa, który mia? wykaza?, na jakich polach firma nadal jest zagro?ona. Jak mówi Szymon Chru?cicki z TestArmy CyberForces, który na zlecenie korporacji przygotowa? scenariusz ataku i przeprowadzi? test socjotechniczny:

“Scenariusz ataku opiera? si? na kilku prostych krokach. Zacz?li?my od stworzenia fa?szywej strony www, a nast?pnie zamówili?my naklejki z nazw? i logo pizzerii. Jako wektor ataku wykorzystali?my s?u?bowe maile, podane na stronie atakowanej korporacji. Po otrzymaniu zamówienia od pracowników, nasz pracownik dostarczy? pizz? z lokalnej pizzerii, naklejaj?c na pude?ko logo naszej fikcyjnej. Pos?u?yli?my si? regu?? wzajemno?ci i sympatii, ?eby wymusi? na pracownikach podj?cie zaplanowanego dzia?ania, w tym przypadku chodzi?o o pod??czenie do komputerów lampek, w które wbudowali?my spreparowane pendrive’y ze z?o?liwym oprogramowaniem. Pod budynkiem czeka? nasz specjalista od cyberbezpiecze?stwa, który po uzyskaniu zdalnego dost?pu do urz?dze?, zaszyfrowa? wszystkie dane w firmowym systemie.”

Po co to wszystko? Pami?tajmy, ?e system bezpiecze?stwa jest tak skuteczny jak jego najs?absze ogniwo, i cho?by z tego powodu ataki socjotechniczne s? jedn? z najskuteczniejszych metod wykorzystywanych przez hakerów. Aby dobrze zrozumie? specyfik? tych zagro?e?, symulacje z u?yciem z?o?liwego oprogramowania s? konieczne. Z jednej strony pozwalaj? ujawni? luki w zabezpieczeniach, a z drugiej – szkoli? pracowników jak nie pada? ofiar? socjotechnicznych sztuczek stosowanych przez cyberprzest?pców.

G?o?ne przyk?ady z ostatnich miesi?cy

Przyk?ady skutecznie przeprowadzonych ataków socjotechnicznych mo?na by mno?y?.

• Kilka milionów z?otych straci?a, nale??ca do Polskiej Grupy Zbrojeniowej, spó?ka Cenzin, po tym jak cyberprzest?pcy podszyli si? pod dostawc? broni z Czech. Pracownicy nie zweryfikowali wys?anych mailem informacji o zmianie numeru konta mailowego, na które Cenzin wp?aca? pieni?dze na zakupiony towar, w efekcie czego ?rodki zacz??y trafia? na konto cyberprzest?pców.
• Dane osobowe 20 tys. pracowników FBI i 9 tys. pracowników Departamentu Bezpiecze?stwa Krajowego w USA wyciek?y po tym, jak haker podaj?c si? za nowego pracownika zadzwoni? do Departamentu Sprawiedliwo?ci, prosz?c o przekazanie kodu dost?pu do zastrze?onych stron instytucji. W efekcie uzyska? dost?p do wewn?trznej sieci zawieraj?cej m.in. adresy mailowe nale??ce do cz?onków armii Stanów Zjednoczonych i informacje o numerach ich kart kredytowych.
• Jeden z ameryka?skich banków odniós? ogromne straty wizerunkowe po tym, jak hakerzy w?amali si? do jego systemu pocztowego i po odmowie zap?acenia haraczu, rozpocz?li masow?, liczon? w milionach wysy?k? maili o spamowym charakterze. W efekcie dostawca us?ug internetowych zosta? zmuszony do wy??czenia us?ugi poczty elektronicznej banku.
• Ponad 500 tys. dolarów zarobili w 2018 roku hakerzy wykorzystuj?c tzw. “sextortion scam”, czyli szanta? polegaj?cy na wys?aniu maila (zwykle z adresu nale??cego do ofiary) z gro?b? upublicznienia rzekomo posiadanych kompromituj?cych filmów czy zdj?? ofiary, je?eli haker nie otrzyma ??danej kwoty (dane GlobalSign).

Jak si? broni? przed hakerami? TOP 4 wskazówki:

• Usuwaj wszystkie wiadomo?ci z pro?b? o podanie danych osobowych, loginów i hase?. Taki mail to oszustwo.
• Weryfikuj nadawców maili przed tym, jak wy?lesz im ??dane pliki czy wykonasz proszon? czynno??. Nie raz, nie dwa, a trzy razy.
• Ustaw wysoko filtry antyspamowe w poczcie elektronicznej.
• Regularnie aktualizuj oprogramowanie antywirusowe i korzystaj wy??cznie z bezpiecznych stron internetowych.

Jak podsumowuje Dawid Ba?ut, ekspert od cyberbezpiecze?stwa z TestArmy CyberForces – “B?d?my uwa?ni i ostro?ni. Zainwestujmy w szkolenia pracowników i stale przestrzegajmy ich przed otwieraniem niezweryfikowanych maili i za??czników od nieznanych nadawców. Je?li co? wzbudzi w?tpliwo?ci, niezw?ocznie zg?aszajmy si? do firmowego dzia?u IT. To bardzo proste czynno?ci, które jednak zabezpieczaj? to, co naj?atwiejsze do zmanipulowania przez hakerów, czyli czujno?? cz?owieka.”