Ataki hakerskie są coraz częstsze. W dobie pandemii zanotowano duży wzrost kampanii phishingowych związanych tematycznie z COVID-19. Niebezpieczeństwa z nich wynikające mogą mieć poważne skutki dla funkcjonowania firmy, dlatego warto uwrażliwić pracowników na tego typu zagrożenia. Aby lepiej zobrazować skalę zjawiska, przedstawię kilka statystyk.

Według raportu firmy Verizon (DBIR) z 2020 roku, dotyczącego naruszeń w organizacjach, aż 22% z nich dotyczyło phishingu. Wśród nich 96% ataków odbyło się drogą mailową. Cyberprzestępcy są coraz bardziej wyrafinowani w działaniu. Ma to odzwierciedlenie w statystykach. Niemal 97% badanych nie jest w stanie poznać dobrze skonstruowanej wiadomości phishingowej, a tylko 3% zgłasza takie naruszenia przełożonym. Warto przyjrzeć się temu zjawisku nieco bliżej.

Co to jest phishing?

Phishing, to jeden z najpopularniejszych typów cyberataków wykorzystujących najczęściej wiadomości e-mail lub SMS. Działa tutaj technika inżynierii społecznej – przestępcy internetowi powodują podjęcie działań przez atakowanych zgodnie ze swymi zamierzeniami. Podszywając się m.in. pod firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych czy nawet znajomych, starają się wyłudzić dane do logowania np. do kont bankowych, kont społecznościowych czy systemów biznesowych. Fałszowane są strony internetowe, e-maile i wiadomości SMS.

Sposoby podnoszenia świadomości pracowników na temat ryzyka ataków phishingowych obejmują m.in. szkolenia, udostępnienie rzetelnych materiałów informacyjnych, wdrożenie odpowiednich polityk wewnętrznych, częsta komunikacja z pracownikami, a także przeprowadzenie kampanii phishingowej, która wydaje się przewyższać wartością edukacyjną pozostałe techniki.

Jak może wyglądać kampania phishingowa?

W akcji zwiększającej świadomość pracowników najczęściej stosowana jest technika, którą można nazwać „zaufanym mailem”. Technika ta wykorzystuje tendencję do ufania temu, co bliskie i znajome, ale także zmęczenie i brak spostrzegawczości. Akcję taką przeprowadzają pracownicy firmy zajmujący się najczęściej cyberbezpieczeństwem. Kampania phishingowa przypomina prawdziwy atak przestępcy z tą różnicą, że nie posiada ona negatywnych konsekwencji. Z takiej akcji zbiera się dane statystyczne o liczbie osób w firmie, które „złapały się” na atak. Następnie ogólne wyniki takich kampanii ogłasza się w firmie oraz uwrażliwia pracowników na niebezpieczeństwa, na które powinni zwrócić uwagę w takich sytuacjach. Symulacja prawdziwego ataku podnosi świadomość pracowników, a co za tym idzie bezpieczeństwo całej organizacji. Kampanie, aby były skuteczne, należy powtarzać kilka razy w roku.

Wyobraź sobie sytuację: pracujesz w dużej firmie, jest piątek, a Ty już najchętniej zamknąłbyś laptopa i udał się do domu. Dostajesz e-maila. Jednego z wielu tego dnia. To wiadomość wewnętrzna Twojej organizacji. E-mail ma krótki opis i zawiera link do Twojej strony firmowej, gdzie, jak sądzisz, zapewne znajdziesz szerszy opis poruszanego tematu. Klikasz bezwiednie w link, bo dlaczego nie? W końcu to e-mail od Twojej firmy, w której pracujesz już od kilku lat.

Opis tej sytuacji to codzienność w wielu firmach na całym świecie. Tak może wyglądać atak. Tak może wyglądać również przygotowana wewnętrzna kampania phishingowa.

Kliknięcie bez zastanowienia w linki może mieć bardzo złe konsekwencje dla organizacji. Link często przenosi do fałszywej strony internetowej, która łudząco przypomina witrynę, która jest znana. Wpisane tam dane, w tym hasła przechwytują przestępcy. Dane te później mogą być wykorzystane do włamania się do sieci firmowej i do kradzieży bardzo cennych informacji. Z pozoru niewinny mail może pociągnąć za sobą lawinę nieprzyjemnych konsekwencji. Czy zatem nic nie można zrobić? Na szczęście nie. Kluczem jest bycie świadomym zagrożenia i czujnym. Tego typu wiadomości mają swoje słabe punkty, na które można zwrócić uwagę, aby sprawdzić ich wiarygodność.

Na co warto uczulić pracowników?

• Sprawdzenie, czy mail pochodzi z organizacji, na którą powołuje się nadawca. Często adres mailowy nadawcy jest zupełnie niewiarygodny, czy też nie jest tożsamy np. z podpisem pod treścią maila
• Ocena, czy wygląd i ogólna jakość e-maila może pochodzić z organizacji / firmy, od której takiej wiadomości można by się spodziewać, np. użyte logotypy, stopki z danymi nadawcy itd. 
• Spojrzenie na nazwę nadawcy, czy wygląda na prawdziwą, czy może tylko naśladuje znaną nazwę. Często mail może się różnić jedną literą. Na przykład: xyzz@123.pl zamiast xyz@123.pl (w pierwszym przykładzie jest dodatkowa litera „z”)
• Ignorowanie linków podawanych w e-mailach, sprawdzanie URL, wklejenie adresu do nowego okna przeglądarki i sprawdzenie, czy zawiera poprawną nazwę firmy / instytucji (może różnić się jedną literą od oryginalnej, jak np. http://rnbank.pl) oraz czy jej adres wymusza szyfrowaną komunikację z serwerem (https://)

Świadomość i edukacja

Świat nowoczesnych technologii i komputerów zmienia się w zastraszającym tempie. Trudno za tym nadążyć. Do niedawna przestępca, który chciał coś ukraść, kojarzył się z osobą, która pod osłoną nocy włamuje się do mieszkania. Wiele osób nie wie, że  laptop, który służy m.in. do codziennego sprawdzania poczty lub oglądania filmów na YouTubie, może być miejscem, w którym dojdzie do oszustwa czy kradzieży. Niestety tak jest. Liczba cyberprzestępstw z roku na rok rośnie. Przestępcom dzisiaj wystarczy laptop, łącze internetowe i często nie aż tak duża wiedza informatyczna, aby dokonać poważnych szkód. Jak w wielu kwestiach, najważniejsza jest jednak świadomość i edukacja. Nie trzeba mieć głębokiej wiedzy, na czym polega atak cyberprzestępcy. Warto być jednak czujnym – przyglądać się mailom, sprawdzać nadawcę i nie klikać w linki, których nie jest się pewnym. W każdej firmie jest dział, który zajmuje się bezpieczeństwem informatycznym. Jeśli pojawiają się jakieś wątpliwości, należy kontaktować się z tymi osobami. Na pewno chętnie pomogą.

W Onwelo prowadzimy takie kampanie phishingowe zarówno wewnątrz firmy, jak i dla klientów zewnętrznych. Wierzymy, że bezpieczeństwo zwłaszcza w dzisiejszych czasach jest najważniejsze.

Sebastian Ciszek – Inżynier Bezpieczeństwa w Onwelo. Pracuje przy testach penetracyjnych aplikacji oraz audytach sieci. Fan nowinek technologicznych z branży security. Prywatnie pasjonat wschodnich sztuk walki i muzyki rockowej.