Phishing - czy mamy się czego bać?

27 Lipca 2020|Tagi: bezpieczeństwobezpieczeństwoit

Phishing czy mamy się czego bać?

Phishing jest to metoda oszustwa, w której cyberprzestępca podszywając się pod inną osobę lub instytucję próbuje nakłonić ofiarę do określonych działań w celu wyłudzenia poufnych informacji (np. danych logowania, danych karty kredytowej) lub zainfekowania komputera szkodliwym oprogramowaniem. Jest to rodzaj ataku opartego na inżynierii społecznej (socjotechnice).

Większość raportów bezpieczeństwa pokazuje, iż phishing jest jedną z najpowszechniejszych form cyberataku. Raport CERT Polska o krajobrazie bezpieczeństwa polskiego Internetu w 2019 roku wskazuje phishing jako najczęściej występujące zagrożenie w cyberprzestrzeni. Według tego raportu, phishing stanowi aż 54% wszystkich incydentów zgłaszanych do CERT Polska. Dodatkowo, raport Verizon „2019 Data Breach Investigations Report” podkreśla, że 94% cybernetycznych zagrożeń zewnętrznych zaczyna się od medium komunikacyjnego, którego każdy z nas używa wiele razy dziennie - od e-maila.
 
Takie informacje chyba nikogo nie powinny zdziwić. Po pierwsze e-mail jest dziś chyba najważniejszym narzędziem biznesowym każdej organizacji, jak również odgrywa też bardzo dużą rolę w komunikacji prywatnej. Po drugie, obecnie łatwiej nakłonić użytkownika do kliknięcia w złośliwy link czy do otwarcia złośliwego załącznika - są to naturalne czynności przy korzystaniu z poczty - niż dokonać ataku na infrastrukturę sieciową. Cyberprzestępcy polubili grę na ludzkich emocjach i potrzebach.
 
W odróżnieniu od sprzętu komputerowego i infrastruktury sieciowej, ataki e-mailowe wykorzystują luki w zabezpieczeniach, które ciężko monitorować, a jeszcze ciężej naprawiać - mianowicie ludzi. Niestety ludzka natura to najsłabszy punkt w każdej organizacji, dlatego też jest nieustannym celem ataków.

Jak w takim razie radzić sobie z problemem?

Znanych metod walki z phishgiem jest wiele, skupiają się one głównie wokół próby filtrowania poczty - aby wykryć zagrożenie i je zablokować - oraz na ochronie zasobów, polegającej na minimalizacji skutków dotarcia "złych" maili do pracowników.

Dziś już wiadomo, że te metody nie są wystarczające. Jeśli chodzi o pierwszą metodę, to niestety mimo zaawansowanego filtrowania z wbudowaną heurystyką, uczeniem maszynowym, systemy te nadal nie są na tyle skuteczne, aby oferować odpowiedni poziom bezpieczeństwa, zwłaszcza w coraz bardziej powszechnych atakach typu spear phishing - czyli phishingu spersonalizowanego i poprzedzonego wywiadem środowiskowym. Spear phishing jest ogromnym zagrożeniem, ponieważ bierze sobie na cel konkretny podmiot i przygotowuje kampanię dedykowaną pod niego. Filtrowanie dobrze sprawdza się na znane zagrożenia, rozsyłane na masową skalę.

Kolejna metoda, czyli minimalizacja skutków po udanym ataku, nie jest stricte zabezpieczeniem przed atakiem. Jest próbą ratowania własnych zasobów oraz próbą zatrzymania eskalacji zagrożenia na całą organizację. Niestety, czasami wystarczy jeden zainfekowany komputer, aby skutecznie zatrzymać produkcję na klika dni, czy stracić wizerunek.

Dlatego czas na nowe podejście. Zagrożenia, które dziś stanowią wyzwanie dla zespołów bezpieczeństwa, wymagają nowej strategii - takiej, która skupia się na ochronie również ludzi, a nie tylko infrastruktury. Nowoczesny phishing nie szuka luk w zabezpieczeniach sprzętowych czy w oprogramowaniu, lecz próbuje skłonić ludzi do takiego postępowania, które da cyberprzestępcy możliwość wykonania kolejnych ruchów, np. pobrania wrażliwych danych czy zaszyfrowania dysków. Użytkownicy są najłatwiejszym wektorem ataku, który ma dopiero za zadanie otworzyć drzwi do szerszych działań. Świadomość użytkowników o zagrożeniach i skutkach phishingu i ich wiedza na temat rozpoznawania fałszywych maili, stanowi pierwszą a czasami również jedyną barierę, którą przestępcy muszą pokonać. Pogłębianie wiedzy użytkowników na temat phishingu powinno być stałym i regularnym elementem polityki bezpieczeństwa każdej firmy.

Prawdziwy test odporności organizacji, a w szczególności użytkowników na polega na określeniu, jak radzą sobie z rzeczywistymi atakami. Oczywiście nie warto czekać na właściwy atak - z pomocą mogą przyjść narzędzia do przeprowadzania symulowanych kampanii phishingowych. Narzędzia te, obudowane odpowiednimi kwalifikacjami i doświadczeniem, stanowią skuteczną metodę podnoszenia świadomości pracowników w temacie zagrożeń, co w rezultacie przekłada się na odporność organizacji na tego typu ataki. Regularnie przeprowadzane symulowane kampanie phishingowe pozwalają na:

  • zaostrzenie czujności u użytkowników - bo przecież nie wiedzą kiedy taka kampania może wystąpić, przez co częściej zwracają uwagę na elementy maila wskazujące na atak, np. literówka w domenie, błędy językowe;

  • ciągłe szkolenie pracowników z wykorzystania technik socjotechnicznych, stosowanych przez przestępców, np. podszywanie się pod pracownika, pod dostawcę, kupony zniżkowe, literówki w domenie - metod oszukania czujności użytkowników jest sporo;

  • badanie zachowania użytkowników i stosowania procedur wewnątrz organizacji, np. czy użytkownicy zgłaszają podejrzane maile w odpowiednie miejsce w organizacji, jak dział IT reaguje na pojawienie się zgłoszeń od użytkowników, ile czasu zajmuje zablokowanie kampanii w organizacji;

  • wyłapanie tzw. "najsłabszego ogniwa", czyli osób, które otwierają podejrzane wiadomości za każdym razem lub częściej niż inni - to pozwala na określenie grupy osób, co do których należy dotrzeć z szerszym szkoleniem; z taką wiedzą możemy przeprowadzić audyt uprawnień osób, które nie radzą sobie z odróżnieniem prawdziwego maila od fałszywego, by zminimalizować ewentualne skutki rzeczywistego ataku.

Prowadzenie kampanii phishingowych wśród pracowników to dla organizacji przede wszystkim ogromna dawka wiedzy o tym, jak ludzie zachowują się w przypadku ataku, czy struktury bezpieczeństwa oraz procedury odpowiednio zadziałały. Natomiast regularność w realizacji tych przedsięwzięć pozwala badać postępy użytkowników i doskonalić organizację w tym obszarze.

Aby zagwarantować sobie najwyższy poziom bezpieczeństwa w temacie ochrony przed phishingiem i jego skutkami, najlepiej połączyć siły i wykorzystać wszystkie wspomniane metody:

  • filtrować pocztę elektroniczną, aby już na starcie odsiać znane i ewidentne zagrożenia;

  • szkolić i regularnie sprawdzać pracowników, aby umieli rozpoznawać fałszywe maile;

  • jeśli jakaś osoba już uruchomi podejrzany załącznik, zapewnić sobie wentyl bezpieczeństwa, który spowoduje minimalizację skutków pomyłki.

Zastosowanie rozwiązania systemowego, zapewniającego indywidualne podejście do czynników technologicznych i ludzkich, z pewnością umożliwi osiągnięcie akceptowalnego poziomu ryzyka związanego z zagrożeniami, które niesie za sobą phishing.

W portfolio Atende mamy do dyspozycji własne oraz powstałe przy współpracy z naszymi partnerami kompleksowe rozwiązania, które pozwolą na pełną ochronę organizacji i jej pracowników przed phishingiem oraz jego skutkami. Nasze olbrzymie doświadczenie w tym obszarze daje nam możliwość zaproponowania rozwiązania dostosowanego do potrzeb każdego naszego klienta. Sprawdź nasza ofertę w zakresie bezpeczeństwa w sieci! Zapraszamy do kontaktu!

 

 

Karol Kij, Kierownik Produktu w Dziale Rozwiązań Cyberbezpieczeństwa, Atende