Cyberprzestępcy stosują różne metody, a wśród nich bez trudu można wskazać te, które stosowane są najczęściej. Podobnie jak w przypadku ataków skierowanych na użytkowników prywatnych, ataki na firmy od strony technicznej są realizowane według utartych schematów. Wyzwaniem dla oszustów jest nierzadko stworzenie autentycznie brzmiącej historii i pretekstu, który uda im się wykorzystać podczas kontaktu z wybranym pracownikiem lub całym zespołem. Kluczowa jest tu socjotechnika.
Phishing zbiera żniwo
Aby działanie oszusta okazało się skuteczne, największym wyzwaniem jest często stworzenie wiarygodnej wiadomości e-mail w ramach kampanii phishingowej lub SMS-owej i przekonanie potencjalnej ofiary – tutaj pracownika w korporacji – że musi podjąć jakieś działania pod wskazanym pretekstem.
Dalsza część artykułu pod materiałem wideo
Takie wiadomości przybierają przeróżne formy; zaczynając od spreparowanych e-maili z "fakturami" w załączniku, na rzekomej konieczności aktualizacji danych pod podanym linkiem kończąc. Niestety to człowiek i jego zaufanie do wiarygodnie brzmiących komunikatów jest najczęściej najsłabszym ogniwem całego łańcucha zabezpieczeń – o czym wspominają wielokrotnie badacze bezpieczeństwa, także w korporacjach.
Machinalne wykonywanie tych samych czynności na co dzień czy obowiązek reagowania na wszystkie wiadomości e-mail z załącznikami mogą sprawić, że mimo braku złych intencji pracownik otworzy zainfekowany PDF i wprowadzi malware do firmowej sieci albo odwiedzi link prowadzący do "faktury", skąd nieświadomie pobierze archiwum z wirusem.
Ransomware to wymierna korzyść
Phishing sam w sobie to tylko pierwsza część ataku, skupiona głównie na manipulacji. Pracownik musi uwierzyć, że kliknięcie linku czy pobranie załącznika jest konieczne. Dopiero wtedy właściwy atak ma szansę powodzenia. Atakujący chętnie sięgają na tym etapie po oprogramowanie ransomware.
To spreparowany malware, który wykrada dane i blokuje komputer w taki sposób, by firma nie była w stanie z niego korzystać bez spełnienia warunków podawanych przez atakującego. Na tym etapie chodzi oczywiście o pieniądze. Cyberprzestępca żąda okupu w zamian za odblokowanie komputerów i obietnicę, że wykradzione dane nie ujrzą światła dziennego.
Niestety, w takich przypadkach trudno o jednoznaczną rekomendację właściwego zachowania. W idealnym świecie do ataku w ogóle nie powinno dojść, ale gdy komputery zostały już zainfekowane, właściwa reakcja może zależeć od polityki firmy. Z jednej strony spełnienie żądań atakującego to utwierdzenie go w przekonaniu, że jego atak miał sens i brak pewności, czy faktycznie wywiąże się z obietnicy. Z drugiej strony brak reakcji może skutecznie utrudnić dalsze obsługiwanie klientów i narazić na szwank reputację firmy, jeśli dane trafią w ręce osób trzecich. Teoretycznie ich odzyskiwanie nie powinno być z kolei konieczne, o ile w firmie zadbano o backup danych.
Komputer w firmie poza internetem? Oszuści mają sposób
Wydawać by się więc mogło, że dobrym, a przynajmniej jednym z wielu sposobów zabezpieczenia środowiska pracy od wirusów, jest odcięcie danego komputera od internetu. Niestety, w praktyce sprawa jest dużo bardziej skomplikowana, a cyberprzestępcy i tak mają swoje sposoby, by odczytywać cenne dane z komputerów i wprowadzać do nich zainfekowane oprogramowanie.
Jednym z wielu problemów w tym zakresie jest swoboda w korzystaniu z przenośnych pamięci, które pracownicy podłączają do komputerów w pracy (i nie tylko). Dla atakujących to skuteczny sposób na wprowadzenie szkodliwego oprogramowania do firmowej sieci, nawet gdy dany komputer nie jest podłączony do internetu. Wystarczy odpowiednio zaplanowany atak socjotechniczny na wybranego pracownika w jego prywatnym komputerze.
Reszta to kwestia czasu. Pracownik może podłączyć do komputera w firmie pendrive’a ze spreparowanym dokumentem, nieświadomie uruchomić w nim makra i wprowadzić do komputera fałszywe oprogramowanie lub w pełnie inny sposób zainfekować sprzęty w firmowej sieci. Ciekawe rozwiązanie z punktu widzenia atakujących to wykorzystanie na przykład drukarek, jako słabo zabezpieczonych urządzeń najczęściej działających w ramach tej samej sieci firmowej.
Najsłabsze ogniwo to człowiek
Niezależnie od stopnia zaangażowania administratorów w firmach do ochrony komputerów od strony technicznej i oprogramowania, niezmiennie najsłabszym ogniwem całego łańcucha bezpieczeństwa w korporacjach pozostaje człowiek. Atakujący wykorzystują mniej lub bardziej wyrafinowane oprogramowanie, ale rozpowszechniają je w stosunkowo prosty sposób – wykorzystując socjotechnikę, powtarzalny phishing i nierzadko manipulację w wiadomościach e-mail.
Dla bezpieczeństwa kluczowe jest więc przede wszystkim szkolenie personelu i uświadomienie mu, że to od niego w największej mierze zależy, czy firma będzie musiała mierzyć się ze skutkami ataku, czy nie.