Wieloryb na haku

Phishing przybiera różne formy. Oprócz fałszywych wiadomości pojawiają się także ataki kierowane przeciw konkretnym osobom, wysoko postawionym w organizacji.

Nauka dla zarządu

Osoby odpowiedzialne za bezpieczeństwo informacji w organizacji powinny upewnić się, że członkowie zarządu oraz dyrekcja są regularnie szkoleni w dziedzinie obrony przed atakami socjotechnicznymi i mają czas, by tę wiedzę posiąść, niezależnie od tego, jak bardzo są zajęci pracą. Obejmuje to wykrywanie podejrzanych wiadomości, identyfikację ataków, które mają na celu pozyskanie informacji mogących później posłużyć do pozyskania dostępu do firmowych systemów. Najważniejszym problemem jest mentalność ludzi zarządu, którzy mają tendencję do omijania szkoleń związanych z bezpieczeństwem, a jednocześnie są osobami najbardziej narażonymi na atak socjotechniczny w firmie. Dobrze zorganizowane szkolenie wcale nie musi być nudne, może być szybkie i sprawne, ponadto można je uzupełniać biuletynem firmowym, który informuje o bieżących zagrożeniach.

Cyberprzestępcy atakujący za pomocą technik phishingowych mogą wysyłać spersonalizowane wiadomości - taki atak nazywa się spear phishing. Dotychczas podobne ataki były kierowane przeciw zwykłym użytkownikom Internetu, by pozyskać od nich dane do bankowości elektronicznej, hasła, numery kart kredytowych. Obecnie przestępcy atakują także firmy, przy czym celują w osoby piastujące wysokie stanowiska w organizacji, by uzyskać poufne informacje z przedsiębiorstwa lub dostęp do wewnętrznych systemów. Straty spowodowane atakiem kierowanym w zarząd lub dyrekcję firmy (whaling) mogą być o wiele większe niż kradzież karty. Są one także o wiele trudniejsze do wykrycia, gdyż nie mają typowych charakterystyk, takich jak wiele kopii wiadomości przychodzących do jednego serwera i obrona przed atakiem jest trudniejsza, gdyż wykorzystują one słabości, emocje oraz poczucie ważności dyrekcji.

Whaling - z czym to się je?

Jeśli przed atakiem napastnik przeprowadził dokładne rozpoznanie, skopiował podpisy i typowe charakterystyki wiadomości, fałszywy e-mail nie będzie miał żadnych widocznych na pierwszy rzut oka cech, które by go odróżniały od prawdziwych wiadomości. Należy jednak szukać dziwnych żądań, linków, które nie pasują do typowej komunikacji, a także załączników, które nie pasują do informacji wysyłanych przez prawdziwego nadawcę. W razie wątpliwości takie wiadomości należy sprawdzić, przy czym trzeba wykazać podejrzliwość wobec linków. Nigdy nie wolno klikać linków w wiadomościach pochodzących od nieznanych osób! Należy także wzmóc czujność, jeśli nadawca wiadomości zdaje się wiedzieć zbyt wiele.

Czy firma jest "twarda"?

Co pewien czas powinno się sprawdzać podatność pracowników zarządu na personalizowane ataki. Należy wysyłać do nich wiadomości, które posiadają wszystkie cechy prawdziwego ataku. Jeśli odpowiedzą lub klikną załączony sfałszowany link, trzeba im przesłać odpowiedź, która wskaże im popełniony błąd i poinformuje o szkoleniu. Nie należy przy tym ograniczać się do dyrekcji i zarządu - w ten sposób można poprawiać także świadomość innych zatrudnionych, w szczególności w help desku, którzy mogą mieć uprawnienia do odzyskania haseł poszczególnych pracowników.

Dodatkowym działaniem powinny być rozmowy z osobami, które regularnie naruszają założenia polityki bezpieczeństwa, przy czym należy dowiedzieć się, jakie są przyczyny ich zachowania. W około 80% przypadków jest to spowodowane niewiedzą pracowników.

Zdrowy rozsądek w sieciach społecznościowych

Sieci społecznościowe, takie jak Facebook, LinkedIn, Twitter czy choćby NK, stają się wartościowym narzędziem budowania kontaktów biznesowych, współpracy online czy rekrutacji pracowników. Niestety, informacje publikowane tam mogą również posłużyć do pozyskania informacji przez cyberprzestępców, którzy wykorzystają tę wiedzę do kierowanych ataków. Odnalezienie oraz obserwacja prywatnych i służbowych profili członków dyrekcji i zarządu wcale nie są trudne i dostarczą cennych z punktu widzenia włamywacza informacji.

Niektóre firmy podchodzą do tego profesjonalnie, wprowadzając zakaz korzystania z sieci społecznościowych do celów związanych z pracą i blokują do nich dostęp. Uzyskanie dostępu musi być poprzedzone zgodą działu bezpieczeństwa i dotyczy to wszystkich pracowników, z zarządem włącznie. Tak działa na przykład Ocean Bank.

Blokowanie lub kontrola sieci społecznościowych jest nierealna w przypadku małych firm. Zatem należy uświadomić pracowników o tym, by korzystali z sieci społecznościowych w odpowiedzialny sposób - na przykład nie łączyli się na LinkedIn czy Facebooku z osobami, których nie znają, nie odpowiadali na wszystkie zaproszenia, nawet jeśli wyglądają na zaproszenie od potencjalnego klienta lub partnera biznesowego.

Nie pisać za wiele

Przy publikowaniu informacji o firmie lub pracownikach należy wykazać się ostrożnością. Ograniczenie publicznie dostępnej informacji na ten temat w sieciach społecznościowych bardzo pomaga w minimalizowaniu ryzyka whalingu. Jeśli na facebookowym profilu można bez połączenia się z daną osobą sprawdzić jej datę urodzenia, stan związku lub miejsce wychowania, przygotowanie wiarygodnie brzmiącej wiadomości jest łatwiejsze, zatem należy uświadomić pracowników o związanym z tym ryzyku.


TOP 200