Złodziej w mailu do prezesa

mat. pras.

Poczta elektroniczna stała się jedną z podstawowych i najbardziej uniwersalnych metod komunikacji zarówno w firmach, jak i w organizacjach sektora publicznego. Przestępcy potrafią to skutecznie wykorzystać.

E-mail jest bardzo szybki – niezależnie od odległości, wiadomość zwykle dociera do adresata w ciągu kilku sekund, czasem minut – co w gospodarce ma ogromną wagę, gdyż pozwala przyspieszyć niemal wszystkie procesy biznesowe. Poza tym, w przeciwieństwie do rozmowy telefonicznej czy osobistej, jest to jednak forma pisemna. Dlatego poczta elektroniczna niemal całkowicie wyparła tradycyjne przesyłki listowe i faksy, których zastosowanie zostało ograniczone do bardzo specyficznych sytuacji.

Niestety, cyberprzestępcy dobrze wiedzą, że choć mailom ufamy, to można je stosunkowo łatwo sfałszować – zwłaszcza jeżeli ofiara nie jest odpowiednio chroniona przez systemy bezpieczeństwa i nie jest dostatecznie uważna. Nic dziwnego, że wg raportu „Spear Phishing: Top Threats and Trends Vol. 5 – Najlepsze praktyki obrony przed ewoluującymi atakami” firmy Barracuda Networks, ataki wykorzystujące pocztę elektroniczną przeciwko „grubym rybom”, także członkom zarządów i innym decydentom – tzw. BEC, od ang. Business Email Compromise – stają się coraz częstsze. O ile w 2019 r. stanowiły ok. 7 proc. wszystkich ataków typu spear phishing, o tyle w roku ubiegłym było to już 12 proc.

Specyfika środowiska menedżerskiego powoduje też, że ataki BEC często mają więcej wspólnego z metodami manipulacji społecznej niż z typowymi zagrożeniami związanymi z IT. Na przykład większość (ponad 70 proc.) typowych ataków typu spear-phishing, mających nakłonić zwykle dość anonimową ofiarę do określonego działania, zawiera złośliwe adresy URL, które w razie kliknięcia pozwalają napastnikom szybko zainfekować komputer ofiary. Tymczasem wśród ataków BEC jakikolwiek odsyłacz jest w niespełna co trzecim mailu. Ewidentnie przestępcy starają się zdobyć zaufanie ofiary i przyzwyczaić ją do swojej obecności, aby właściwy atak przeprowadzić dopiero na późniejszym etapie. I to niekoniecznie metodami „komputerowymi”: celem takiego ataku może być np. spowodowanie wykonania przelewu, dokonanie oszukańczej transakcji, zmiana danych konta bankowego w systemie realizującym przelewy czy wysłanie dokumentów. Innymi słowy – oszustwo „na wnuczka” tylko w innym entourage’u.

Co ciekawe, według wspomnianego raportu firmy Barracuda, aż co siódmy atak przeprowadzono przy pomocy wcześniej przejętego konta w ramach organizacji. Pozwala to przestępcom podszywać się pod pracownika, dostawcę lub inną zaufaną osobę oraz odnosić się do wcześniejszej korespondencji, dzięki czemu dla potencjalnej ofiary mail może wyglądać bardzo wiarygodnie. Często napastnicy dostosowują się do godzin pracy swojej ofiary, np. odpowiadają na maile o odpowiednich porach, żeby oszustwo było bardziej wiarygodne. Takie skomplikowane, wieloetapowe, czasochłonne i przez to kosztowne działania są uzasadnione tylko wtedy, gdy spodziewane korzyści dla przestępcy – albo dla jego mocodawców – są bardzo wysokie. To już nie jest próba wyłudzenia kilkudziesięciu złotych za przysłowiową „cegłę”, tu gra idzie o znacznie poważniejszą stawkę.

Czy takie ataki łatwo wykryć? Nie – dlatego są takie niebezpieczne. Czy można się przed nimi bronić? Tak – ale trzeba to robić równocześnie na kilku frontach. Z jednej strony, należy stosować odpowiednie zabezpieczenia techniczne, z drugiej – zadbać o najsłabsze ogniwo w tym łańcuchu, czyli o człowieka. Także o prezesa.

Często napastnicy dostosowują się do godzin pracy swojej ofiary, np. odpowiadają na maile o odpowiednich porach, żeby oszustwo było bardziej wiarygodne

Skuteczna obrona techniczna wymaga coraz głębszej analizy maili, której nie podołają tradycyjne bramki pocztowe analizujące tylko maile przychodzące i wysyłane z firmy. Ze względu na ryzyko nieuprawnionego wykorzystania kont pracowników należy analizować także maile wewnętrzne. Trzeba też szukać wzorców regularnej komunikacji i zwracać uwagę na pojawiające się anomalie. Na przykład, jeżeli do osoby niezajmującej się finansami przychodzi faktura lub ponaglenie w sprawie płatności od firmy, która nie jest naszym kontrahentem – jest to podejrzane i powinno zwrócić uwagę. Taka analiza wymaga jednak stałego dostępu do skrzynek pocztowych pracowników poprzez dedykowane API. Tak działa np. rozwiązanie Barracuda Sentinel, które dzięki pełnej integracji z platformą Microsoft 365 zasila w ten sposób mechanizmy głębokiego uczenia i sztucznej inteligencji, dzięki czemu nieustannie się uczy obserwując reakcje pracowników i na bieżąco dostosowuje się do zmieniających się warunków działania organizacji.

Z drugiej strony, konieczne jest wdrożenie skutecznego programu szkoleń dla pracowników, które pozwolą im nauczyć się rozpoznawać podejrzane maile i właściwie na nie reagować. Metody oparte na socjotechnice – jak np. maile rzekomo zawierające informacje na temat Covid-19 od samego początku pandemii – są tak chętnie stosowane przez przestępców, ponieważ skuteczne systemy bezpieczeństwa praktycznie uniemożliwiają ataki oparte na wykorzystaniu słabości samej techniki.

Lecz najtrudniejszym zadaniem może okazać się przekonanie osób na wysokich stanowiskach, że one też powinny poddać się rygorom związanym z bezpieczeństwem i odbyć stosowne szkolenia. Niestety, często przeceniają one swoje doświadczenie, intuicję oraz źle znoszą ograniczenia czy procedury. Problem ten dotyczy także polskiego rynku. Tymczasem takie właśnie podejście powoduje, że osoby te są szczególnie atrakcyjnym celem dla przestępców i innych oszustów. I tych cyber i tych w realu.

Materiał powstał we współpracy z Barracuda Networks

Tagi:

Mogą Ci się również spodobać

Przychodnia przyszłości w każdym smartfonie. Pomógł koronawirus

Pomoc medyczna w jeden dzień, konsultacje i recepty w aplikacji, do tego punkt opieki ...

Witold M. Orłowski: Libra libre?

Widmo krąży po świecie finansów – widmo nowej rewolucji, i to rewolucji na skalę, ...

Rekordowa strata Ubera

W II kwartale firma oferująca usługi płatnych przejazdów osiągnęła stratę na poziomie 5,24 mld ...

Ścigali bin Ladena, wchodzą na giełdę

Palantir Technologies, jedna z najbardziej tajemniczych spółek technologicznych, zadebiutuje w środę na nowojorskim parkiecie. ...

Apple wycofuje tysiące gier ze swojego chińskiego sklepu

Apple wycofało ponad 2,5 tys. aplikacji z chińskiego App Store. Według informacji agenci Reutera ...

Allegro wycofuje się z podwyżek. Są też ulgi dla sprzedawców

Platforma najpierw wprowadziła darmową dostawę dla wszystkich w ramach programu Smart, teraz ogłasza też ...