How Much Is The Phish – Pozitív az adathalászok tesztje is

A koronavírus okozta vészhelyzet többszörös megpróbáltatás elé állítja a szervezeteket informatikai téren, és ennek egyik kulcsszereplője a biztonság. A vállalatok, az üzletmenet-folytonosság fenntartása érdekében, számos esetben a munkavállalók otthonaiba „költöztek”, amely átállást gyorsan, és néhány egyéb szempontot az információbiztonsági megfontolások fölé helyezve kellett megtenni. Ugyan, ez gyakran érthető és rövid távon minimalizálja az üzleti kockázatokat, hosszú távon mégis jelentősebb kárt okozhat a nem megfelelően megtervezett távmunka rendszer, ugyanis az elektronikus élet rosszindulatú szereplői rengeteg új lehetőséget kaptak világszerte.
A távoli munkavégzés bevezetése során a szervezeteknek számos kérdést kell megválaszolniuk, mielőtt biztonságosnak tekinthető a folyamat: A távoli kapcsolatok védettek? Az erőforrások szeparáltak és zárt rendszert alkotnak? A monitorozás megoldott? A jogosultságok megfelelően kerültek beállításra? A munkaállomások vírusvédelme megfelelő? Csak, hogy pár követelményt említsünk.
Az elmúlt évek legnagyobb biztonsági incidensei és rendszeres social engineering vizsgálataink egyaránt megerősítenek minket abban, hogy akármilyen helyesen fedjük le a fenti kérdéseket, minden esetben marad egy kétes pont: az emberi tényező. Mivel az emberi pszichológia az egyik legkomplexebb rendszer, rengeteg figyelmet igényel az esetleges sebezhetőségek kezelése, a jelen vészhelyzet pedig csak magasabb szintre emeli ezek kialakulásának lehetőségét az egyénekben, ezért fontosnak tartjuk a felhasználók biztonságtudatosságának lehető legmagasabb szintre emelését, ugyanis a humán faktor az, amely lehetővé teszi, hogy egy kéretlen levél pusztán az maradjon, és ne 40 millió ember bankkártyaadataival¹ , vagy esetleg vállalati dokumentációk ezreivel² fizessünk érte.
Álláspontunk szerint, a biztonságtudatos gondolkodás nem egy állapotot tükröz, hanem egy konstans fejlesztéssel ápolt folyamatot, mivel az egyes támadási vektorokat is a világ aktuális eseményei vezérlik. Ez alól nem kivétel a COVID-19 körüli káosz sem. Mindenki szeretné biztonságban tudni családját, megismerni a jelenlegi lehetőségeit, hozzájutni a pánikvásárlásban kifogyasztott készletekhez. Ezen pszichológiai tényezők felerősödése nyomán nem csoda, hogy megjelentek az őket megcélzó csalások is. Egyéni szinten fenyegetést jelentenek a házalók is, akik felajánlják a lakás vírusmentesítését, de globális keretek közt rendkívül magas kockázatot hordoznak az Interneten felbukkanó támadások, hiszen újabban, aki csak teheti, a világhálón kommunikál munkavégzése során is.
Az Internetes támadások számottevő része phishing üzenetek formájában jelentkezik. Ez azt jelenti, hogy a támadók elektronikus üzenetben valamilyen, a helyzet tükrében magas értéket képviselő személynek vagy szervezetnek adják ki magukat, és az általuk megfertőzött csatolmányban, vagy link mögött kínálnak információt a koronavírus kapcsán.
Az indirekt támadások között gyakran fordulnak például olyan üzenetek, ahol a releváns szereplők (pl. World Health Organization, helyi szakértők) nevével és címével nyugtázzák a mellékelt aktuális fertőzöttségi statisztikát, vagy prevenciós tudnivalókat a vírus kapcsán. Ezek a szcenáriók általában valamilyen malware telepítését vonják maguk után a link, csatolmány megnyitásával.

Elterjedt továbbá a jótékonyságra ösztönző e-mailek felhasználása is, ahol a károsultak segítése az ígéret a felajánlott adományért cserébe, valamint, kedvezményes áron megvásárolható arcmaszkok árusításával is találkoztunk már, azonban ezek valójában a közvetlen haszonszerzést burkolják megnyerő álcába.

A phishing támadások gyakran általános hangvételű üzenetek, amelyek univerzálisan felhasználhatók különböző, de azonos érdekekkel rendelkező embercsoportokra, viszont egy szervezet életében a legkritikusabbak a célzott támadások, amelyek nem csak egy-két felhasználót érinthetnek, hanem a lehető legtöbb munkavállalót célba veszik, akár a partnereket is. Ezek legtöbbször belsős álcával jelentkeznek, például egy járványhelyzetre vonatkozó eljárásrendet hirdetnek, amelyet mindenkinek kötelező elolvasni, vagy akár kedvezmények, juttatások ígéretét lebegtetik a vírus okozta nehézségek enyhítésére.

A phishing kampányok gyakori eleme az adathalász oldalak létrehozása is. Ha a csatolt linkek megnyitása nem is jár a számítógép vírusfertőzésével, annak megnyitása után a felhasználók az esetek jelentős részében találhatják magukat olyan felületen, amely valamilyen azonosító megadására ösztönöz. Ezek az oldalak általában legitim website-ok másolatai, ahol a beviteli mezőkben megadott adatok naplózásra kerülnek jogosulatlan személyek által.

Az alábbi képeken bemutatunk egy általunk készített egyszerű példát egy phishing kampányra:

Phishing üzenet, ami egy elmaszkolt linket tartalmaz

Adathalász oldal

Naplózott adatok

A „nyugodt időkben” végzett phishing vizsgálataink is a legtöbb esetben bebizonyították, hogy a megfelelően kivitelezett támadások kiemelkedő profitot termelhetnek a támadók számára, ezért most különösen fontosnak tartjuk, hogy mindenki figyeljen a részletekre. Ebben az alábbi kérdések megválaszolása szolgálhat segítségül:

  • Feladó – Ismerős a feladó? Helyes a domain kiterjesztése?
  • Címzettek – Csak én kaptam meg ezt az üzenetet? Ismerős a többi címzett?
  • Tárgy – Releváns a szemszögemből? Helyesen szövegezett?
  • Tartalom – Van benne köszöntés és ez általános? Nyelvtanilag megfelelő a szövegezés? Ösztönöz valamilyen egyéb cselekedetre az elolvasáson túl?
  • Csatolmányok – Várható az üzenethez csatolmány? Összefüggésben van a levél szövegével? Ismerős a kiterjesztése?
  • Linkek – Az egeret a link fölé húzva más link jelenik meg? Ismerős az oldal? Helyesen van leírva?
  • Oldalak – Helyes az URL? A böngésző biztonságosnak ítéli? Kér valamilyen azonosító adatot az oldal?

A fenti kérdések megválaszolása mellett, további segítséget nyújthat egy korábban készített, de bizonyítottan továbbra is releváns infografikánk, amely könnyen áttekinthető képet ad a figyelmet igénylő területekről:

 

A piaci legjobb gyakorlatnak tekinthető humán biztonsági alapelvek hiányos ismerete, vagy figyelmen kívül hagyása mindig magas kockázatot hordoz egyéni és szervezeti szinten is, amelyet a jelenlegi vészhelyzet által generált emelkedett terhek csak tovább súlyosbítanak, ezért kiemelten fontosnak tekintjük az információbiztonság tudatosítását mindenkire nézve, amelyet a PR-AUDIT megoldásai is támogatnak.

Kapcsolódó szolgáltatásinkról kiegészítő információk a https://www.praudit.hu/en/szolgaltatasok/social-engineering-vizsgalatok/ linken olvashatóak.

Mindenki azt hangoztatja, hogy maradj otthon. Mi azt IS, hogy maradj biztonságban.

 

¹Target Data Breach 2013 – https://krebsonsecurity.com/2014/02/email-attack-on-vendor-set-up-breach-at-target/
²Sony Data Breach 2014 – https://www.tripwire.com/state-of-security/latest-security-news/sony-hackers-used-phishing-emails-to-breach-company-networks/

kép: idagent.com