Na czym polega phishing i co jest jego celem
Phishing opiera się na inżynierii społecznej. Jego celem jest nakłonienie ofiary do ujawnienia danych logowania (np. haseł) lub podjęcia działań skutkujących mimowolnym zainstalowaniem złośliwego oprogramowania (malware), które naruszy bezpieczeństwo firmowego systemu IT.
W październiku 2023 r. amerykańskie organy federalne: Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Narodowa Agencja Bezpieczeństwa (NSA), Federalne Biuro Śledcze (FBI) i Międzystanowe Centrum Wymiany Informacji i Analizy (MS-ISAC) opracowały wspólny przewodnik, który zawiera wskazówki, jak przygotować się na atak phishingowy. Wdrożenie tych rekomendacji może ograniczyć skutki ataku na Twoją firmę.
Phishing jako starannie przygotowana pułapka
Pracownicy mają świadomość, że dane logowania, takie jak nazwy użytkowników i hasła, są poufne. Z tego względu przestępcy internetowi w starannie zaplanowanym ataku phishingowym wykorzystują czynnik psychologiczny, jakim jest zaufanie – do przełożonych, bliskich współpracowników lub personelu IT. Atakowany pracownik ma uwierzyć, że prośba o dane logowania pochodzi z wiarygodnego źródła. Przestępcy korzystają z wielu sztuczek, których celem jest podszycie się pod zaufanego nadawcę. Mogą to być fałszywe e-maile bądź wiadomości tekstowe na platformach takich jak MS Teams, WhatsApp lub Facebook Messenger. Wykorzystana może być technologia VoIP, by atakujący podszył się pod zaufany identyfikator dzwoniącego (ID).
Wdrożenie technologii uwierzytelniania wieloskładnikowego (MFA) zmniejsza ryzyko ataku phishingowego, ale go nie eliminuje. Przestępcy mogą oszukać Twojego pracownika, wysyłając mu wiadomość e-mail z linkiem do złośliwej witryny, która naśladuje prawdziwy ekran logowania. W ten sposób spróbują nakłonić pracownika, by na fałszywej stronie wpisał prawdziwy kod MFA, który został wysłany na jego urządzenie mobilne przez oficjalny, legalny serwer. Równie skuteczną, choć mniej subtelną metodą ataku może być „zasypanie” urządzenia pracownika ogromną ilością próśb o zatwierdzenie logowania. Przestępcy robią to, ponieważ liczą, że ofiara zaakceptuje żądanie przez przypadek lub z czystej frustracji.
Ataki, których celem jest zainstalowanie malware na firmowych zasobach, polegają na wykorzystaniu podobnych czynników psychologicznych. Przestępca wykorzystuje zaufanie, by skłonić pracownika do kliknięcia w wysłany link lub załącznik. Efektem ma być uruchomienie malware.
Pozornie niegroźne lub zakamuflowane linki i załączniki mogą być przygotowane przez atakujących własnoręcznie bądź za pomocą bezpłatnych, publicznie dostępnych narzędzi (takich jak GoPhish lub Zphisher). Oszukanie pracownika jest ułatwione w przypadku platform internetowych ukrywających rzeczywisty adres internetowy (URL), do którego prowadzi otrzymany link.
Jak chronić dane logowania
Aby skutecznie chronić dane logowania, na początku należy zadbać o czynnik ludzki. CISA, NSA, FBI i MS-ISAC wyraźnie wskazują na konieczność wdrożenia szkoleń pracowników w zakresie inżynierii społecznej i ataków phishingowych. Regularna edukacja ułatwi rozpoznanie podejrzanych wiadomości i linków. Należy wpajać pracownikom zasadę zgłaszania wszystkich przypadków styczności z potencjalnymi pułapkami.
Na poziomie technologii pomocne będzie wdrożenie systemów sprawdzających serwery, z których zostały wysłane odebrane wiadomości. Takimi systemami są na przykład: DMARC (Domain-based Message Authentication, Reporting and Conformance), SPF (Sender Policy Framework) oraz DKIM (DomainKeys Identified Mail). Narzędzia te umożliwiają zatrzymanie podejrzanych wiadomości i poinformowanie personelu IT o zdarzeniu. Dzięki temu zmniejszają ryzyko, że pracownik zostanie zwiedziony przez fałszywy e-mail, który udaje, że pochodzi z zaufanej domeny, np. z własnej firmy. Dodatkową funkcją takich systemów jest możliwość poinformowania legalnego właściciela domeny, że ktoś próbował się pod nią podszyć.
Warto rozważyć wdrożenie systemu monitorowania ruchu poczty i komunikatorów, który będzie informował o zwiększonym natężeniu komunikacji względem poziomu przyjętego jako bazowy.
Zalecane jest korzystanie z bezpłatnych narzędzi bezpieczeństwa, takich jak OpenDNS Home, które zmniejszają ryzyko przekierowywania pracowników na złośliwe strony internetowe.
MFA może zwiększyć bezpieczeństwo danych logowania, o ile zostanie wdrożone w odpowiedni sposób. Amerykanie rekomendują wdrożenie MFA, które jest oparte na mechanizmach FIDO (Fast Identity Online) lub na infrastrukturze kluczy publicznych (PKI), odpornych na typowe ataki phishingowe. Dotyczy to w szczególności kont administratorów i użytkowników uprzywilejowanych. Jeżeli organizacja nie może wdrożyć tych mechanizmów, powinna użyć funkcji dopasowywania numerów, by zminimalizować ryzyko skutecznego ataku.
Dodatkowym zabezpieczeniem jest stosowanie scentralizowanych systemów logowania w ramach programu jednokrotnego logowania (SSO). Mechanizm ten zarówno zwiększa bezpieczeństwo, jak i zapewnia personelowi IT dostęp do informacji o historii zdarzeń. Takie informacje ułatwią podjęcie odpowiednich działań w przypadku podejrzenia naruszenia bezpieczeństwa.
Organizacja powinna stale monitorować próby logowania. Należy wdrożyć zasadę blokowania kont w przypadku nietypowej aktywności lub ciągłych prób złośliwego logowania. Priorytet przyznany bezpieczeństwu może oznaczać tymczasowe niedogodności dla użytkowników, ale ochroni firmę przed poważnym incydentem bezpieczeństwa.
Niezbędne jest wprowadzenie zasad raportowania wszelkich przypadków phishingu oraz wdrożenie udokumentowanego planu reagowania na takie zdarzenia.
Co zrobić, by ograniczyć ryzyko zainstalowania malware
Uruchomienie złośliwego kodu w ramach systemu IT organizacji jest szczególnie niebezpieczne, dlatego warto wdrożyć odpowiednie zabezpieczenia techniczne.
Amerykanie zalecają włączenie listy odmów (denylist) na bramce e-mail i ustawienie reguł zapory sieciowej (firewall). Działanie to może zablokować znane szkodliwe domeny, adresy URL i IP, a także rozszerzenia plików, takie jak .scr, .exe, .pif i .cpl, oraz błędnie oznaczone pliki (np. plik .exe oznaczony jako plik .doc).
Należy wprowadzić w życie zasadę minimalnych uprawnień, co oznacza m.in. zezwalanie na korzystanie do celów administracyjnych tylko z wyznaczonych kont administratorów. Wiąże się to też z ograniczeniem uprawnień administracyjnych użytkowników systemów MacOS i Windows na zwykłych stacjach roboczych.
Zalecane jest wprowadzenie listy dozwolonych aplikacji, z których mogą korzystać pracownicy. Korzystanie z makr powinno być co do zasady zablokowane. Dodatkowy poziom bezpieczeństwa można osiągnąć przez budowę wewnętrznego „sklepu z aplikacjami”. Umożliwi to instalację wyłącznie tego oprogramowania, które zostało uprzednio zatwierdzone.
Migracje, chmury, systemy.
RODO w IT.
Rozwiązaniem o charakterze systemowym jest odpowiednie skonfigurowanie ochronnego serwera DNS, który uniemożliwi atakującym przekierowanie użytkowników na szkodliwe strony internetowe. Usługi dostępu do ochronnych serwerów DNS są dostępne w wersjach zarówno bezpłatnych, jak i płatnych, takich jak OpenDNS Home lub Cloudflare Zero Trust Services.
Co mogą zrobić mniejsze firmy
Wdrożenie części z opisanych rozwiązań jest kosztowne, ale ograniczony budżet nie uzasadnia braku dbałości o bezpieczeństwo. Amerykański raport zawiera też wskazówki dla mniejszych firm, które muszą się liczyć z każdą wydaną złotówką.
Najważniejszy jest człowiek. Niezbędny jest standardowy i coroczny program szkoleń antyphishingowych, który zawsze kończy się weryfikacją, czy pracownik przyswoił sobie udostępnione informacje. Bez dbałości o świadomość pracowników techniczne środki raczej zawiodą.
Po stronie technicznej kluczowe znaczenie ma wdrożenie silnego MFA, które amerykańskie organizacje federalne uznają za najlepszy sposób na ochronę małych firm przed phishingiem. Niektóre ze wskazanych rozwiązań, np. listy odmów (denylist) zapory sieciowej, można wdrożyć bez ponoszenia większych kosztów. Nie można zapominać o podstawach – wdrożeniu antywirusa i automatycznej aktualizacji oprogramowania. Warto też skonfigurować wirtualną sieć prywatną (VPN), która wykorzystuje MFA.
Utrzymywanie własnego serwera poczty e-mail przez małego przedsiębiorcę jest ryzykowne. W takim przypadku zalecana jest migracja do chmurowych usług poczty e-mail. Zaufani dostawcy usług chmurowych utrzymują stały poziom bezpieczeństwa swoich systemów dzięki nadzorowi pełnionemu przez wykwalifikowany personel, regularnemu łataniu luk i aktualizacjom oprogramowania. Oznacza to, że w przypadku usług chmurowych bieżąca piecza nad bezpieczeństwem serwerów e-mail jest ekonomicznie outsourcowana do profesjonalnych dostawców.
Niewielkim kosztem bezpieczeństwo mogą zwiększyć odpowiednie polityki i procedury wewnętrzne. Zalecane jest wdrożenie polityki stosowania silnych haseł, która wyraźnie określa minimalną długość hasła, wymaga dodania cyfr, znaków specjalnych i liter różnej wielkości. Pracownicy powinni przestrzegać zakazu ponownego korzystania z haseł, które były używane wcześniej. Warto też wprowadzić politykę bezpiecznego korzystania ze stron internetowych. Powstrzyma ona pracowników przed odwiedzaniem stron, które mogą stanowić zagrożenie.
Jak reagować w razie ataku phishingowego
Gotowy plan działania okaże się niezbędny w razie incydentu. Pierwszy krok to odebranie przestępcy dostępu. Niezależnie od tego, czy ujawnione zostały dane logowania, czy zainstalowane malware, należy zacząć od ponownego przydzielenia kont zagrożonym pracownikom. Umożliwi to ich dalszą pracę bez zbędnego przestoju.
Następnie należy dokładnie sprawdzić zaatakowane konto, by uzyskać pewność, że nieuprawniony dostęp został powstrzymany.
Warto wyizolować z sieci stację roboczą, która została zaatakowana. Celem tego działania jest powstrzymanie dalszego rozprzestrzeniania się malware w sieci firmowej.
Wykryte malware powinno być poddane analizie, która wymaga specjalistycznej wiedzy. Możliwe jest korzystanie z outsourcingu profesjonalnych usług w dziedzinie złośliwego oprogramowania.
Na koniec pozostaje wyeliminować malware i przywrócić systemy do normalnego działania. Po wykonaniu tych czynności możliwe jest ponowne podłączenie stacji roboczej do sieci.
Podsumowanie
Dane i know-how to kluczowe aktywa w nowoczesnej gospodarce. Wiedzą to cyberprzestępcy, którzy przygotowują kolejne ataki phishingowe. Zagrożenie jest realne i nie pozwala pozostawać biernym. Wielu przedsiębiorców już podjęło działania, by wdrożyć odpowiednie zabezpieczenia.
Jeżeli dotychczas w Twojej organizacji nie zrobiono nic w kierunku ochrony przed atakami phishingowymi, skorzystaj z przedstawionych wytycznych. Zawierają one wiele wskazówek, które podpowiedzą Ci, jak zadbać o bezpieczną przyszłość firmy.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Które działanie najlepiej ogranicza ryzyko skutecznego ataku phishingowego na dane logowania pracowników?