Phishing to zagrożenie, które z roku na rok staje się coraz bardziej popularne. Badanie Tessian z 2021 r. wykazało, że pracownicy otrzymują średnio 14 wiadomości phishingowych (e-mail) rocznie, choć w niektórych branżach jest to nawet 49 wiadomości. Specjaliści z firmy zabezpieczającej ESET wskazują z kolei, że w 2021 r. liczba ataków z użyciem e-maili wzrosła o 7,3% pomiędzy majem a sierpniem, a większość z nich stanowiły wiadomości phishingowe.
Idąc dalej, Cisco w swoim raporcie na temat cyberzagrożeń z 2021 r. również informuje, że co najmniej jedna osoba otworzyła link phishingowy w ok. 86% organizacjach na świecie, a dodatkowo phishing stanowi ok. 90% naruszeń danych.
Phishing, czyli ataki polegające na wysyłaniu fałszywych komunikatów, które wydają się pochodzić z zaufanego źródła, odbywa się głównie za pośrednictwem poczty e-mail.
Phishing coraz popularniejszy. Wywiad z Pawłem Malitą
O tym, jak przeprowadzane są ataki phishingowe i jak się zabezpieczyć rozmawialiśmy z Pawłem Malitą, Senior Security Engineer z Netguru. Paweł pracuje w branży IT już od 2001 r. Ma doświadczenie w programowaniu aplikacji webowych, administrowaniu serwerami, a także projektowaniu bezpiecznych rozwiązań on-premise i w cloud. Od 2017 r. zajmuje się bezpieczeństwem organizacji, w tym ochroną przed phishingiem i reakcjami na incydenty. Z kolei od 2020 r. w Netguru pomaga projektować bezpieczne aplikacje, przeprowadza testy penetracyjne i prowadzi szkolenia z zakresu cyberbezpieczeństwa.
Barbara Kowalewska, CEO IT-Leaders.pl: Na czym najczęściej polega atak phishingowy?
Paweł Malita, Netguru.com: Na próbie przekonania osoby korzystającej z technologii informatycznych do wykonania określonej akcji, najczęściej pozostawienia swoich danych dostępowych na podrobionych stronach internetowych, a czasem także na zainstalowaniu określonego oprogramowania, w tym złośliwego.
Jak to się odbywa?
Atakujący może wykorzystywać różne kanały komunikacji, aby manipulować ofiarą. Mogą to być na przykład wiadomości e-mail z treścią mówiącą o konieczności resetu hasła do usługi, wiadomości SMS z linkiem do opłacenia rachunku za prąd pod groźbą odcięcia dostaw energii, czy wiadomości na komunikatorze z linkiem do odbioru przesyłki od rzekomego kupującego na popularnym serwisie aukcyjnym.
Sprawdź: Praca w gamedevie
Ostatnio popularne są także telefony wykonywane przez rzekomych pracowników banku lub policję, podczas których ofiarę przekonuje się, że jej oszczędności bankowe są zagrożone i należy zainstalować oprogramowanie rzekomo sprawdzające bezpieczeństwo urządzeń używanych przez ofiarę do obsługi bankowości elektronicznej.
Czy ataki phishingowe są popularne w Polsce?
To, co widać ogólnie w trendach phishingu, to zwiększona ilość zgłoszeń wykrytych przypadków. Może to świadczyć zarówno o zwiększonej liczbie ataków, jak i o większej wykrywalności phishingu. Niestety nie mam pewności, która z powyższych sytuacji zachodzi w trendach ogólnych, być może obie naraz.
Ze stuprocentową pewnością mogę natomiast odpowiedzieć wyłącznie na podstawie moich obserwacji w Netguru. Niecelowane ataki phishingowe pozostają na podobnym poziomie, co w zeszłym roku. Takie ataki są przeprowadzane najczęściej za pomocą poczty e-mail i masowych wysyłek na ogólnodostępne adresy e-mail. Są to próby nieefektywne, dość łatwe do wykrycia. Wiadomości często mają błędy, są tworzone niechlujnie, są też często wychwytywane przez filtry antyspamowe.
A pojawiło się więcej ataków celowych?
Tak, niestety od końca lutego pojawiają się ataki celowane w konkretne osoby (tzw. spear phishing). Takie wiadomości są starannie przygotowane. Ofiary to osoby posiadające albo umocowanie do wykonywania operacji finansowych, albo wysokie uprawnienia w systemach informatycznych organizacji.
Niektóre ataki łatwo wykryć, ale kiedy pracujemy i mamy dużo na głowie, trudno sprawdzać, czy aby na pewno e-mail od kolegi lub koleżanki pochodzi z domeny firmowej, czy też z innej. Czy są jakieś proste sposoby na to, aby zwiększyć bezpieczeństwo? Zauważyłam, że niektóre duże firmy, gdy otrzymają maila spoza domeny, automatycznie mają tam informację „Wiadomość wysłana spoza domeny [tu nazwa firmy]”.
Informacja, że wiadomość, która jest na skrzynce, została dostarczona spoza organizacji, czasem może pomóc. Zwłaszcza gdy wiadomość ma na celu przekonać do wykonania działania na wewnętrznym systemie organizacji.
Zobacz: Czy warto zostać testerem oprogramowania?
W większości przypadków jednak pracownicy spodziewają się wiadomości właśnie spoza organizacji: od dostawców usług chmurowych, klientów, firm kurierskich, banków itd. Co więcej, wiadomość phishingowa może pochodzić z zaufanego konta wewnątrz organizacji, na przykład po jego przejęciu przez atakującego.
Do zwalczania phishingu w organizacji potrzeba wielu, jednocześnie działających narzędzi.
Jakich?
Po pierwsze szkolenia, zarówno w zakresie obowiązujących procesów, jak i te podnoszące świadomość bezpieczeństwa (security awareness). Każda organizacja powinna mieć osobę lub dział, do której można raportować podejrzane wiadomości czy zachowania.
Kolejne rozwiązania powinny zmniejszać wpływ potencjalnego phishingu na organizację. Wymienię kilka:
- wspomniane już w pytaniu wyraźne oznaczanie wiadomości jako pochodzącej z zewnątrz
- blokowanie ruchu na podrobione strony internetowe, na przykład za pomocą listy utrzymywanej przez CERT Polska
- filtry antyspamowe oparte o uczenie maszynowe, najlepiej od dostawców o globalnym zasięgu (Google, Microsoft)
- zablokowanie obsługi makr w pakiecie MS Office
- wprowadzenie uwierzytelniania wieloskładnikowego, które może pomóc przerwać atak lub zablokuje możliwość powtórnego wykorzystania haseł przez atakującego w przypadku, gdy atak phishingowy już się powiedzie
- oprogramowanie antywirusowe skutecznie wykrywające malware tak, aby instalacja czy działanie złośliwego oprogramowania zostało zatrzymane, gdy phishing już się powiedzie
Dosyć skutecznym mechanizmem ochrony w przypadku podrobionych stron internetowych może być także wykorzystanie do uwierzytelnienia kluczy sprzętowych U2F (np. tokeny sprzętowe Yubikey albo wbudowany w komputery MacBook czytnik TouchID). Podczas używania tej metody przeglądarka internetowa automatycznie weryfikuje zgodność adresu URL strony z tym ustawionym podczas powiązania klucza. To skutecznie zatrzymuje ataki przejęcia kont.
Każde z tych działań z osobna nie jest wystarczające do ochrony przed phishingiem, za to wszystkie działania łącznie – już tak. Mogą uratować organizację przed olbrzymimi kosztami wskutek ataku.
A co w sytuacji, gdy mamy pewność, że padliśmy ofiarą phishingu? Gdzie możemy to zgłosić i jak „złapać oszusta”?
W każdej organizacji powinna być osoba opiekująca się infrastrukturą informatyczną. W większych organizacjach są to całe dedykowane działy. Jednostki te powinny monitorować anomalie w działaniu systemów wewnętrznych, w tym poczty e-mail, i odpowiednio reagować na incydenty.
W organizacji powinien istnieć odpowiednio komunikowany, prosty dla pracownika proces zgłaszania incydentów, czy nawet podejrzeń incydentów. Na żadnym etapie tego procesu pracownik nie może poczuć, że będzie w jakikolwiek sposób napiętnowany, nawet jeśli padł ofiarą phishingu. Nie może też czekać zbyt długo na pomoc – biznes nie może mieć przestojów wynikających z niewydolnych działów IT.
Sprawdź: Umowa B2B
Działy pomocy technicznej w organizacjach dostosowują wewnętrzne systemy do aktualnych zagrożeń, np. przez modyfikację filtrów pocztowych czy bram internetowych. Zgłaszają one także wykryte przypadki phishingu do zespołów reagowania na incydenty na wyższym poziomie.
Czy możesz podać jakiś przykład?
Przykładem takiego zespołu jest CERT Polska. Dzięki zgłoszeniom możliwe są działania zapobiegawcze w postaci informacji na stronach różnych instytucji lub nawet proaktywna ochrona. Ta druga w postaci blokad stron przez dostawców usług internetowych.
Prywatne osoby powinny zgłaszać przypadki phishingu bezpośrednio do CERT, w sposób opisany na tej stronie.
Phishing to głównie e-maile, ale nie tylko. To także komunikatory i inne kanały komunikacji. Jakie szkolenia firma powinna przejść, aby znacznie podnieść świadomość pracowników w kontekście tego zagrożenia?
Szkolenia to podstawa mechanizmu obrony przed cyberzagrożeniami, a zwłaszcza tymi opartymi na inżynierii społecznej. Na podstawie moich doświadczeń w Netguru konieczne są co najmniej trzy rodzaje szkoleń.
Pierwsze szkolenie powinno odbyć się pierwszego dnia, zanim pracownik będzie w ogóle miał możliwość podłączenia się do systemów firmy. Powinno ono zawierać informacje o sposobie zgłaszania podejrzanych wiadomości czy stron. Jeśli jest na to czas – można rozszerzyć to szkolenie o to, jak rozpoznać phishing – głównie po emocjonalnym nacechowaniu komunikatu.
Z moich doświadczeń takie szkolenie trwa ok. 10 minut, może być więc częścią większego bloku powitania nowego pracownika.
Następne szkolenie może być zrealizowane po kilku dniach. To dokładniejsze, ogólne szkolenie z tzw. security awareness. Tutaj temat rozpoznawania phishingu powinien być omówiony dokładniej. Najlepiej z odwołaniem do innych materiałów, na przykład filmów, z pokazaniem próbek ataków.
Ostatnie szkolenie to szkolenie z procesów wewnętrznych. To szkolenie jest charakterystyczne dla roli, jaką pracownik pełni w organizacji.
Jaka jest tematyka takich szkoleń?
Przykładowa tematyka to:
- jak weryfikować prawdziwość danych na fakturach od dostawców, czy potwierdzanie zleceń przelewów dla działów finansowych
- jak pracować z załącznikami (np. CV), jak weryfikować historię zatrudnienia dla działów kadr
- jak przyjmować gości, różnych dostawców usług, jak zarządzać przepływem przesyłek dla działów administracyjnych
- jakie są dopuszczalne kanały komunikacji w firmie, jak weryfikować mocodawców zleceń, jak postępować w przypadku braku możliwości kontaktu z osobą zlecającą lub potwierdzającą zlecenie
Po takim szkoleniu pracownik powinien znać obowiązujące go procesy. Będzie też wiedział dlaczego procesy są tak, a nie inaczej skonstruowane. I że nie wolno ich omijać.
Odpowiednio zaprojektowany i przestrzegany proces będzie dobrą ochroną, nawet gdy ktoś przejmie skrzynkę pocztową wewnątrz organizacji.
IT-Leaders.pl to pierwsza w Polsce platforma łącząca Specjalistów IT bezpośrednio z pracodawcami. Anonimowy, techniczny profil i konkretnie określone oczekiwania finansowe to tylko niektóre z cech wyróżniających platformę. Zarejestruj się i zobacz jak Cię widzi pracodawca.