Ochrona przed phishing, malware oraz ransomware

Ataki wymierzone w dane w firmie

Phishing, malware oraz ransomware to różne typy ataków, które mogą oddziaływać na systemy oraz urządzenia IT w firmie. Naruszenia bezpieczeństwa danych to sytuacje niepożądane w infrastrukturze IT i mogą rodzić poważne konsekwencje w organizacji.

Istnieje wiele sposobów powstrzymywania złośliwego oprogramowania przed oddziaływaniem na środowisko informatyczne w firmie, ale zanim przedstawimy wybrane możliwości, spróbujemy wstępnie określić sposób działania ataków malware.

Malware to szerokie pojęcie oznaczające złośliwe oprogramowanie, które stworzone zostało do realizacji ataków wymierzonych w dane, wśród których wyróżnić możemy popularne ostatnio ataki ransomware.

Phishing to działanie wymierzone najczęściej w użytkowników infrastruktury IT w firmie, mające na celu zebranie wrażliwych danych, które w dalszej kolejności mogą zostać wykorzystane do realizacji innych szkodliwych działań lub osiągnięcia wyznaczonych celów przez przestępców.

Czym jest phishing?

Phishing jest cyberprzestępstwem, w którym hackerzy atakują użytkowników w firmie za pomocą wiadomości e-mail lub sms spreparowanych z wykorzystaniem technik inżynierii społecznej w celu wywołania określonego działania u ofiary zgodnego z zamierzeniami przestępców. Często w atakach phishing wywoływane jest przeświadczenie, że kontakt pochodzi od legalnej, znanej i zaufanej instytucji (np. bank, firma ubezpieczeniowa).

Podczas ataków phishing użytkownicy skłaniani są do udostępnienia wrażliwych danych (np. poświadczenia do kont w serwisach lub usługach online, dane kart kredytowych). Skutkiem takiego udostępnienia wrażliwych danych mogą być straty finansowe, kradzieże środków z kont bankowych lub przejęcie tożsamości użytkowników w serwisach społecznościowych itp.

Ze względu na potencjalną dotkliwość skutków ataków phishing, zaleca się prewencyjne uświadamianie pracowników w firmie korzystających z komputerów o niebezpieczeństwach związanych z phishingiem oraz o sposobach minimalizowania szans na stanie się ofiarą takich działań.

•   wywoływanie poczucia pośpiechu w komunikacji – przestępcy często naciskają w wiadomościach e-mail lub sms na konieczność udzielenia odpowiedzi w krótkim czasie,
•   zawarte w wiadomościach hiperłącza – linki przekazane w komunikacji mogą okazać się niebezpieczne, zawsze należy przyjrzeć się adresowi strony, który chcemy kliknąć, zwracając szczególną uwagę na dziwne modyfikacje związane z brakującymi literami w słowach lub literówkami,
•   niewiarygodna na pierwszy rzut oka treść – wiadomości, które deklarują przyznanie nagrody lub wysokich korzyści materialnych itp.
•   załączniki – jeśli załączony plik wygląda podejrzanie, ma dziwną nazwę lub nietypowy dla załączanych do wiadomości plików format, nie zaleca się klikania w załącznik lub zapisywania na dysku komputera,
•   nieznany nadawca – warto zachować czujność wobec wiadomości od nieznanych nadawców, trzeba również uważnie sprawdzić adres mailowy nadawcy na wypadek podszywania się pod kogoś znanego (współpracownika, kontrahenta).

Czym jest malware?

Malware (malicious software) to określenie używane w odniesieniu do złośliwego oprogramowania. Malware ma na celu zaburzyć działanie lub uszkodzić system komputerowy albo wykraść dane.

Działanie malware często uwzględnia uzyskanie nieautoryzowanego dostępu do urządzeń w sieci komputerowej (komputery, serwery). Dlatego istotnym jest podejmowanie aktywnych działań w celu ochrony infrastruktury IT w firmie przed atakami malware.

Malware zwykle uzyskuje dostęp do danych po wykonaniu określonej aktywności przez użytkownika. Kliknięcie w link znajdujący się w wiadomości e-mail lub na stronie www może skutkować zainfekowaniem komputera złośliwym oprogramowaniem.

Malware potrafi uzyskać dostęp do systemu operacyjnego i rozpocząć rozprzestrzenianie się w sieci komputerowej firmy, co może skutkować narastaniem skali potencjalnego problemu.

Bywa, że w pierwszej fazie ataku malware użytkownik nie jest w stanie stwierdzić, że komputer jest zainfekowany złośliwym oprogramowaniem. Po jakimś czasie objawy zaburzeń pracy systemu mogą świadczyć o obecności malware na komputerze (np. zatrzymania działania systemu operacyjnego, akcje podejmowane bez inicjatywy użytkownika).

Malware może przyjmować różne formy, które uzyskały swoje własne określenia w branży IT.

•   wirusy – aplikacje mogące się kopiować i dołączające swój kod do plików w systemie,
•   robaki (worm) – wirusy instalujące tzw, backdoory, co pozwala kontrolować w zdalny sposób komputer ofiary i wykorzystywać go do przeprowadzania innych działań (np. ataków DDoS),
•   trojany (trojan) – wirus udający użyteczne lub pomocne oprogramowanie, w rzeczywistości uszkadzający system operacyjny lub kradnący dane,
•   Bot/Botnet – sieć komputerów zainfekowanych złośliwym oprogramowaniem, nad którą hacker posiada zdalną kontrolę w celu realizacji innych działań (np. wysyłanie spamu, rozprzestrzenianie wirusów, atakowanie DDoS) bez wiedzy ofiary,
•   Ransomware – oprogramowanie szyfrujące nośniki danych na komputerach lub serwerach w celu wymuszenia okupu za usuniecie blokady,
•   Adware – złośliwe aplikacje reklamowe, wyświetlające użytkownikowi komputera komunikaty promocyjne,
•   Spyware – oprogramowanie gromadzące nielegalnie dane dotyczące użytkownika, dotyczące jego aktywności lub poufne informacje (np. numery kart kredytowych), następnie przekazujące te dane osobom trzecim za pomocą Internetu,
•   Spam – niechciane wiadomości pojawiające się w skrzynkach mailowych, komunikatorach lub w formie sms, często zawierające oferty reklamowe, ale mogące również zawierać złośliwe linki lub załączniki,
•   Rootkit – oprogramowanie stworzone do zainfekowania komputera i zainstalowania na nim narzędzi gwarantujących trwały i zdalny dostęp na poziomie administratora systemu,
•   Logic Bomb – złośliwy kod umieszczony w oprogramowaniu, który aktywuje się przy spełnieniu określonych warunków lub w konkretnie określonym dniu,
•   Keylogger – oprogramowanie monitorujące zachowanie poprzez rejestrowanie naciskanych przez użytkownika klawiszy na klawiaturze.

Czym jest ransomware?

Ransomware to rodzaj malware, który zasługuje na szczególną uwagę w ostatnim czasie, ze względu na mnogość występowania prób ataków.

Ransomware to złośliwe oprogramowanie szyfrujące, które ma za zadanie odebrać dostęp użytkownikom do systemu operacyjnego lub do danych. Po zaszyfrowaniu danych na komputerze lub serwerze ofiary, przestępca żąda okupu za przywrócenie możliwości dostępu.

Silna szkodliwość tego typu działań hackerów bierze się z kierowanych w stronę firm żądań finansowych (często w formie płatności z wykorzystaniem kryptowalut), które mogą być bardzo wysokie i dotkliwe. Pojawia się wówczas bardzo trudna sytuacja decyzyjna dla firmy. Trzeba również wziąć pod uwagę, że każdy zapłacony okup za dane napędza chęci przestępców do kontynuowania procederu wobec innych podmiotów.

Ransomware może uzyskać dostęp do komputera lub serwera na wiele sposobów. Administrator IT powinien uświadamiać użytkownikom, by nie otwierali załączników lub nie klikali w linki w wiadomościach e-mail, które nie wzbudzają zaufania. Systemy komputerowe należy zabezpieczyć oprogramowaniem antywirusowym,a lokalną sieć komputerową w firmie wyposażyć w firewall nowej generacji lub zabezpieczenia DNS.

Należy również pamiętać o najważniejszym aspekcie aktywności zarządzania infrastrukturą IT, która może mieć wpływ na szanse wyjścia bez większego szwanku z ataku ransomware. Kopie bezpieczeństwa danych powinny być wykonywane regularnie i przechowywane również w wersji offline.

Zapobieganie atakom phishing, malware, ransomware

Pierwszym ważnym krokiem jest uświadamianie użytkowników w firmie o potencjalnych zagrożeniach. Nawet najlepsze systemy zabezpieczające sieć komputerową i komputery nie dadzą 100% ochrony, jeśli użytkownicy będą swoimi zachowaniami generowali niepotrzebne zagrożenia.

Świadomość możliwych zagrożeń, jakie niesie ze sobą otwieranie podejrzanych załączników lub klikanie w niesprawdzone linki, zdecydowanie ułatwi eliminowanie możliwości pojawienia się złośliwego oprogramowania zaliczanego do malware w środowisku IT firmy, takiego jak ransomware lub służącego do wyłudzania wrażliwych danych w atakach phishing.

Dodatkowo warto rozważyć przeniesienie usługi poczty e-mail do bezpiecznego środowiska w chmurze, dedykowanego dla firm, które ograniczy możliwość dostępu przez użytkowników do szkodliwych zawartości wiadomości niosących złośliwe linki lub załączniki.

W oparciu o obserwacje i doświadczenia, stworzona została lista prostych zaleceń dla użytkowników, które mogą zwiększyć bezpieczeństwo IT w organizacji.

•   warto rozważyć korzystanie z usług safe browsing (ochrona urządzeń za pomocą ostrzeżeń dla użytkowników, którzy chcą odwiedzić niebezpieczną witrynę lub pobrać niebezpieczne pliki),
•   warto zabezpieczyć usługę e-mail lub zmigrować pocztę do Exchange Online, który standardowo wyposażony jest w filtry chroniące przed malware, phishingiem lub ransomware,
•   warto przyglądać się załącznikom przed próbą ich otwarcia,
•   należy unikać klikania w nieznane linki, które mogą być niebezpieczne (co do których nie ma pewności, że są bezpieczne),
•   należy wylogować się z usługi w przeglądarce po zakończeniu korzystania,
•   należy korzystać z silnych haseł i regularnie je zmieniać,
•   warto rozważyć korzystanie z managera haseł,
•   należy korzystać z zabezpieczonych połączeń – symbol kłódki po lewej stronie adresu URL,
•   należy unikać odwiedzania adresów www zaczynających się z “http” zamiast “https”,
•   należy aktualizować systemy operacyjne komputerów, przeglądarki internetowe oraz wtyczki,
•   warto korzystać z wtyczek “kliknij aby odtworzyć”, by uniemożliwić działanie Flasha i Javy, chyba, że użytkownik na to pozwoli,
•   należy stosować wielowarstwową ochronę sieci komputerowej (firewall, ochrona DNS, oprogramowanie antywirusowe),
•   warto mieć świadomość mechanizmów socjotechniki (social engineering) wykorzystywanych przez przestępców,
•   warto mieć ograniczone zaufanie do treści wzbudzających jakiekolwiek podejrzenia, w razie wątpliwości konsultować się z administratorem IT w firmie,
•   warto mieć świadomość o możliwości wystąpienia połączeń telefonicznych do firmy z fałszywych numerów pomocy technicznej,
•   warto zachować ostrożność przy jakichkolwiek prośbach o podanie danych osobistych w formie tekstu,
•   warto mieć świadomość oszustw związanych z pomocą techniczną (np. wykrywanie wirusa i prośba o pieniądze w zamian za usunięcie),
•   należy korzystać ze sprawdzonego, markowego oprogramowania antywirusowego na komputerach i serwerach w firmie,
•   warto rozważyć stosowanie monitoringu pracy komponentów IT w infrastrukturze IT w firmie.