Ochrona firmy przed atakami phishing

11 sierpnia 2020

Exanet phishing protection

Co to jest phishing?

Phishing jako rodzaj cyberataków

Phishing to coraz bardziej popularny rodzaj ataków w sieci, o których nie wszyscy użytkownicy komputerów w organizacjach mogą posiadać wystarczającą wiedzę. Ataki klasyfikowane jako phishing polegają na przesyłaniu do użytkowników fałszywej komunikacji, która na pierwszy rzut oka jawi się, jako pochodząca ze sprawdzonego źródła.

Najczęstszym kanałem komunikacji wykorzystywanym do ataków typu phishing jest e-mail. Celem ataków phishing jest kradzież wrażliwych danych, jak na przykład dane logowania lub dane karty kredytowej, albo instalacja złośliwego oprogramowania (malware) w systemie operacyjnym urządzenia ofiary.

protect e-mail service against phishing messages

Jak działa phishing?

Atak phishing rozpoczyna się wraz z przygotowaniem fałszywej wiadomości e-mail lub innej formy komunikacji, która stworzona jest do tego, aby skłonić użytkownika do wykonania konkretnego działania powodującego w rezultacie wyjawienie ważnych informacji.

Wiadomość jest zaprojektowana w taki sposób, że zwykłemu użytkownikowi trudno jest zauważyć fakt, że komunikacja nie pochodzi od zaufanego nadawcy. Ofiara ataku jest zmylona i nakłoniona do wyjawienia poufnych informacji, często za pomocą podstawionych przez oszustów stron internetowych. Bardzo często na komputerze ofiary instalowane jest złośliwe oprogramowanie.

username and password

Niebezpieczeństwa związane z atakami phishing

Czasami atakujący zadowalają się pozyskaniem danych karty kredytowej lub danych osobowych w celu odniesienia korzyści finansowych w dalszej fazie przestępstwa.

Często jednak wiadomości e-mail będące składowym elementem ataków phishing służą do uzyskania danych do logowania pracownika firmy w celu wykorzystania w zaawansowanym ataku skierowanym przeciw konkretnemu przedsiębiorstwu. Ataki phishing są zatem często krokiem w celu przygotowania ataków APT (advanced persistant threats) lub ransomware.

credit card protect

Jak chronić się przed phishing?

Jednym z bardzo ważnych czynników służących ochronie organizacji przed atakami typu phishing jest edukacja użytkowników. Szkolenia uświadamiające zagrożenia związane z cyberatakami powinny być regularnie realizowane dla wszystkich pracowników.

Obserwacje pokazują, że częstym celem ataków phishing są kierownicy średniego lub wyższego szczebla w dużych organizacjach. Bardzo ważne, by wszyscy pracownicy mieli świadomość tego, jak działa phishing i posiadali podstawową wiedzę pozwalającą na rozpoznanie fałszywej wiadomości e-mail oraz wiedzieli, jak zachować się w przypadku podejrzenia lub stwierdzenia ataku phishing.

computers at a company

Przykłady ataków phishing

Spear phishing

Spear (ang. włócznia) phishing to atak kierowany na konkretne, pojedyncze osoby. Atakujący przygotowują atak wykorzystując informacje o ofiarach, możliwe do pozyskania na stronach internetowych lub w mediach społecznościowych. Na podstawie zebranych informacji komunikacja jest dostosowywana do profilu danej osoby, wszystko w celu podniesienia poziomu autentyczności.

Atak spear phishing to bardzo często pierwszy krok przestępców do zbadania systemów ochrony IT stosowanych w przedsiębiorstwie. Statystyki podają, że 95% ataków na sieci komputerowe dużych przedsiębiorstw zapoczątkowane było sprawnie przeprowadzonymi atakami spear phishing.

Whaling

Jeśli celem ataku jest osoba wysoko postawiona w strukturze organizacyjnej firmy, mamy do czynienia z atakiem określanym jako whaling (ang. wielorybnictwo). Atakujący skrupulatnie przygotowują atak, poświęcając dużo czasu i energii na stworzenie pełnego profilu planowanej ofiary. Przestępcy planują czas przeprowadzenia ataku oraz niezbędne zasoby potrzebne do przejęcia poświadczeń (login i hasło). Managerowie wysokiego szczebla są atrakcyjnym celem dla hackerów ze względu na często nieograniczony dostęp do informacji przedsiębiorstwa.

Pharming

Atak pharming przekierowuje użytkowników do fałszywej strony internetowej, która podszywa się pod znaną i zaufaną stronę www. Ofiary nie muszą nawet kliknąć w złośliwy link, by znaleźć się na niebezpiecznej, podrobionej stronie internetowej. Atakujący potrafią zainfekować komputer użytkownika lub serwer DNS, by przekierować osobę na fałszywą stronę, nawet jeśli wpisany został prawidłowy URL.

Deceptive pishing

Deceptive (ang. zwodniczy) phishing to najczęściej występująca forma ataku, w którym atakujący próbuje uzyskać poufne informacje użytkowników. Przestępcy wykorzystują pozyskane informacje do kradzieży pieniędzy lub przeprowadzenia kolejnych ataków. Przykładem ataku deceptive phishing są fałszywe wiadomości e-mail od banku internetowego z prośbą o kliknięcie w link w celu zweryfikowania danych do logowania na konto.

Office 365 phishing

Kampanie phishingowe realizowane w celu zdobycia dostępu do konta e-mail w usłudze Microsoft 365 stają się coraz bardziej popularne. Najczęściej przybierają formę fałszywej wiadomości e-mail od Microsoft.

Wiadomość wysyłana przez atakujących zawiera prośbę o zalogowanie się lub o zmianę hasła do konta. Hackerzy często próbują zmylić użytkowników umieszczając w treści fałszywych wiadomości informacje o tym, że pojawił się problem z kontem M365, który wymaga pilnej atencji. W wiadomości znajduje się link zachęcający użytkownika do kliknięcia w celu rozwiązania problemu z kontem.

phishing example web page

Ochrona przed phishing dla firmy

Potrzeba edukacji pracowników firmy

Niestety nie istnieje jedno, pojedyncze rozwiązanie bezpieczeństwa IT, które zagwarantuje pełną ochronę przed atakami phishing. Phishing staje się sporym problemem dla bezpieczeństwa informatycznego, szczególnie w świetle ataków ransomware (wymuszenie okupu za odszyfrowanie zaatakowanych nośników danych), których phishing jest często składowym elementem występującym w fazie przygotowywania właściwego ataku.

Oprócz dedykowanych rozwiązań bezpieczeństwa IT, które należy zastosować w infrastrukturze informatycznej firmy w celu zwiększenia ochrony przed phishing, istotnym i uzupełniającym elementem ochrony jest edukacja i uświadamianie pracowników korzystających z komputerów lub innych urządzeń końcowych.

Gdy atak phishing zdoła przedrzeć się przez stosowane w firmie rozwiązania bezpieczeństwa, wówczas czynnik ludzki jest obszarem poddawanym atakowi i zależnie od poziomu ostrożności, uwagi, pośpiechu użytkownika, może dojść do wyjawienia wrażliwych informacji. Wystarczy jedno niewłaściwe kliknięcie, by umożliwić cyberprzestępcom dostęp do cennych danych firmy.

Wskazówki dla użytkowników

  •  Zawsze sprawdzajmy dane nadawcy oraz adres e-mail.
  •  Bądźmy podejrzliwi wobec wiadomości e-mail oznaczonych jako pilne.
  •  Zwracajmy uwagę na błędy gramatyczne oraz w pisowni w temacie oraz w treści wiadomości.
  •  Ostrożnie traktujmy wiadomości e-mail z ogólnymi zwrotami typu “Szanowna Pani/Panie”.
  •  Nie dajmy zwabić się zwrotami typu “super promocja”, “wyprzedaż”, itd.
  •  Sprawdźmy każdy link zanim klikniemy w celu upewnienia się, że dana strona posiada certyfikat bezpieczeństwa (https://).
  •  Nie wyjawiajmy żadnych informacji osobistych lub finansowych w odpowiedzi na prośbę lub żądanie przesłane w formie wiadomości e-mail.
  •  Nie ufajmy linkom lub załącznikom znajdującym się w niezamawianych wiadomościach e-mail.
Exanet protection against phishing

Cisco Umbrella chroni przed atakami phishing

Dobrą ochronę przed atakami typu phishing kierowanymi na użytkowników w firmie zapewnia właściwie przygotowane środowisko informatyczne, którego kluczowymi komponentami w zakresie bezpieczeństwa sieci są rozwiązania Cisco.

Jedną z propozycji, która współtworzy i jednocześnie doskonale integruje się z systemem rozwiązań bezpieczeństwa Cisco dla firm jest Umbrella. Cisco Umbrella to skuteczne rozwiązanie chmurowe działające na warstwie DNS.

Skuteczność Umbrella w walce z phishingiem polega na tym, że blokuje zagrożenia zanim dotrą do użytkownika, nie zezwalając na nawiązanie połączenia z niebezpiecznym adresem IP, złośliwą stroną, aplikacją chmurową, itd.

Dodatkową zaletą Cisco Umbrella jest szybkość i łatwość uruchomienia w infrastrukturze IT firmy. Administrator otrzymuje możliwość tworzenia polityk bezpieczeństwa oraz integracji rozwiązania z firmowym AD.

Exanet Cisco Umbrella cloud service

Cisco DUO

Cisco DUO to platforma, która zapewnia rozwiązania MFA (multi-factor authentication) dla zwiększenia bezpieczeństwa informatycznego firmy. Uwierzytelnianie wieloskładnikowe służy weryfikacji tożsamości użytkowników zanim udzielony zostaje dostęp do zasobów firmowych oraz aplikacji.

Dodatkowo administrator ma pełny wgląd w sytuację dotyczącą urządzeń, z których realizowany jest dostęp do aplikacji i danych przez użytkowników. Dzięki temu możliwa jest weryfikacja urządzeń zaufanych, zarówno firmowych jak i prywatnych, jeśli polityka bezpieczeństwa w firmie dopuszcza stosowanie własnych urządzeń przez pracowników.

W efekcie wdrożenia i stosowania Cisco DUO uzyskujemy bezpieczne logowanie do aplikacji oraz usług hostowanych w infrastrukturze serwerowej firmy lub w chmurze.

Exanet Cisco DUO