Od wielu lat socjotechnika jest nieodłącznym elementem ataków internetowych, przeprowadzanych zarówno przeciwko wielkim korporacjom finansowym, agencjom rządowym, jak i zwykłym użytkownikom. Inne popularne wektory ataku, w tym malware czy ataki DDoS, ustępują właśnie socjotechnice. Jednym z typowych tego rodzaju ataków jest tak zwany „phishing”, czyli przeprowadzenie ataku za pośrednictwem poczty internetowej.

Zgodnie z informacjami z Krajobrazu Bezpieczeństwa Polskiego Internetu (raport roczny działalności CERT Polska, 2016r), najczęstszym typem incydentu obsługiwanym w CERT Polska był phishing. Ten rodzaj ataków stanowił ponad połowę wszystkich przypadków, odnotowano znaczny wzrost ich liczby w stosunku do lat poprzednich. Były to przede wszystkim zgłoszenia fałszywych stron zagranicznych serwisów, umieszczonych na przejętych stronach lub wykupionych serwerach w polskich sieciach bądź w domenie .pl.

NA CZYM POLEGA ATAK PHISHINGOWY

Popularność tego typu ataków wynika przede wszystkim z ich prostoty oraz bardzo dużej efektywności, w porównaniu do innych standardowych technik. Niejednokrotnie uruchomienie złośliwego załącznika przez użytkownika lub pojedyncze kliknięcie adresu URL, w źle zabezpieczonym środowisku, prowadzi do przejęcia komputera i pośredniego uzyskania dostępu do sieci wewnętrznej firmy oraz jej poufnych danych. Osoby atakujące wychodzą z założenia, że korzystanie z bardziej ryzykowanej metody exploitów typu 0day (czyli niepublikowanych wcześniej błędów, które umożliwiają uzyskanie zdalnego dostępu do określonego systemu) jest często niepotrzebne, skoro dobrze przygotowana kampania phishingowa może dać identyczne efekty, a na dodatek bez ryzyka ujawnienia tj. spalenia cennego exploita. Email to wciąż podstawowy sposób dostarczania złośliwego oprogramowania (malware /ransomware). W 2016 roku, 1 na 131 emaili zawierał malware i jest to najwyższy wskaźnik w ostatnich 5 latach (źródło: Symantec 2017 Internet Security Threat Report).

CZYNNIK LUDZKI

Jest takie powiedzenie w branży, że czynnik ludzki jest najsłabszym ogniwem w całym zaplanowanym mechanizmie bezpieczeństwa firmy. Jest w tym wiele prawdy zwłaszcza w przypadku, gdy firmy skupiają się jedynie na technicznych aspektach obrony swojej infrastruktury, pomijając kompleksowe szkolenia pracowników. Często wielomilionowe inwestycje poczynione w bezpieczeństwo informatyczne spalają na panewce, ponieważ został zaniedbany czynnik ludzki. Z mojego wieloletniego doświadczenia jako eksperta ds. bezpieczeństwa wynika, że przy pierwszym przeprowadzonym symulowanym ataku phishingowym odsetek pracowników, którzy podali swoje dane dostępowe, kliknęli w przesłany adres URL lub uruchomili złośliwy załącznik, wynosi ok. 20-30%. Przy czym należy mieć tutaj na uwadze, że bardzo często wystarczy pojedynczy pracownik, aby osoba atakująca uzyskała zdalny dostęp do komputera swojej ofiary, a w kolejnym etapie do sieci wewnętrznej firmy oraz jej danych.

KTO PONOSI ODPOWIEDZIALNOŚĆ

Winę w tym przypadku ponoszą firmy, które nie zadbały o odpowiednią edukację swoich pracowników. Budowanie odpowiedniej świadomości pracowników na temat istniejących zagrożeń związanych z socjotechniką jest procesem, do którego należy podejść z pełną powagą i nie traktować jej jako mniej priorytetowej niż odpowiednie zabezpieczenia techniczne. Z pomocą przychodzą tutaj profesjonalne szkolenia oraz systematycznie przeprowadzane testy penetracyjnych, które oparte są na realnych scenariuszach oraz nowoczesnych technikach ataków phishingowych.

UWIERZYTELNIENIE DWUSKŁADNIKOWE A NOWOCZESNY PHISHING

Jednym z mechanizmów bezpieczeństwa, które mają za zadanie zwiększyć poziom trudności w uzyskaniu nieuprawnionego dostępu do konta, jest tzw. uwierzytelnienie dwuskładniowe (2FA – Two Factor Authentication). Opiera się ono na prostej zasadzie, że uwierzytelnienie użytkownika następuje na podstawie tego, co użytkownik wie (czyli hasło) oraz tego, co ma (np. urządzenie generujące jednorazowe kody). Aktualnie najbardziej popularną formą tego typu uwierzytelnienia jest mechanizm oparty na kodach SMS – stosowane jako drugi składnik uwierzytelnienia w wielu rozwiązaniach bankowości internetowej.

Z definicji mechanizm ten powinien zapobiegać przechwyceniu sesji użytkownika za pośrednictwem ataku phishingowego. Jednak jak się okazało, na przestrzeni ostatniego roku przeprowadzane były ataki phishingowe, które omijały ten mechanizm. Problem ten został wskazany między innymi w raporcie „Amnesty International”: (https://www.amnesty.org/en/latest/research/2018/12/when-best-practice-is-not-good-enough/). Mimo wielu poszlak oraz pojawiających się informacji na temat wykorzystania tej techniki, ryzyko to nadal jest traktowane bardziej jako teoretyczne niż realne zagrożenie dla użytkowników. Oczywiście, taki stan rzeczy jest idealną sytuacją dla grup przestępczych, które z niej korzystają.

NARZĘDZIA DO ETYCZNYCH TESTÓW PHISHINGOWYCH

W 2018r powstało narzędzie nazwane Modlishka, napisane jako jeden z komponentów większego programu do przeprowadzania etycznych testów phishngowych. Modlishka, tak jak wiele innych wcześniej opublikowanych narzędzi, służy diagnostyce. Pozwala na przeprowadzenie efektywnej oraz nowoczesnej kampanii phishingowej w ramach symulowanego ataku - ataki tego typu określa się mianem testów penetracyjnych. Użycie tego narzędzia dowodzi, że większość z aktualnie stosowanych mechanizmów uwierzytelnienia dwuskładnikowego (TOTP, HOTP, „Push based”, etc) nie stanowi, wbrew wielu wcześniejszym deklaracjom, ostatecznej linii obrony przeciwko atakom phishingowym.

W ramach dowodu narzędzie to pokazuje, jak w prosty sposób można przechwycić poufne dane użytkownika (login, hasło oraz kod SMS) logującego się za pośrednictwem specjalnie przygotowanej strony internetowej. W celu lepszego zobrazowania ryzyka, został przygotowany film z symulowanego ataku na przykładowe konto e-mailowe: https://vimeo.com/308709275.

Przy zastosowaniu tej techniki, fałszywa strona jest niemalże idealną kopią prawdziwej: wygląd oraz funkcjonalność strony jest w pełni wierna oryginałowi, strona internetowa jest przesyłana do użytkownika za pośrednictwem szyfrowanego kanału komunikacyjnego (przeglądarka pokazuje adres strony jako zaufany z charakterystyczną kłódką na początku adresu), cały ruch przesyłany przez przeglądarkę jest kontrolowany przez osobę atakującą W efekcie nieświadomy ryzyka użytkownik ma bardzo małe szanse na wykrycie ataku i adekwatną reakcję.

JAK MINIMALIZOWAĆ RYZYKO

Istnieje oczywiście możliwość odpowiedniego zaadresowania ryzyka poprzez systematyczne szkolenie pracowników oraz odpowiednio dopasowane rozwiązania techniczne. Przykładowa platforma APT BAIT może posłużyć do przeprowadzania ataków phishingowych na własnych użytkowników i zbierania informacji o ich skuteczności. Jej zadaniem jest analiza poziomu świadomości bezpieczeństwa pracowników.

Dzięki tego typu platformom firma jest w stanie: monitorować świadomość pracowników, by móc efektywnie zarządzać budżetem szkoleniowym, wyczulić swoich pracowników na aktualne techniki, którymi posługują się cyberprzestępcy, umocnić ochronę swojej organizacji poprzez wzmocnienie najsłabszego ogniwa jakim jest człowiek, zbudować świadomość cyberzagrożeń wśród pracowników, co jest jednym z ważnych elementów każdego solidnego planu zarządzania bezpieczeństwem IT w firmie.

Wynikiem działania takich symulowanych ataków phishingowych jest podniesienie świadomości użytkowników, zarówno poprzez edukację w ramach scenariuszy phishingowych, jak i poprzez szkolenia z tzw. security awareness czyli podniesienia poziomu wrażliwości użytkowników w obszarze cyberbezpieczeństwa. Rozwiązania na rynku zapewniają pełną obsługę użytkownika, od symulowanego ataku (audyt zerowy wiedzy użytkowników) poprzez szkolenia i powtórne symulowane ataki weryfikujące wiedzę i świadomość użytkowników w dziedzinie cyberbezpieczeństwa.

Podsumowując w celu zaadresowania ryzyka, należy przede wszystkim:

• systematycznie szkolić pracowników poprzez symulowane ataki phishingowe
• stosować tokeny na bazie protokołu U2F
• stosować menedżer haseł
• na bieżąco aktualizować swoją przeglądarkę