Phishing – największe zagrożenie dla cyberbezpieczeństwa

0
331

Koszty cyberincydentu dla firmy mogą być ogromne i decydować o jej przyszłości. Myślenie wyłącznie o kosztach chwilowego przestoju przedsiębiorstwa to częsty błąd popełniany przez zarządzających, którzy zapominają o długotrwałym uszczerbku wizerunkowym, utracie zaufania klientów, wydatkach na usunięcie skutków incydentu oraz wdrożeniu rozwiązań mających na celu uniknięcie zagrożenia w przyszłości.

W minionym roku w polskiej cyberprzestrzeni zarejestrowano o 73% więcej incydentów bezpieczeństwa w porównaniu z 2018 r. O cyberzagrożeniach w liczbach, o tym jak cyberbezpieczeństwo widzą polscy przedsiębiorcy oraz z jakimi wyzwaniami muszą się mierzyć w cyfrowej gospodarce, pisałem w numerze 39. „Gazety Ubezpieczeniowej” (z 28 września 2020).

Tym razem chciałbym skoncentrować się na najczęściej występującym cyberzagrożeniu, jakim jest phishing. Stanowi on ponad połowę (54,2%) wszystkich cyberincydentów w Polsce. Warto zatem poświęcić mu chwilę uwagi i zrozumieć, czym jest i do jakich skutków może prowadzić.

Czym jest phishing?

Phishing jest atakiem socjotechnicznym, który bazuje na najsłabszym ogniwie ochrony, jakim jest człowiek. Jest to metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych logowania), zainfekowania komputera szkodliwym oprogramowaniem lub nakłonienia ofiary do określonych działań.

Sam atak nie wymaga posiadania zaawansowanej wiedzy technicznej ani szukania luk w zabezpieczeniach systemów informatycznych. Atak ma najczęściej charakter masowej kampanii, ale może być też ukierunkowany na konkretną osobę lub firmę – wtedy mówimy o spear phishingu – lub na przedstawicieli kierownictwa wyższego szczebla – wtedy mówimy o whalingu (whaling w języku angielskim oznacza wielorybnictwo).

Większość ataków phishingowych opiera się na wysyłaniu w e-mailach linków do stron podszywających się pod prawdziwe witryny. Na potrzeby oszustwa atakujący tworzy realistycznie wyglądającą stronę (a często kopię strony, pod którą się podszywa) i kieruje ofiarę ataku na tę stronę poprzez nieznacznie zmodyfikowany zapis adresu strony, np. nazwę domeny z literówką lub wyświetlanie w wiadomości e-mail linku o prawidłowej nazwie, ale prowadzącego do fałszywej strony.

Radosław Kaczorek

Pewną odmianą phishingu jest vishing, który zamiast wiadomości e-mail wykorzystuje połączenie głosowe, np. telefon. Przykładem vishingu może być atak polegający na podszyciu się pod pracownika działu informatyki i nakłonienie użytkownika do otwarcia strony internetowej i zainstalowania z niej złośliwego oprogramowania.

Skutki ataku phishingowego

Bezpośrednim skutkiem ataku phishingowego jest najczęściej kradzież tożsamości – głównie w przypadku ujawnienia danych logowania ofiary – ale może nim być całkowita utrata kontroli nad komputerem albo całym systemem informatycznym – w przypadku infekcji złośliwym oprogramowaniem.

Na co dzień ataki phishingowe mogą dotykać nas w kampaniach przejmowania kont użytkowników na portalach społecznościowych, sklepach internetowych i innych serwisach internetowych, np. portal klienta dostawcy usług telekomunikacyjnych lub bankowość internetowa. W takiej sytuacji atakujący przesyłają wiadomości e-mail do tysięcy użytkowników z zamiarem nakłonienia ich do zalogowania się na fałszywej stronie internetowej, nad którą mają kontrolę. Ofiara klika w zawarty w wiadomości e-mail link, który prowadzi ją do fałszywej strony logowania.

Jeśli atakującemu uda się nakłonić ofiarę do zalogowania na fałszywej stronie, to atakujący otrzymuje dane logowania ofiary (login, hasło) do strony, pod którą się podszywa. Od tego momentu atakujący może logować się do serwisu internetowego i podszywać się pod ofiarę. Mamy zatem do czynienia z kradzieżą tożsamości ofiary.

Przykładowy scenariusz ataku

Ten z pozoru niegroźny atak może prowadzić do katastrofalnych skutków. Wyobraźmy sobie scenariusz, w którym ofiara otrzymuje wiadomość e-mail z działu informatyki z informacją, że wprowadzono zmiany w dostępne zdalnym do poczty e-mail. W celu weryfikacji poprawności działania systemu pocztowego użytkownik powinien kliknąć link zawarty w wiadomości i zalogować się do systemu przez przeglądarkę internetową.

Wiadomość wygląda na autentyczną, a po kliknięciu linku otwiera się strona logowania całkowicie przypominająca znaną użytkownikowi stronę logowania do poczty. Zgodnie z instrukcją ofiara wpisuje swój login i hasło i… w tym momencie atakujący uzyskują dane logowania do prawdziwej skrzynki pocztowej użytkownika.

Kolejne kroki atakującego mogą być różne, np. przejęcie dostępu do dowolnego serwisu internetowego, w którym ofiara używa przejętej skrzynki e-mail, ale w przypadku spear phishingu lub whalingu atakujący może mieć znacznie bardziej wyrafinowany cel, np. wykorzystanie skradzionej tożsamości do kradzieży pieniędzy.

Jeśli mamy do czynienia z atakiem ukierunkowanym, atakujący po zalogowaniu do skrzynki pocztowej ofiary może prowadzić z niej korespondencję z klientami i dostawcami… może również korespondować z innymi pracownikami firmy, którzy mogą nieświadomie ujawniać poufne informacje.

W ten sposób atakujący profiluje ofiarę i przygotowuje się do ataku właściwego. Taka faza profilowania może trwać kilka dni, tygodni, a nawet miesięcy. W tym miejscu zapewne zdaliście sobie sprawę z tego, jak ważne są regularne zmiany haseł do swojego konta w systemie. To praktycznie jedyna metoda, która może zatrzymać atakującego przed dalszą penetracją środowiska firmy. Atakujący to wiedzą, dlatego do właściwego ataku przygotowują się szybko, sprawnie i w sposób niepozostawiający śladów… bo z punktu widzenia systemu informatycznego z konta korzysta uprawniony użytkownik.

Kulminacyjny moment nadchodzi wtedy, gdy atakujący wysyła ze skrzynki e-mailowej ofiary do klienta sfałszowaną fakturę, w której zmieniony jest numer rachunku bankowego, lub wysyła do dyrektora finansowego polecenie pilnego przelewu w związku z finalizowaną właśnie transakcją. Czy to się dzieje naprawdę? Owszem, bo wiadomość napisana jest tak, jak pisze ofiara – zawiera wszystkie załączniki, które powinna zawierać, i pochodzi ze skrzynki ofiary.

Adresat wiadomości nie ma żadnych podstaw, żeby nie ufać takiej wiadomości. Co więcej, w przypadku gdy wiadomość pochodzi od prezesa lub członka zarządu, nikt nie odważy się kwestionować polecenia zawartego w wiadomości. W taki właśnie sposób dochodzi do kradzieży środków finansowych na ogromną skalę.

W przypadku ataków ukierunkowanych mamy do czynienia z wymuszeniami przelewów na setki tysięcy złotych. Jeden z większych znanych mi przypadków, który był poddany analizie przeze mnie i mój zespół, na zlecenie zaatakowanej firmy, doprowadził do wymuszenia przelewu na blisko 10 mln zł. Czy można było takiej stracie zapobiec?

Tak, ale pierwszym krokiem w zapobieganiu zawsze jest diagnoza zagrożeń, audyt bezpieczeństwa i uświadomienie sobie słabych punktów organizacji. Dopiero wtedy można stworzyć mechanizmy organizacyjne i techniczne, które pozwolą nam reagować na takie i podobne zagrożenia.

Środkiem, który jest wart rozważenia, jest ubezpieczenie od cyberzagrożeń. Ale pamiętajmy, że stanowi ono jedynie uzupełnienie mechanizmów bezpieczeństwa, które przede wszystkim powinny tworzyć długotrwałą odporność na zagrożenia.

Podsumowanie

Żyjemy w czasach upadku modelu zaufania, które towarzyszyło nam przez wieki w relacjach międzyludzkich. Dzisiaj, w erze komunikacji elektronicznej, gdzie tożsamość osoby jest tożsamością cyfrową, musimy zdawać sobie sprawę z nowych zagrożeń dla nas samych i firm, w których pracujemy i którymi zarządzamy.

Bagatelizowanie problemu to chowanie głowy w piasek, bo zarówno dynamika wzrostu zagrożeń w ostatniej dekadzie, jak i stopień automatyzacji ataków oznaczają, że nie wolno nam myśleć w cyberzagrożeniach w kategorii „czy nas dotkną”, tylko „kiedy nas dotkną”. W przeciwnym razie będziemy pewną ofiarą cyberataków. Nawet jeśli uważamy, że nas to nie dotyczy.

Radosław Kaczorek
partner zarządzający departamentem cyberbezpieczeństwa w Grant Thornton w Polsce