Złodziej w mailu do prezesa

mat. pras.

Poczta elektroniczna stała się jedną z podstawowych i najbardziej uniwersalnych metod komunikacji zarówno w firmach, jak i w organizacjach sektora publicznego. Przestępcy potrafią to skutecznie wykorzystać.

E-mail jest bardzo szybki – niezależnie od odległości, wiadomość zwykle dociera do adresata w ciągu kilku sekund, czasem minut – co w gospodarce ma ogromną wagę, gdyż pozwala przyspieszyć niemal wszystkie procesy biznesowe. Poza tym, w przeciwieństwie do rozmowy telefonicznej czy osobistej, jest to jednak forma pisemna. Dlatego poczta elektroniczna niemal całkowicie wyparła tradycyjne przesyłki listowe i faksy, których zastosowanie zostało ograniczone do bardzo specyficznych sytuacji.

Niestety, cyberprzestępcy dobrze wiedzą, że choć mailom ufamy, to można je stosunkowo łatwo sfałszować – zwłaszcza jeżeli ofiara nie jest odpowiednio chroniona przez systemy bezpieczeństwa i nie jest dostatecznie uważna. Nic dziwnego, że wg raportu „Spear Phishing: Top Threats and Trends Vol. 5 – Najlepsze praktyki obrony przed ewoluującymi atakami” firmy Barracuda Networks, ataki wykorzystujące pocztę elektroniczną przeciwko „grubym rybom”, także członkom zarządów i innym decydentom – tzw. BEC, od ang. Business Email Compromise – stają się coraz częstsze. O ile w 2019 r. stanowiły ok. 7 proc. wszystkich ataków typu spear phishing, o tyle w roku ubiegłym było to już 12 proc.

Specyfika środowiska menedżerskiego powoduje też, że ataki BEC często mają więcej wspólnego z metodami manipulacji społecznej niż z typowymi zagrożeniami związanymi z IT. Na przykład większość (ponad 70 proc.) typowych ataków typu spear-phishing, mających nakłonić zwykle dość anonimową ofiarę do określonego działania, zawiera złośliwe adresy URL, które w razie kliknięcia pozwalają napastnikom szybko zainfekować komputer ofiary. Tymczasem wśród ataków BEC jakikolwiek odsyłacz jest w niespełna co trzecim mailu. Ewidentnie przestępcy starają się zdobyć zaufanie ofiary i przyzwyczaić ją do swojej obecności, aby właściwy atak przeprowadzić dopiero na późniejszym etapie. I to niekoniecznie metodami „komputerowymi”: celem takiego ataku może być np. spowodowanie wykonania przelewu, dokonanie oszukańczej transakcji, zmiana danych konta bankowego w systemie realizującym przelewy czy wysłanie dokumentów. Innymi słowy – oszustwo „na wnuczka” tylko w innym entourage’u.

Co ciekawe, według wspomnianego raportu firmy Barracuda, aż co siódmy atak przeprowadzono przy pomocy wcześniej przejętego konta w ramach organizacji. Pozwala to przestępcom podszywać się pod pracownika, dostawcę lub inną zaufaną osobę oraz odnosić się do wcześniejszej korespondencji, dzięki czemu dla potencjalnej ofiary mail może wyglądać bardzo wiarygodnie. Często napastnicy dostosowują się do godzin pracy swojej ofiary, np. odpowiadają na maile o odpowiednich porach, żeby oszustwo było bardziej wiarygodne. Takie skomplikowane, wieloetapowe, czasochłonne i przez to kosztowne działania są uzasadnione tylko wtedy, gdy spodziewane korzyści dla przestępcy – albo dla jego mocodawców – są bardzo wysokie. To już nie jest próba wyłudzenia kilkudziesięciu złotych za przysłowiową „cegłę”, tu gra idzie o znacznie poważniejszą stawkę.

Czy takie ataki łatwo wykryć? Nie – dlatego są takie niebezpieczne. Czy można się przed nimi bronić? Tak – ale trzeba to robić równocześnie na kilku frontach. Z jednej strony, należy stosować odpowiednie zabezpieczenia techniczne, z drugiej – zadbać o najsłabsze ogniwo w tym łańcuchu, czyli o człowieka. Także o prezesa.

Często napastnicy dostosowują się do godzin pracy swojej ofiary, np. odpowiadają na maile o odpowiednich porach, żeby oszustwo było bardziej wiarygodne

Skuteczna obrona techniczna wymaga coraz głębszej analizy maili, której nie podołają tradycyjne bramki pocztowe analizujące tylko maile przychodzące i wysyłane z firmy. Ze względu na ryzyko nieuprawnionego wykorzystania kont pracowników należy analizować także maile wewnętrzne. Trzeba też szukać wzorców regularnej komunikacji i zwracać uwagę na pojawiające się anomalie. Na przykład, jeżeli do osoby niezajmującej się finansami przychodzi faktura lub ponaglenie w sprawie płatności od firmy, która nie jest naszym kontrahentem – jest to podejrzane i powinno zwrócić uwagę. Taka analiza wymaga jednak stałego dostępu do skrzynek pocztowych pracowników poprzez dedykowane API. Tak działa np. rozwiązanie Barracuda Sentinel, które dzięki pełnej integracji z platformą Microsoft 365 zasila w ten sposób mechanizmy głębokiego uczenia i sztucznej inteligencji, dzięki czemu nieustannie się uczy obserwując reakcje pracowników i na bieżąco dostosowuje się do zmieniających się warunków działania organizacji.

Z drugiej strony, konieczne jest wdrożenie skutecznego programu szkoleń dla pracowników, które pozwolą im nauczyć się rozpoznawać podejrzane maile i właściwie na nie reagować. Metody oparte na socjotechnice – jak np. maile rzekomo zawierające informacje na temat Covid-19 od samego początku pandemii – są tak chętnie stosowane przez przestępców, ponieważ skuteczne systemy bezpieczeństwa praktycznie uniemożliwiają ataki oparte na wykorzystaniu słabości samej techniki.

Lecz najtrudniejszym zadaniem może okazać się przekonanie osób na wysokich stanowiskach, że one też powinny poddać się rygorom związanym z bezpieczeństwem i odbyć stosowne szkolenia. Niestety, często przeceniają one swoje doświadczenie, intuicję oraz źle znoszą ograniczenia czy procedury. Problem ten dotyczy także polskiego rynku. Tymczasem takie właśnie podejście powoduje, że osoby te są szczególnie atrakcyjnym celem dla przestępców i innych oszustów. I tych cyber i tych w realu.

Materiał powstał we współpracy z Barracuda Networks

Tagi:

Mogą Ci się również spodobać

Automaty i roboty mocniej pożądane nad Wisłą

W Polsce najbardziej widać postęp automatyzacji w handlu, gdzie mamy wysyp kas samoobsługowych, oraz ...

Udany debiut Alibaby. Firma ma pieniądze na nowe przedsięwzięcia

We wtorek na giełdzie w Hongkongu zadebiutował Alibaba, chiński gigant handlu internetowego, do którego ...

Polski bank pamięci ma podbić Amerykę

Twórca startupu Kristalic zbudował innowacyjny biznes w San Francisco. Ale droga do sukcesu była ...

Sztuczna inteligencja pomaga w walce z nałogiem

Pierwsza w Europie aplikacja oceni prawdopodobieństwo złamania abstynencji i samodzielnie zaproponuje optymalną terapię. Polski ...

Być niczym Blik, Netflix i Uber

Warszawski startup stworzył algorytmy, które mają przenieść sektor leasingu do świata cyfrowego, w którym ...

IKEA idzie w internet

Koncern ogłosił plan globalnej transformacji. Stawia na mocniejszą obecność w kanale internetowym, który daje ...