Ochrona przed phishingiem. Jakie mechanizmy zapobiegania phisingowi stosować w firmie?

Co to jest Phishing

Phishing jest popularnym rodzajem cyberataku, wykorzystującym głównie pocztę email jako medium komunikacji z potencjalną ofiarą. Celem atakującego jest wyłudzenie informacji poprzez podszywanie się i stosowanie przeróżnych technik inżynierii społecznej.

Przeczytaj również: Jak rozpoznać Phishing i się zabezpieczyć przed nim?

Phishingowe ataki często mają podobny schemat, a ich kluczową cechą jest manipulowanie ludzką psychiką za pomocą socjotechnik, aby wyłudzić poufne informacje od niczego nieświadomych użytkowników. Najbardziej skuteczni cyberprzestępcy doskonale wiedzą, jak sformułować wiadomość, by wywołać u odbiorcy silne emocje prowadzące do pochopnych decyzji i przekzania danych logowania (dancyh uwierzytelniających). Dbają również o to, by fałszywe strony i dokumenty wyglądały wiarygodnie i nie wzbudzały podejrzeń. Ponieważ oszuści nieustannie doskonalą swoje metody, ryzyko ataku może pojawić się w każdej chwili.

Czego może chcieć od nas atakujący:

• Podania loginu oraz hasła np. do skrzynki pocztowej;
• Podania numeru telefonu;
• Wypełnienia formularza zawierającego wrażliwe dane osobiste;
• Wykonania przelewu bankowego lub przelewu typu BLIK;
• Otwarcia załącznika w mailu lub kliknięcia w link znajdujący się w treści wiadomości;
• Zalogowania się do banku, podania kodu jednorazowego z aplikacji autoryzującej;
• Zmiany hasła w portalu Bankowości internetowej, skrzynce pocztowej lub w innym portalu.

Jakie może stosować metody przy wyłudzeniu powyższych informacji:

• mail z banku z informacją o konieczności zmiany hasła, zablokowaniu konta lub uruchomieniu nowej metody autoryzacji – zazwyczaj prowadzi do fałszywej strony banku (która może pozornie wyglądać jak strona oryginalna!) w celu podania wrażliwych danych (login, hasło, kod jednorazowy z aplikacji bankowej);
• mail z serwera pocztowego z informacją o wygaśnięciu hasła z linkiem prowadzącym do fałszywej strony i formularza zmiany hasła;
• mail z popularnego sklepu internetowego lub serwisu streamingowego, zawierający link do formularza z aktualizacją danych lub załącznikiem zawierającym „ważne informacje” a w rzeczywistości niebezpiecznym wirusem;
• mail z popularnej firmy kurierskiej zawierający fakturę lub link do opłacenia przesyłki;
• mail od jednego z dystrybutorów energii elektrycznej z wezwaniem do zapłaty;
• mail z informacją o przejęciu naszego komputera, posiadaniu kompromitujących nas materiałów z groźbą publikacji, jeśli nie zapłacimy okupu. Mail w celu uwiarygodnienia może prezentować niektóre dane uwierzytelniające.
• Każdy inny mail, który sprowokuje nas do podania wrażliwych danych

 Pomysłowość grup przestępczych nie zna granic!

Jak wygłąda atak phishingowy, czyli przykładowy przebieg ataku:

• Ofiara otrzymuje e-mail wyglądający jak autentyczna wiadomość, np. od administratora usługi lub serwisu (często nie zwracamy uwagi na drobne literówki w adresie nadawcy), zawierający słowa kluczowe takie jak: bezpieczeństwo, alert, pilna weryfikacja, aktualizacja danych.
• Cyberprzestępcy wykorzystują techniki socjotechniczne oraz spoofing, by sprawiać wrażenie oficjalnej komunikacji, zachęając do natychmiastowego działania.
• Wiadomość zawiera złośliwy link, który przenosi ofiarę na fałszywą stronę internetową, wiernie odwzorowującą oryginalny portal lub dokument.
• Ofiara, działając pod wpływem wywołanego stresem i obawy przed konsekwencjami, klika złośliwy link, nieświadoma zagrożenia.
• Na fałszywej stronie ofiara zostaje poproszona o podanie danych logowania, numeru konta, identyfikatora podatkowego oraz innych poufnych informacji.
• Dane te trafiają do cyberprzestępców, którzy mogą wykorzystać je do kradzieży tożsamości, oszustw finansowych, a także dalszych ataków mailingowych.

Rodzaje ataków

Ataki typu Phishing są wysyłane w ogromnych ilościach i ich skuteczność zazwyczaj opiera się na rachunku prawdopodobieństwa (im więcej maili tym większa szansa na „złowienie ofiary”).

Spear phishing, czyli ataki ukierunkowane

Atak spear phishing jest ukierunkowany do konkretnej grupy osób. W celu zwiększenia skuteczności i zwiększenia poziomu wiarygodności maila, w treści zawarte są dane osobiste, które zostały pozyskane wcześniej – bez wiedzy atakowanego. Bywa, że oszuści dokonują starannego wyboru ofiar, analizując ich profile w mediach społecznościowych, listy kontaktów i/lub aktywność na forach internetowych etc. Dzięki temu zabiegowi atakowany jest w stanie bardziej uwierzyć w wiarygodność danego maila.

Whaling

Atak typu Spear, ale kierowany do grupy osób ze ścisłego kierownictwa czy zarządu firm i/lub instytucji, które zostały wybrane jako cel ataku. Oszuści tworzą przekonujące e-maile w strategii ataku znanej jako whaling, koncentrując się na wysoce postawionych pracownikach takich jak CEO czy CFO.

Whalingowy e-mail może informować o rzekomych problemach prawnych firmy i zachęcać do kliknięcia w link w celu uzyskania dodatkowych informacji. Po przejściu na wskazaną stronę ofiara zostaje poproszona o podanie kluczowych danych firmy, takich jak numer identyfikacji podatkowej czy dane rachunków bankowych.

Vishing (Voice phishing)

Jest to atak z użyciem połączenia telefonicznego, podszywanie się pod przedstawicieli instytucji, banków w celu pozyskania wrażliwych, poufnych informacji.

Uwaga: Obecnie do tego typu ataku może zostać wykorzystana sztuczna inteligencja, która posiadając próbkę głosu, może naśladować głos osoby, którą zna potencjalna ofiara ataku.

Smishing (SMS phishing)

Wykorzystywanie spreparowanych wiadomości SMS jako medium do kontaktu. Cel ataku jest identyczny jak w przypadku tradycyjnego phishingu.

Clone phishing (Klonowanie)

Przestępcy wykorzystują maile wysyłane przez oryginalne serwery usługodawców, banków czy instytucji, klonują je, zamieniając załączniki lub linki zawarte w tych mailach na ich szkodliwe odpowiedniki i wysyłają ponownie.

Jak rozpoznać podejrzane wiadomości?

Rozpoznanie podejrzanych wiadomości jest kluczowe w zapobieganiu atakom phishingowym. Oto kilka wskazówek, które mogą pomóc w identyfikacji takich wiadomości:

1. Błędy ortograficzne i gramatyczne: Oszuści często tworzą wiadomości, które zawierają liczne błędy ortograficzne i gramatyczne. Zwracaj uwagę na niepoprawny język, który może wskazywać na próbę oszustwa.
2. Podejrzane linki i załączniki: Wiadomości phishingowe często zawierają linki lub załączniki, które wyglądają podejrzanie. Przed kliknięciem w link, najeźdź na niego myszką, aby zobaczyć, dokąd faktycznie prowadzi. Unikaj otwierania załączników od nieznanych nadawców, ponieważ mogą one zawierać złośliwe oprogramowanie.
3. Wywoływanie emocji: Ataki phishingowe często są napisane w sposób, który ma wywołać silne emocje, takie jak strach czy pilność, aby skłonić do szybkiego działania. Bądź ostrożny wobec wiadomości, które wymagają natychmiastowego działania.
4. Prośby o ujawnienie poufnych informacji: Nigdy nie podawaj poufnych informacji, takich jak login i hasło, w odpowiedzi na email. Prawdziwe instytucje nigdy nie proszą o takie dane przez email.
5. Nieznane adresy email i numery telefonów: Sprawdzaj adresy email i numery telefonów nadawców. Wiadomości od nieznanych lub podejrzanych źródeł mogą być próbą phishingu.

Jak się chronić – czyli metody odpierania ataków

W celu ochrony czy minimalizowania skutków potencjalnych ataków możemy zastosować pewne rozwiązania techniczne, należy pamiętać, iż zawsze „ostatnią deską ratunku” jest czynnik ludzki, dlatego nie można lekceważyć mniej technicznych metod – procedur, szkoleń i uświadamiania pracowników organizacji.

Sprawdź odcinek naszego podcastu na ten temat:

Posłuchaj na swojej ulubionej platformie

Edukacja – przeprowadzanie szkoleń dla pracowników i podnoszenie świadomości w zakresie:

• Phishingu – prezentując przykładowe maile i sposoby na pozyskanie od nas informacji;
• Skutków klikania w linki i załączniki w sytuacji, gdy nie mamy pewności, że pochodzą od zaufanego nadawcy;
• Konieczności używania menadżera haseł;
• Sposobów weryfikowanie nadawcy maila;
• Podstawowych zasad bezpieczeństwa – czego nie należy robić (ujawnienie haseł, reagowanie na maile wymuszające zmianę hasła czy logowania do portali/banków);
• Konieczności informowania IT w przypadku pojawienia się podejrzanej wiadomości lub kliknięcia w nietypowy załącznik albo link.

Kampanie antyphishingowe:

• Do pracowników wysyła się w różnych odstępach czasowych, specjalnie przygotowane maile w celu sprawdzenia jaka duża grupa osób kliknie w załączniki, link lub poda wrażliwe dane. Po każdej takiej iteracji, osoby podatne na zagrożenia przechodzą kolejną fazę szkoleń. Proces może trwać kilka miesięcy w zależności od wielkości grupy, efektów. Kampanie powinny być regularnie powtarzane.

Zabezpieczenia techniczne:

• Stosowanie uwierzytelniania dwuskładniowego (MFA) wszędzie tam, gdzie się da;
• Stosowanie systemów antyspamowych przed serwerem poczty;
• Dodawanie przez serwer oznaczenia do wiadomości, która przychodzi z obcej domeny pocztowej (np. „Ta wiadomość pochodzi z zewnątrz organizacji”, „EXTERNAL”);
• Stosowanie mechanizmów utrudniających podszywanie się pod serwer pocztowy (SPF, DKIM, DMARC);
• Ograniczenie uprawnień administracyjnych na stacjach roboczych;
• Cykliczne aktualizowanie systemów operacyjnych (nieaktualne oprogramowanie może zawierać luki bezpieczeństwa)
• W przypadku ataku ransomware (który może być częścią kampanii phishingowej) posiadanie aktualnych kopii zapasowych danych jest kluczowe.

PRZECZYTAJ RÓWNIEŻ JAK SIĘ CHRONIĆ PRZED ATAKAMI RANSOMWARE

Co zrobić, gdy firma padła ofiarą phishingu?

Jeśli firma padła ofiarą phishingu, należy natychmiast podjąć działania w celu minimalizacji szkód. Przede wszystkim trzeba zidentyfikować, jakie dane i wrażliwe informacje mogły zostać ujawnione i które konta są zagrożone. Warto natychmiast zmienić hasła do wszystkich kluczowych systemów, zwłaszcza jeśli pracownicy mogli nieświadomie podać je oszustom. Konieczne jest także poinformowanie zespołu IT lub specjalistów ds. cyberbezpieczeństwa, którzy mogą przeprowadzić szczegółową analizę incydentu, zidentyfikować źródło ataku oraz zabezpieczyć infrastrukturę przed dalszymi zagrożeniami.

Podsumowując

Skuteczna walka z phishingiem wymaga zrozumienia, że jest to zagrożenie powszechne, dynamiczne i nieustannie ewoluujące, dlatego musimy być świadomi ryzyka i nieustannie aktualizować naszą wiedzę i zabezpieczania. Tylko połączenie wszystkich metod oraz regularny trening użytkowników mogą przynieść efekt w postaci minimalizacji ryzyka. Należy mieć świadomość, że tego typu zagrożeń nie da się wyeliminować w stu procentach, a na atak phishingowy narażony jest każdy z nas i to nie tylko w pracy.