Od lutego 2021 r. do lutego 2022 r. aż 89% organizacji doświadczyło co najmniej jednego cyberataku. Dla porównania, w 2019 r. było to 78%. To jasny dowód na to, że liczba zagrożeń nie maleje, a cyberprzestępcy stają się skuteczniejsi. Weźmy za przykład badanie zrealizowane przez Osterman Research we współpracy z Cyren, które dotyczyło zagrożeń bezpieczeństwa poczty elektronicznej Microsoft 365. W raporcie zatytułowanym „Phishing, BEC, and Ransomware Threats for Microsoft 365 Customers: 2022 Benchmarking Survey” zidentyfikowano typowe zagrożenia, ale też taktyki, jakie mogą wykorzystać specjaliści ds. cyberbezpieczeństwa, aby ich uniknąć.

Jakie to zagrożenia? Badanie wskazuje przede wszystkim na phishing (69% respondentów doświadczyło tego typu naruszenia), złamanie poświadczeń Microsoft 365 (60%), atak spamowy lub typu „odmowa usługi” (Denial of Service – 52%), a także ransomware (51%).

Z poczty elektronicznej korzystamy na co dzień w komunikacji, więc nic dziwnego, że cyberprzestępcy wymierzają swoje ataki w nasze skrzynki. Bezpieczeństwo e-mail obejmuje z kolei różne techniki i procedury ochrony kont e-mailowych przed nieautoryzowanym dostępem, utratą lub naruszeniem. Atakujący wykorzystują zwodnicze wiadomości, aby zachęcić odbiorców do przekazania poufnych informacji, czy też otwarcia załączników lub linków, które instalują złośliwe oprogramowanie na urządzeniu. E-mail jest również częstym punktem wejścia dla cyberprzestępców, którzy chcą zdobyć przyczółek w sieci korporacyjnej i uzyskać dostęp do cennych danych.

Znane i mniej znane zagrożenia e-mail

Z jakimi zagrożeniami trzeba radzić sobie w obecnie, jeśli chodzi o samą pocztę elektroniczną? Niektóre z nich mogą wydać się znajome, inne – niekoniecznie. Są to:

1. Phishing i spoofing

Podszywanie się (spoofing) i phishing (fałszowanie wiadomości) to bardzo popularne i poważne cyberzagrożenia, ponieważ przygotowanie fałszywej wiadomości jest relatywnie łatwe, a trudne do wykrycia.

Spoofing występuje wtedy, gdy cyberprzestępca wysyła wiadomość do użytkownika i podszywa się pod kogoś, kogo ten użytkownik zna, np. współpracownika z firmy. Phishing z kolei to wprowadzanie użytkowników w błąd, z oczekiwaniem konkretnych danych i akcji do podjęcia. Dla przykładu, otrzymujemy wiadomość, że wygraliśmy na loterii, ale musimy podać swoje dane osobowe i numer konta bankowego, aby otrzymać „wygraną”.

2. Luki w zabezpieczeniach

Cyberprzestępcy mogą też wykorzystywać luki w zabezpieczeniach e-maili. Wystarczy, że dostawca usługi źle przeprowadził konfigurację albo po sami nie wykonaliśmy wszystkich kroków, by zabezpieczyć pocztę – jeśli atakujący wykryje jakieś luki, może je wykorzystać. Wówczas może próbować przedostać się do naszego systemu, by następnie wykraść informacje i dane, a także sprawić, że cały system będzie niedostępny.

3. Ataki po stronie klienta

Cyberprzestępca może wcielić się w naszego klienta. Wystarczy, że wyśle linka do jednej złośliwej strony, np. cennika. Pojedyncze łącze może zawierać złośliwe informacje do przechwycenia komputera. To dlatego tak ważne jest stosowanie środków antyphishingowych, ale też szkoleń personelu i symulacji zagrożeń związanych z pocztą elektroniczną.

4. Niebezpieczne pliki

W przypadku otrzymania od użytkownika szkodliwych informacji za pośrednictwem załącznika do wiadomości e-mail może dojść do przejęcia kontroli nad całym systemem komputerowym, a także siecią. Z tego powodu należy zawsze sprawdzać otrzymywane pliki i dokumenty odpowiednim oprogramowaniem zabezpieczającym, aby mieć pewność, że możemy je otworzyć i zapisać.

5. Ransomware z szyfrowaniem

Jeśli padniemy ofiarą ataku ransomware, cyberprzestępca może zainfekować komputer i zaszyfrować nasze dane. Wówczas będzie oczekiwał zapłacenia okupu, aby je odblokować. To bardzo poważne zagrożenie.

6. Spear phishing i BEC

Spear phishing to wyrafinowany atak phishingowy, np. e-mail wysłany tylko do niewielkiej grupy odbiorców, często zawierający informacje interesujące jedynie dla niej, np. na temat nadchodzącego wydarzenia, na które poszczególne osoby zapisały się już wcześniej.

Z kolei BEC (Business Email Compromise) to forma ataku phishingowego, w którym przestępca próbuje nakłonić kierownika wyższego szczebla (lub kogoś z działu finansowego) do przekazania środków lub ujawnienia poufnych informacji. BEC to jeden z najbardziej szkodliwych i kosztownych rodzajów ataków phishingowych – każdego roku kosztuje firmy miliardy dolarów.

7. Spam

Oczywiście zostaje jeszcze spam – niechciane wiadomości e-mail wysyłane na masową skalę. Nowoczesne filtry antyspamowe wychwytują i blokują zdecydowaną większość wiadomości spamowych, ale ciągle możliwe jest, że niektóre z nich przedostaną się do skrzynek odbiorczych i będziemy musieli je usuwać samodzielnie.

KOMENTARZ EKSPERTA

Człowiek – najważniejsze ogniwo cyberbezpieczeństwa firmy

Żyjemy w czasach bardzo intensywnego rozwoju technologicznego i informatycznego. We wszystkich sferach biznesu następują procesy transformacji i digitalizacji. Transformacja ma na celu stworzenie interfejsu, który w sposób zintegrowany umożliwi komunikację człowiek – maszyna. W tym cyfrowym ekosystemie najważniejszym ogniwem jest człowiek, który jednocześnie stanowi największe zagrożenie dla cyberbezpieczeństwa organizacji. Najbardziej popularnym narzędziem wymiany informacji, szczególnie w środowisku biznesowym, jest e-mail, i to tutaj najczęściej hakerzy celują atakami phisingowymi. Jak się przed nimi chronić? Uważam, że najlepszym sposobem obrony jest budowanie kultury bezpieczeństwa w organizacji. Dzięki wdrożeniu odpowiednich zasad i pożądanych wzorców zachowań wśród pracowników oraz nauczeniu ich stosowania zasady ograniczonego zaufania, można mitygować cyberzagrożenia. Phishing wykorzystuje inżynierię społeczną, czyli technikę polegającą na wywołaniu odpowiednich działań przez odbiorców w celu wyłudzenia danych.

Najbardziej niebezpieczne są treści ukierunkowane na konkretnego adresata (tzw. spear-phishing). Przestępcy mogą podszywać się np. pod partnerów biznesowych, a wiadomości są często spersonalizowane. W natłoku codziennych obowiązków pracownicy mogą zapomnieć, na co powinni zwracać uwagę, odczytując e-maile bądź SMS-y. Warto więc podawać im wskazówki, typu: sprawdzaj, czy w wiadomości email nie ma błędów gramatycznych, interpunkcyjnych lub czy nie brakuje polskich znaków (tj.: ą, ć, ę, ś, ż, ź). Jeśli e-mail pochodzi z poważnej instytucji lub organizacji, takiej jak bank, upewnij się, że użyte są odpowiednie logotypy i stopki z danymi nadawcy. Szczególną uwagę zwracaj na wiadomości typu: „wyślij te dane w ciągu 24 godzin” lub „padłeś ofiarą przestępstwa, kliknij tutaj natychmiast”.

Moim zdaniem iluzją bezpieczeństwa jest zdawanie się wyłącznie na produkty cyberochrony, zaniedbując edukację pracowników i ignorując ich znaczenie we wszystkich procesach zachodzących w organizacji. Czujność i uwaga każdego z nich jest nadrzędna nad wszelkimi rozwiązaniami. To właśnie do nich należy pierwsze kliknięcie, które może wywołać cały ciąg zdarzeń. W naszej organizacji stawiamy na kulturę bezpieczeństwa, prowadząc całoroczny program Security Awareness. W tym względzie dbamy również o naszych klientów, którym możemy pomóc zbudować taki program. Oferujemy również całą gamę zaawansowanych rozwiązań cyberbezpieczeństwa, w tym badanie wrażliwości, które pozwoli zidentyfikować słabe punkty danej organizacji.

Ochrona Endpoint i danych wrażliwych

Poczta elektroniczna jest wykorzystywana jako rozwiązanie do dostarczania niebezpiecznej zawartości w różnych atakach, np. wiadomość phishingowa może zawierać złośliwe oprogramowanie lub treści mające na celu nakłonienie odbiorcy do ujawnienia poufnych informacji. Możemy mieć też do czynienia z atakiem BEC, by nakłonić pracownika do dokonania przelewu pieniędzy. Od zawirusowanych załączników po niebezpieczne linki i strony internetowe – wiele technik można wykorzystać bezpośrednio w e-mailu. Z tego powodu wdrożenie rozwiązania zabezpieczającego pocztę elektroniczną powinno być podstawą strategii cyberbezpieczeństwa w organizacji.

Jakie aspekty powinniśmy wziąć pod uwagę? Są to:

• Wykrywanie złośliwych treści. Linki i zawirusowane załączniki to powszechna taktyka stosowana w wiadomościach phishingowych. Wdrożone rozwiązania zabezpieczające powinny wykrywać i blokować złośliwą zawartość, opierając się przy tym na danych o rozpoznanych atakach, uczeniu maszynowym oraz identyfikacji podejrzanych i złośliwych domen.
• Przetwarzanie języka. Ataki BEC i podobne nie zawierają często złośliwej treści, co utrudnia ich wykrycie. Rozwiązanie zabezpieczające powinno więc odpowiednio analizować tekst i metadane wiadomości e-mail pod kątem wskazań, że mogą one być zagrożeniem.
• Analiza klikalności (click-through analysis). Wiadomości phishingowe zawierają często złośliwe linki w treści oraz zawirusowane załączniki czy udostępnione dokumenty. Rozwiązanie do ochrony e-maili powinno chronić przed taką zawartością i oceniać poszczególne kliknięcia. Jeśli wykryje, że dana treść jest niebezpieczna, będzie mogło ją później zablokować, a także wyświetli informacje o tym, ile razy dana zawartość została włączona czy pobrana.

Poza rozwiązaniem do ochrony poczty warto zdecydować się na platformę zabezpieczającą punkty końcowe (Endpoint Protection), czyli urządzenia wykorzystywane przez pracowników. Platformy tego rodzaju wykrywają i usuwają złośliwe oprogramowanie, które przedostało się przez zabezpieczenia poczty elektronicznej i trafiło do poziomu sieci wewnętrznej. Dla przykładu, pracownik otrzymał prezentację PowerPoint i zapisał ją na dysku, a następnie udostępnił w środowisku chmurowym. Wewnątrz dokumentu był jednak link prowadzący do zainfekowanej strony. System Endpoint Protection wykryje takie zagrożenie.

Idąc dalej, pamiętajmy, aby chronić także dane wrażliwe, które opuszczają firmową sieć. Każdego dnia pracownicy wysyłają na zewnątrz cenne dane w e-mailach. W wielu przypadkach to oczekiwana praktyka, bo np. wysyłamy do klienta fakturę czy ofertę z wyceną. Zdarza się jednak, że niektóre dane nie powinny opuszczać firmy i wówczas dobrym rozwiązaniem wspierającym ochronę poczty jest strategia DLP (Data Loss Prevention) i odpowiedni system zapobiegający utracie danych.

Szkolenia i 2FA

Konto e-mail jednego pracownika zawiera ogromną ilość poufnych informacji. Nawet jeśli nie przechowujemy danych bezpośrednio na skrzynce e-mail i korzystamy z chmurowych pakietów biurowych, to jednak w wiadomościach często znajdują się konkretne szczegóły, a nawet dane dostępowe. Cyberprzestępca, jeśli będzie mógł zapoznać się z kosrespondencją, jest w stanie później przeprowadzić atak „inżynierii społecznej” i nakłonić wybrane osoby do zrobienia czegoś niebezpiecznego, np. przesłania danych badawczo-rozwojowych czy listy płac.

W wielu przypadkach niestety relatywnie łatwo dostać się do skrzynki pracowników – słabym punktem jest hasło zabezpieczające. Jeśli nie jest silne, osoba atakująca może je złamać i użyć do zalogowania się na konkretne konto. Dlatego tak ważne jest, aby personel nie tylko ustawiał bardzo silne hasła, ale też wykorzystywał uwierzytelnianie dwuskładnikowe. Wdrożenie solidnej polityki haseł jest bardzo ważne, a dodatkowo stosowanie uwierzytelniania dwuskładnikowego (2FA – Two Factor Authentication) jeszcze bardziej zwiększy poziom bezpieczeństwa. Pod uwagę weźmy zarówno rozwiązania programowe, jak i sprzętowe klucze 2FA.

Na koniec pamiętajmy, aby przeprowadzać cykliczne szkolenia z cyberbezpieczeństwa. Jeśli zawiodą systemy i oprogramowanie, to od danego pracownika i jego wiedzy będzie zależeć, czy cyberprzestępca przedostanie się do firmy i uzyska dostęp do poufnych danych. Regularne szkolenia z cyberbezpieczeństwa i budowanie świadomości są, a przynajmniej powinny być, jednym z najważniejszych elementów strategii bezpieczeństwa poczty elektronicznej i pozostałych obszarów. Zyskujemy przez to możliwość wzmacniania dobrych zachowań w zakresie bezpieczeństwa i cała organizacja jest lepiej chroniona.