Każda firma potrzebuje solidnej ochrony przed cyberzagrożeniami, jednak warto pamiętać, że oprogramowanie antywirusowe nie jest lekarstwem na całe zło. Główną przyczyną powodzenia cyberataków na firmy pozostaje niezmiennie błąd ludzki – np. pracownik klika niebezpieczny link, aktywuje makro w dokumencie Worda czy pobiera zainfekowany plik. W niektórych przypadkach cyberprzestępcy w ogóle nie muszą używać złośliwego oprogramowania – zdobywają dostęp do firmowej infrastruktury ofiary wyłącznie z użyciem socjotechniki i legalnych narzędzi. Przyjrzyjmy się takim sytuacjom.
E-mail z załącznikiem, ale bez złośliwego programu
Jakiś czas temu w mediach pojawiła się informacja o aktywności cybergangu Luna Moth, która specjalizuje się w kradzieży danych korporacyjnych i szantażach. Unikatową cechą tych przestępców jest fakt, że pozyskują oni informacje bez użycia złośliwego oprogramowania.
Atak na potencjalną ofiarę zaczyna się od klasycznego oszukańczego e-maila. Przestępcy udają, że są przedstawicielami jakiejś usługi online i chcą przekonać odbiorców, że zapisali się na subskrypcję, a płatność zostanie pobrana następnego dnia. Jeżeli pracownik atakowanej firmy chce anulować pobranie środków lub uzyskać więcej informacji, musi zadzwonić pod numer, który został podany w pliku załączonym do wiadomości e-mail.
Mogłoby się wydawać, że to właśnie ten dokument jest zasadniczym narzędziem w ataku. Jednak nie – wbrew oczekiwaniom, plik nie zawiera żadnego złośliwego oprogramowania i oprogramowanie antywirusowe raczej pozwoli użytkownikowi na jego otwarcie. Na tym etapie ataku przestępcy chcą, by ofiara po prostu zadzwoniła pod podany numer. Jeżeli tak się stanie, atakujący zmanipulują ofiarę, by zainstalowała na komputerze narzędzie zdalnej administracji, prawdopodobnie pod pretekstem chęci udzielenia zdezorientowanej osobie pomocy w anulowaniu subskrypcji. Technicznie rzecz biorąc, narzędzia zdalnej administracji jako takie nie są złośliwym oprogramowaniem i większość antywirusów nie blokuje ich uruchamiania, chociaż niektóre ostrzegają o potencjalnym niebezpieczeństwie. W rezultacie cyberprzestępcy uzyskują zdalny dostęp i kontrolę nad komputerem ofiary.
Warto zwrócić uwagę, że w wielu przypadkach atakujący instalują na urządzeniu więcej niż jedno narzędzie zdalnej administracji, zatem gdy jedno z nich zostanie usunięte, będą mogli ponownie przejąć kontrolę. A gdy to już się stanie, przestępcy często instalują dodatkowe narzędzia, by infiltrować infrastrukturę, uzyskiwać dostęp do dalszych zasobów i wyprowadzać skradzione dane.
Oszustwo telefoniczne na poziomie korporacyjnym
Jeszcze bardziej nietypowy schemat oszustwa spotkał amerykańską firmę telekomunikacyjną Verizon. Anonimowy haker ujawnił, że podszywając się pod członka wewnętrznego działu pomocy technicznej przekonał pracownika sieci Verizon, by ten przyznał mu zdalny dostęp do firmowego komputera. Na urządzeniu haker miał uruchomić wewnętrzne narzędzie do przetwarzania informacji o pracownikach i przy użyciu własnego skryptu wyciągnąć imiona i nazwiska, adresy e-mail, identyfikatory firmowe oraz numery telefonów setek osób.
Verizon potwierdził, że haker skontaktował się z firmą i zażądał zapłacenia 250 000 dolarów, grożąc, że opublikuje skradzione dane. Firma jednak zaprzeczyła, że wśród tych danych znalazły się jakiekolwiek istotne informacje. Jak było naprawdę najprawdopodobniej nigdy się nie dowiemy.
Jaką lekcję możemy wyciągnąć z tych przypadków?
Morał jest dość oczywisty: jeżeli twoi pracownicy nie są zaznajomieni z trikami stosowanymi w atakach socjotechnicznych, korporacyjne dane nie będą bezpieczne, nawet gdy twoja firma jest wyposażona w aktualne, nowoczesne i solidne rozwiązania bezpieczeństwa IT. Z tego powodu firmowa strategia ochrony IT powinna obejmować nie tylko instalacje narzędzi technologicznych, ale także podnoszenie świadomości personelu w zakresie cyberbezpieczeństwa.
Zabezpiecz komputery w firmie:
