Cyberprzestępcy korzystają z różnych rodzajów phishingu, natomiast najczęściej decydują się na masowe wysyłki sfabrykowanych e-maili lub na ataki ukierunkowane.
W pierwszym przypadku za cel obierają dużą grupę pracowników, do których kierują wiadomości zawierające złośliwe załączniki lub linki do spreparowanych stron. W drugim przypadku koncentrują swoje wysiłki na konkretnej osobie – np. prezesie czy dyrektorze finansowym. Podszywają się pod współpracownika lub znaną organizację i w ich imieniu piszą e-mail z prośbą o weryfikację danych czy wykonanie jakiejś akcji.
Oba sposoby przynoszą atakującym bardzo dobre rezultaty. Dobrze przygotowany e-mail lub bardzo szeroko rozesłana wiadomość kończy się tym, czego oczekują przestępcy – kliknięciem w link, zainstalowaniem złośliwego oprogramowania lub przekazaniem ważnych danych.
Jak radzą sobie w takich sytuacjach zaatakowane firmy? Na kilka sposobów. Wszystko zależy od ich wielkości, branży, w jakiej działają, technologii, jakimi dysponują, i świadomości pracowników.
Scenariusz 1. Reakcja zautomatyzowana
W najlepszej sytuacji są firmy, które funkcjonują w regulowanych branżach, np. finansowej. Przepisy, którym podlegają, wymuszają zadbanie o bezpieczeństwo danych, zatem organizacje te dysponują odpowiednimi technologiami pozwalającymi na szybką i skuteczną reakcję na cyberatak. Podobnie działają duże przedsiębiorstwa, które również inwestują w systemy bezpieczeństwa. W przypadku ataku phishingowego wiele dzieje się w tych organizacjach automatycznie.
Automatycznie, czyli jak? Zacznijmy od poczty elektronicznej. Wdrożone systemy filtrują e-maile w oparciu o różne algorytmy oraz informacje, którymi wymieniają się na bieżąco między sobą (np. informują się o tym, że wiadomość z jakiegoś adresu lub z konkretnym załącznikiem jest złośliwa). Używają aktualizowanych cały czas sygnatur i już na poziomie sieciowym wykrywają szkodliwe e-maile, blokują je i nie dopuszczają do rozesłania wiadomości phishingowych do pracowników.
Oczywiście, może się zdarzyć, że szkodliwy e-mail przedrze się przez takie zapory, trafi do adresata, który kliknie w link czy załącznik.
Wtedy włączają się systemy bezpieczeństwa zainstalowane na stacjach końcowych właśnie po to, by wyeliminować złośliwe oprogramowanie, wyizolować taką stację i nie dopuścić do rozprzestrzeniania się zagrożenia na inne komputery czy usługi. Jeśli atak obejmie kilka stacji roboczych, można również wyizolować część sieci, w której znajdują się zainfekowane urządzenia.
W takich przypadkach z pomocą przychodzą też systemy Identity Management, które pozwalają zablokować tożsamość zaatakowanej osoby. Mając nazwę użytkownika i hasło, cyberprzestępca może się bowiem dostać do wielu systemów w organizacji, nie tylko tych powiązanych ze stacją roboczą. Dlatego ważne jest nie tylko zabezpieczenie komputera, ale i wszystkich usług – właśnie za pomocą zablokowania tożsamości czy zmiany hasła. Dzięki technologiom można to zrobić automatycznie, jednym kliknięciem.
Scenariusz 2. A u mnie coś nie działa…
Zupełnie inaczej wygląda sytuacja w mikro i małych firmach, zatrudniających klika, kilkadziesiąt osób i niedziałających w branżach, które wymagają zastosowania różnych systemów zabezpieczeń. W przypadku tych podmiotów świadomość zagrożeń jest zazwyczaj dość niska. Jeśli używają jakichś systemów, często są to kupione razem z komputerami programy antywirusowe.
Oczywiście, w ich przypadku prawdopodobieństwo zainfekowania stacji roboczej jest bardzo wysokie. Co więcej, pracownik, który klika w podejrzany link i podaje swoje dane lub pobiera złośliwy załącznik, często w ogóle nie ma świadomości, że zrobił coś, czego nie powinien zrobić. Orientuje się, że coś jest nie tak, dopiero wtedy, gdy zaczynają zgłaszać się do niego różne osoby z informacjami o tym, że wysyła dziwne wiadomości do swoich kontaktów. Lub – gdy komputer zaczyna bardzo głośno pracować, nagrzewa się i przestaje być wydajny (bo zainstalowane oprogramowanie nieustannie coś liczy i zużywa CPU w 100%).
Co robi w tym momencie? Zwykle idzie do osoby odpowiadającej w firmie za komputery, w przypadku większych firm – do serwisu, który zabiera stację roboczą i przeinstalowuje cały system operacyjny. To zajmuje dużo czasu i działa na krótką metę – nigdy nie mamy gwarancji, że złośliwe oprogramowanie nie zainfekowało już innych urządzeń/systemów lub nasze poświadczenia nie są używane w innych systemach organizacji.
Scenariusz 3. Cisza przed burzą
Cyberprzestępca może też dostać się do stacji roboczej należącej do firmy i… nie robić nic. A przynajmniej nie wykonywać akcji, które mogą być zauważone przez pracowników czy klientów. Bywa bo-wiem, że atakujący nie chce się ujawnić, ponieważ jego celem jest rekonesans, zbieranie informacji o firmie, jej strukturze, konkurencji, tajemnicy handlowej itd. W przeprowadzeniu tego typu ataków bardzo pomaga sztuczna inteligencja, która pozwala na tworzenie zautomatyzowanego i mądrego złośliwego oprogramowania, które tak długo pozostaje w sieci firmowej, aż zgromadzi istotne dla atakującego dane.
Jednym z celów atakującego, który dostał się do jakiejś stacji roboczej, może też być zdobycie danych uwierzytelniających i zalogowanie się do urządzenia, które nie jest monitorowane. To częsty scenariusz w przypadku słabo chronionych urządzeń IoT. Cyberprzestępcy wykorzystują zdobyte dane do przejęcia dostępu do np. kamery, która nie jest chroniona, nie ma antywirusa. Jest więc bezpiecznym miejscem, z którego można wykonywać kolejne ataki na zasoby IT organizacji.
Jak chronić się skuteczniej?
Każda firma – niezależnie od swoich budżetów czy wielkości – może podjąć dodatkowe działania, które pozwolą jej skuteczniej walczyć z atakami phishingowymi.
Podnoszenie świadomości pracowników
Podstawą całego systemu zabezpieczeń muszą być szkolenia pracowników. To przecież ludzie odbierają e-maile phishingowe i od ich zdolności odróżniania złośliwej wiadomości od bezpiecznej niejednokrotnie zależy to, czy atak się powiedzie. Na rynku dużo jest dziś platform szkoleniowych, z których warto korzystać regularnie, by być na bieżąco z najnowszymi technikami stosowanymi przez przestępców.
Korzystanie z usług dostawców dbających o bezpieczeństwo
Mniejsze firmy, które nie mają dużych budżetów na zaawansowane technologie, mogą używać usług chmurowych od znanych, zaufanych dostawców, którzy dbają o bezpieczeństwo udostępnianych narzędzi. Mowa przede wszystkim o poczcie elektronicznej dostępnej w modelu SaaS (Software as a Service), która ma wbudowane mechanizmy filtrujące przychodzące wiadomości. Podobnie działają także duzi operatorzy telekomunikacyjni, którzy np. analizują SMS-y i blokują te, które zawierają złośliwe linki.
Ograniczanie dostępu do zasobów
W każdym przedsiębiorstwie warto też wprowadzić zasadę najmniejszego dostępu polegającą na przyznawaniu pracownikom dostępów tylko i wyłącznie do tych zasobów, które są im aktualnie potrzebne do pracy. Im mniejsze uprawnienia ma pracownik, tym mniejsze szkody wyrządzi firmie cyberprzestępca, które przejmie dane uwierzytelniające takiej osoby.
Firmy różnie reagują na ataki phishingowe. Najważniejsze jest jednak to, że każde przedsiębiorstwo może wciąż rozszerzać wiedzę pracowników oraz stosować różnorodne rozwiązania, zwiększając tym samym poziom swojej cyberodporności. Warto to robić, bo cyberprzestępcy są kreatywni i na pewno nie zrezygnują ze tak skutecznej metody działania, jaką jest phishing.
