Cyberataki coraz bardziej kreatywne – uważaj, gdzie wpisujesz dane

Bartosz Martyka
Bartosz Martyka - Redaktor naczelny Brandsit 4 min
4 min

Cyberprzestępcy, w dążeniu do większej efektywności, stają się coraz bardziej kreatywni. Dowodzi temu ostatnie odkrycie firmy Barracdua Networks. Personel firmy po przeskanowaniu setek tysięcy skrzynek pocztowych wielu różnych klientów zauważył kilka bardzo kreatywnych i, niestety, skutecznych ataków. Jeden z nich, który opisany jest poniżej, wykorzystuje dobrze znany mechanizm phishingu.

Jak wygląda atak?

Atak zaobserwowano w kilku firmach, zwłaszcza w przedsiębiorstwach z sektorów logistyki, transportu i produkcji, czyli takich, w których pracownicy często wysyłają towary lub podróżują służbowo. Opisywany „lotniczy” atak phishingowy wykorzystuje różne techniki, które służą przestępcom do przechwycenia poufnych danych i zainstalowania u ofiar zaawansowanego uporczywego zagrożenia. Atak z podszywaniem się pod linię lotniczą łączy dwie lub więcej technik ofensywnych. Pierwsza technika to impersonacja. Napastnik podaje się za biuro podróży lub za pracownika z działu kadr lub finansów, który wysyła e-bilet do ofiary lotniczy. Wiadomość jest skonstruowana tak, że nie budzi wątpliwości u nieprzeszkolonego odbiorcy. Oto przykładowy wiersz tematu wiadomości email: Fwd: United Airlines: Confirmation – Flight to Tokyo – $3,543.30.

W dobrze przygotowanym ataku napastnik specjalnie dostosowuje wiadomość do ofiary. Linie lotnicze, cel podróży i cena są dobrane tak, żeby wyglądały na autentyczne w kontekście danej firmy i odbiorcy.

Po nakłonieniu pracownika do otwarcia wiadomości napastnik wykorzystuje drugie narzędzie, którym jest osadzone w załączniku zagrożenie APT. Załącznik, zazwyczaj potwierdzenie lotu lub płatności, jest sformatowany jako dokument formatu PDF lub DOCX. W ataku tego typu złośliwe oprogramowanie jest uruchamiane w momencie otwarcia dokumentu. Analizy wskazują, że w lotniczych atakach phishingowych napastnikom w ponad 90 proc. przypadków udaje się nakłonić pracowników do otwarcia fałszywej wiadomości i uruchomienia złośliwego oprogramowania malware. Jest to jeden z najwyższych wskaźników skuteczności wśród ataków phishingowych.

Zostały również zaobserwowane inne cyberataki, w których używano łączy do witryny phishingowej, mającej  wyłudzać wrażliwe dane od ofiary. Witryna ta przypomina stronę linii lotniczej albo system rozliczeniowy lub podróżny używany przez firmę. Ten etap procesu ma skłonić ofiarę do podania nazwy użytkownika i hasła do sieci korporacyjnej. Napastnik przechwytuje dane logowania i wykorzystuje je do infiltracji sieci oraz wewnętrznych systemów firmy, takich jak bazy danych, serwery pocztowe i serwery plików.

Jak widać w opisywanym powyżej ataku, cyberprzestępcy wykorzystują trzy techniki:

Impersonacja (podszywanie się pod firmy, instytucje lub osoby). Badanie wewnętrznej struktury organizacyjnej firmy oraz wzorów komunikacji pomaga napastnikom stworzyć wiadomość e-mail, która wygląda na autentyczną. Dzięki impersonacji wiadomości są często otwierane przez ofiary (ponad 90% przypadków).

Złośliwe oprogramowanie – APT. Zagrożenie APT trafia do sieci w momencie otwarcia załącznika. Ofiara ufa załącznikowi ze względu na ukierunkowaną treść wiadomości.

Phishing. Napastnik wykorzystuje pozorną autentyczność wiadomości, aby wyłudzić dane ofiary za pomocą fałszywej strony logowania. Po uzyskaniu danych logowania może łatwo uzyskać dostęp do wewnętrznych danych i komunikacji w firmie.

Opisane techniki są wykorzystywane w różnych etapach ataku i uzupełniają się nawzajem, ostatecznie umożliwiając przestępcy przeprowadzenie dodatkowych ataków, takich jak wyłudzanie okupu lub pozostanie w ukryciu i następnie dokonanie zwiadu w docelowej sieci. W tym momencie napastnik przejmuje kontrolę.

Jak uniknąć ataku?

Najlepszą formą ochrony firmy jest używanie wielowarstwowych zabezpieczeń. Pierwszą warstwą jest „piaskownica”, która w połączeniu z zapobieganiem zagrożeniom APT powinna zablokować złośliwe oprogramowanie, zanim jeszcze dotrze ono do korporacyjnego serwera pocztowego. Druga warstwa to ochrona przed phishingiem. Zaawansowane mechanizmy antyphishingowe z funkcją ochrony łączy wyszukują łącza do witryn, które zawierają złośliwy kod. Łącza do tych zainfekowanych witryn są blokowane, nawet jeśli ukryto je głęboko w treści dokumentu. Trzecią warstwą są szkolenia i działania na rzecz uświadamiania pracowników. Regularne szkolenia i testy zwiększają świadomość pracowników i pomagają im zidentyfikować ukierunkowane ataki, a przez to zapobiec zainfekowaniu wewnętrznej sieci firmy.

Udostępnij
Leave a comment

Dodaj komentarz