Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Przepis na atak phishingowy - krok po kroku

05 październik 2023

Przepis na atak phishingowy - krok po kroku
Adrian Sroka

Adrian Sroka

Ataki phishingowe z każdym rokiem stają się popularniejsze i niestety ich skuteczność też wzrasta. Efektywna obrona przed nimi nie polega jedynie na przestrzeganiu wyuczonych zasad. Ciągła edukacja pracowników i zaznajamianie ich z regułami takimi jak: nie klikajmy w linki, sprawdzajmy, kto jest prawdziwym nadawcą, bądźmy uważni na treść wiadomości, jest istotna. Jednak nie wystarczy, żeby całkowicie zniwelować ryzyko związane z tym zagrożeniem.

W związku z powyższym warto poznać tego typu ataki od strony atakującego oraz zobaczyć, jak na poziomie firmy możemy pokrzyżować mu plany.

Cele ataków phishingowych

Na samym początku jednak zastanówmy się nad tym, jak zazwyczaj wygląda atak phishingowy. Na potrzeby tej analizy wyróżniamy dwa rodzaje tego ataku. Atak ogólny, skierowany zazwyczaj do dużej liczby osób. Tu przykładem jest dobrze znany już atak „na Nigeryjskiego księcia”, który liczy na skuteczność wynikającą z efektu skali — może ktoś spośród wielu adresatów otworzy wiadomość. Kolejny rodzaj to atak nakierowany. W tym przypadku atakujący wysyła złośliwą wiadomość konkretnej osobie, używając różnych informacji na jej temat, aby się uwiarygodnić.

Co może być celem takich ataków? W większości przypadków podstawowym celem jest zaszkodzenie atakowanej osobie poprzez np.:

  • kradzież danych lub pieniędzy,

  • kradzież haseł,

  • zainfekowanie wirusem,

  • wykorzystanie podatności zero day do zainfekowania systemu.

Dodatkowo w niektórych bardziej zaawansowanych kampaniach phishingowych jeden atak może być tylko metodą na poznanie szczegółów na temat głównego celu ataku np. prezesa firmy i pomóc w kolejnych atakach.

Analiza przeprowadzania ataków phishingowych

Znając więc cel, dla którego atakujący dokonują ataków phishingowych, możemy spojrzeć na to, w jaki sposób przygotowują się i przeprowadzają tego typu działania.

Rozpoznanie i plan

Pierwszym krokiem do przeprowadzenia ataku phishingowego, jest zaprojektowanie tego, co ma być jego wynikiem oraz zbadanie celu ataku.

W przypadku ataków ogólnych trzeba zaplanować złośliwą akcję i jej trigger (wyzwalacz). Mówiąc konkretniej, atakujący zaczyna od określenia oczekiwanego efektu (np. kradzież danych osobowych) oraz rozważa, jak zachęcić odbiorcę do wykonania złośliwej akcji (np. wejścia w dyskusję i wysłania danych).

W przypadku ataków nakierowanych (np. na konkretną firmę) pierwszy krok przygotowań to analiza danej organizacji. Np. na LinkedIn (czy w innych mediach społecznościowych) można zidentyfikować osoby, na które warto się powołać w podrobionym mailu (np. administratora, który każe zmienić hasło).

Dla przykładu: gdy celem ataku jest kradzież haseł, można przygotować kampanię, która kilku pracownikom firmy wyśle mail z informacją o konieczności zmiany hasła.

Zadbajmy zatem, żeby nasi pracownicy nie publikowali w innych sieciach społecznościowych żadnych wewnętrznych informacji, takich jak nazwy systemów, szczegółów technicznych lub dokład-nych relacji pomiędzy osobami w biurze.

Zdobycie listy odbiorców

W przypadku ataku ogólnego, atakującym zależy głównie na dużej skali. Chcą więc zdobyć jak największą bazę maili w miarę pasujących do scenariusza. Najlepszym miejscem do znalezienia takiej bazy jest kupno takiej listy z DarkWebu. Już za około 100$ można łatwo zdobyć miliony adresów. Jednak tak pozyskana lista jest zwykle bardzo słabej jakości.

Lepszym źródłem działających adresów email są strony lub aplikacje różnych firm. Źle zaprojektowane systemy mogą pozwolić na pobranie listy wszystkich zarejestrowanych adresów email. Da to atakującemu darmowe źródło całkiem wartościowych (gdyż niedawno działały i nie są zbiorem przypadkowym) adresów.

Do ataku nakierowanego znów źródłem wiedzy mogą być media społecznościowe, jeżeli atak dotyczy konkretnej firmy. Wystarczy wykonać trzy kroki:

  • odkryć schemat tworzenia adresu (np. imię[email protected]) np. na stronie firmy lub testując przy pomocy narzędzia (patrz 3.),

  • znaleźć listę pracowników danej firmy (źródłem może być LinkedIn),

  • z użyciem narzędzi do weryfikacji adresów e-mail (np. https://tools.emailhippo.com/) sprawdzić hipotezy i zweryfikować, czy dany adres email działa czy nie.

Jak widać, zdobycie adresów email naszych pracowników nie jest trudne. To, co możemy, a nawet powinniśmy zrobić, to zabezpieczenie adresów e-mail naszych klientów, które są przechowywane w naszych systemach IT i tutaj właśnie istnieje ryzyko wycieku.

Zadbajmy o to, by pobranie listy adresów email nie było możliwe w żadnej formie.

Przygotowanie sfałszowanej wiadomości

Czas na spreparowanie faktycznej wiadomości. Aby atak się powiódł, wiadomość musi być wiarygodna. Zatem istotne jest odpowiednie słownictwo oraz wygląd maila.

Jeżeli atakujący podszywa się pod istniejący mail z systemu (np. zmianę hasła), najprościej jest otrzymać tego typu mail i użyć dokładnie tego samego szablonu. W innym przypadku warto zdobyć wzór stopki i wyglądu maila.

Niezależnie jednak od wizualnego aspektu złośliwej wiadomości, kluczowe jest zaprojektowanie treści. Ważne jest, żeby treść maila działała odpowiednio pod względem psychologicznym (np. zmuszając do szybkiej akcji bez zastanowienia). Często tego typu wiadomości zawierają różne elementy perswazji w postaci:

  • ponaglenia (sprawa jest pilna i wymaga podjęcia natychmiastowych działań),

  • podkreślenia istotności danej akcji (dane muszą zostać przekazane do regulatora),

  • powołania się na kogoś innego w firmie.

Jak tu utrudnić pracę atakującemu?

  • Uwrażliwiajmy pracowników na dokładnie te aspekty psychologiczne, które początkowo budują zaniepokojenie, ale często są też idealnym papierkiem lakmusowym złośliwych wiadomości.

  • Niektóre systemy pozwalają na zweryfikowanie prawdziwości wiadomości (np. po zalogowaniu na swoje konto można przejrzeć historię komunikacji). Dodając tego typu funkcjonalność do naszych systemów, możemy ochronić naszych Klientów.

Jak tu utrudnić pracę atakującemu?

  • Uwrażliwiający pracowników na dokładnie te aspekty psychologiczne, które początkowo budują zaniepokojenie, ale często są też idealnym papierkiem lakmusowym złośliwych wiadomości.

  • Niektóre systemy pozwalają na zweryfikowanie prawdziwości wiadomości (np. po zalogowaniu na swoje konto można przejrzeć historię komunikacji). Dodając tego typu funkcjonalność do naszych systemów, możemy ochronić naszych klientów.

Testowanie dostarczalności

To już ostatni etap ataku. Złośliwa wiadomość musi zostać dostarczona do skrzynki odbiorczej potencjalnej ofiary. Jest to łatwiejsze, gdy adres email nadawcy będzie podszywał się pod kogoś z zaufanej domeny.

Niestety tego typu podszywanie się pod inną osobę jest możliwe, gdy firma dla swojej domeny nie ma zaimplementowanych odpowiednich zabezpieczeń na poziomie rejestrów (takich jak DKIM, DMARC, SPF). Na szczęście są to standardowe mechanizmy i dość łatwo jest je skonfigurować dla wszystkich swoich domen. Nawet dla tych, z których firma nie wysyła maili. Warto o tym pamiętać, żeby nikt nie podszył się pod nasze adresy email, czym mógłby negatywnie wpłynąć na naszą reputację.

Oczywiście, ktoś może podszyć się pod adres z innej, znanej domeny (np. microsoft.com). Jeżeli więc ta domena nie byłaby zabezpieczona, potrzebne nam są filtry antyspamowe na poziomie silnika poczty. O ile sam filtr działa w miarę skutecznie, to warto zachęcać pracowników do zgłaszania podejrzanych wiadomości. Gdy 50 osób w firmie dostanie tę wiadomość, zgłoszenie jej jako SPAM przez jedną spowoduje, że pozostałe jej już nie zobaczą.

Atak faktyczny

Na wypadek gdyby wszystkie podjęte przez nas działania okazały się niewystarczające, warto zadbać jeszcze tylko o jedno — odpowiednią ochronę przed skutkami ataku phishingowego, czyli:

  • wdrożenie uwierzytelniania wieloskładnikowego (MFA) w aplikacjach używanych przez pracowników;

  • stosowanie oprogramowania antywirusowego;

  • regularne aktualizacje sprzętu i oprogramowania.

Podsumowanie

Widzimy, że ataki phishingowe są skuteczne i niezwykle proste do przeprowadzenia, stąd wynika ich niesłabnąca popularność. Co zatem zrobić, by móc spać spokojnie?

Sprawdźmy, czy wszystkie opisane tutaj zabezpieczenia są wdrożone w naszej firmie. Przede wszystkim dbajmy o wiedzę pracowników w tym zakresie, bo to oni są punktem ataku wycelowanego w naszą firmę i to ich czujność jest tutaj kluczowa.

Bądźmy gotowi na najgorsze. Pamiętajmy o zabezpieczeniach nie tylko “przed” atakiem, ale także “po” nim. Będą one swego rodzaju drugą linią obrony, która pozwoli wyeliminować lub ograniczyć ewentualne skutki ataku.

Na koniec pamiętajmy o komunikacji. Jak poradziliśmy sobie po ataku, też może o naszej firmie dobrze świadczyć. Obecnie wiele firm pada ofiarą ataków, ale nie wszystkie mogą powiedzieć, że dzięki wdrożonym zabezpieczeniom zminimalizowały ich skutki.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności