Razlogov za uspešen kibernetski napad na podjetje je veliko. Na primer, lahko pride do napačne konfiguracije v oblaku ali neposodobljenega sistema. Vendar pa je danes najpogostejši in najmočnejši vir napada socialni inženiring – običajno je to lažno predstavljanje.
Po navedbah varnostnih inženirjev napadi z lažnim predstavljanjem predstavljajo več kot 80% prijavljenih varnostnih incidentov, več kot 90% zlonamerne programske opreme pa je dostavljeno po e-pošti. Ti napadi so priljubljene metode, saj so poceni, hekerjem predstavljajo nizko stopnjo tveganja in imajo relativno visoko stopnjo uspešnosti.
Na žalost je prehod na okolje v oblaku in na delo od doma, ki ga je povzročil COVID-19, močno povišal lažno predstavljanje - phishing in druge napade socialnega inženiringa. Po raziskavah Unit 42 (Palo Alto ekipe za spremljanje varnostnih groženj), je v začetku pandemije prišlo do kar 569-odstotne rasti rasti prijav okužb z zlonamerno programsko opremo, vključno s phishingom.
Ozaveščanje o varnosti je običajno prvo orodje, ki ga ekipe za kibernetsko varnost dodajo v zbirko ukrepov za preprečevanje kibernetskih napadov. Ozaveščanje predstavlja naravni instinkt, ki je zagotovo zelo pomemben, seveda pa je vse odvisno od tega, kako dobro je podprt in uporabljen. Kako bi lahko predvideli teme kampanj za socialni inženiring? Katera bo najboljša vaba? Kaj bo povzročilo spremembo vabe?
Kot ribolov v fizičnem svetu zahteva različne vabe, ki se razlikujejo glede na vrsto ribe, ki jo lovimo, velja enako za virtualni svet phishinga. Dejansko gre analogija precej globoko med lovljenje rib in sledenje izkoriščanja tistih, ki lovijo zaradi dobička ali zlonamernosti. Vsak strokovnjak za kibernetsko varnost, ki je kadarkoli tudi ribaril, lahko verjetno poveže ti dve stvari…
Ribarjenje in phishing
Kot otroka me ribolov, iskreno povedano, ni dosti zanimal. Tudi zdaj me ne, pa čeprav se vedno več prijateljev navdušuje nad to vrsto športa, sam imam namreč raje bolj aktivno rekreacijo. Sem pa vseeno s sošolcem iz osnovne šole nekaj krat šel sedet ob ribnik – tam sem tudi ulovil svojo prvo postrv, med poletnimi dopusti pa ob večerih spremljal očeta, kako navdušeno maha z ribiško palico in iz jadranske vode vleče morske mačke – babice, majhne špare in ostale priobalne ribe.
Kljub temu, da se nisem razvil v strastnega ribiča, pa me je ena stvar kar precej zanimala – škatla z vabami, ki se je bohotila raznoraznimi pisanimi silikonskimi črvi in trnki. Zakaj jih je bilo toliko? Preprosto so mi rekli, da se z različnimi vabami lovi različne ribe. Slišal sem besede, kot so »spun (spoon), blinker, spinnerbait« in še bi lahko našteval. Sam sicer tudi zdaj ne bi znal ločiti med eno in drugo vabo in tudi nimam pojma, kdaj uporabiti kakšno vabo. Sem pa dojel, da je najboljša vaba odvisna od tega, kaj privlači ciljni plen - riba, črv, koruza.
Zdaj, ko sem se znašel v svetu kibernetske varnosti, lahko vseeno nekako povežem ribarjenje in phishing. Angleško govoreči narodi so uspešno preimenovali ribarjenje (fishing) v »lažno predstavljanje« (phishing), saj vemo, da je najboljša vaba socialni inženiring, plen pa… mi.
Torej, kako lahko potem veščino ribarjenja uporabimo v praksi?
Iskanje in branje namigov
Za začetek si oglejmo koledar, preberimo ali poslušajmo novice. Pogovarjajmo se o aktualnih težavah. Vseeno je, ali rečemo prave ali lažne novice. Vabe so v svetu ribolova umetne, vendar ujamejo veliko plena. Viri informacij in obveščanja o grožnjah pa predstavljajo napovedovanje naslednje vabe - dogajanje v resničnem svetu. V svetu kibernetske varnosti je potrebno biti v sozvočju s človeškim vplivom in vsakodnevno spremljati log-e.
Najlažji model napovedovanja je koledar. Na primer prazniki, ko je potrebno biti še bolj previden. Verjetno bodo na površje priplavala e-poštna sporočila z vabljivimi temami, kot so »brezplačno«, »kuponi za popust«, »zadnja priložnost« itd.
Naslednji je cikel novic. To je malo več informacij, ki jih je treba presejati. Spet velja ista stara taktika, ko izberemo najboljše in šokantne zgodbe, ter poskusimo predvideti naslednjo vabo. Kateri so najbolj pogosti primeri?
Naravne nesreče: fotografije, s katerimi prikazujejo hudo stisko drugih. Zdravstvena kriza: Koliko ljudi je padlo na vabe COVID-19 - cepiva, lažne informativne zemljevide, lažne komplete za testiranje, lažno (in potencialno) nevarno osebno zaščitno opremo? Bližajoča se volilna kampanja: Bodite pripravljeni na e-pošto z odmevnimi naslovi, ki obljubljajo, da bodo vaše donacije pomagale favoriziranim političnim strankam priti na vrh.
Ne pustite se uloviti
Digitalna preobrazba je zelo pospešila phishing in ustvarila dosti novih virov za ribiče. S tem ko organizacije povečujejo uporabo tehnologije - bodisi v oblaku ali v hibridni rešitvi, postajajo grožnje bolj in bolj zahtevne. Pogosto se transformacija opravi z manj poudarka na kibernetski varnosti. Mit o tem, da so sistemi v oblaku varna pristanišča, samo še povečuje uspešen phishing napad.
Lažne strani za prijavo – landing page-i, so nova norma zajema uporabniških poverilnic. »Ribiči« uporabljajo isto "povezavo v e-pošti" za dostop, vendar so pri ustvarjanju prijavnih strani z ustreznimi logotipi in celo podobnimi imeni domen postali kreativni. S hitrim sprejetjem programske opreme kot storitve (SaaS) uporabniki niso prepričani, ali se morajo prijaviti ali ne.
Zmeda novega, skupaj s pomanjkanjem usposabljanja, olajša razbijanje uporabniških imen in gesel. Položaj je še slabši, saj te poverilnice omogočajo napadalcem dostop do vseh virov v oblaku. Z nogo »med vrati« lahko napadalci s programom SaaS privabijo več uporabnikov v organizaciji s končnim rezultatom ulova kita, torej nekoga z globalnimi skrbniškimi pravicami.
Ribiči so kreativni in neusmiljeni. Če še niste, uporabite nekaj najboljših praks, da ne bi postali ulov dneva:
- Bodite previdni pri e-poštnih sporočilih, ki zahtevajo vaše uporabniško ime ali geslo. Kraja poverilnic narašča, zlasti ker ljudje delajo od doma. Če ste v dvomih, vedno pokličite svojo službo za pomoč.
- Nikoli ne odpirajte datoteke, ki je priložena e-poštnemu sporočilu, če obstaja najmanjši dvom o njegovem izvoru. Če ne pričakujete e-poštnega sporočila s prilogo, pokličite osebo ali pošljite novo e-poštno sporočilo, da potrdite pošiljatelja in namen priloge. Nikoli ne odgovorite na e-poštno sporočilo za potrditev.
- Če vas prosijo za denar v dobrodelne namene, ustavite in potrdite vir ali, še bolje, pojdite na dejansko spletno mesto dobrodelne organizacije, tako da vnesete naslov spletnega mesta.
- Izobražujte uporabnike, ko se premikate v oblak.
- Uporabite varnostne funkcije rešitev za enotno prijavo in večfaktorsko overjanje.
Vedno se spomnite, da imate nadzor. Pametnejši ste od rib in pametnejši od današnjih ribičev. V vabe ni pametno zagristi.
Zaščita pred phishingom se lahko prične z majhnimi, a zelo učinkovitimi rešitvami Vade, ki s pomočjo umetne inteligence v realnem času preverja elektronsko pošto, ter konča z večjimi in kompleksnejšimi rešitvami za zaščito pred vdori, kot so na primer požarni zidovi nove generacije (NGFW) Palo Alto Networks.
Ne nasedajte vabam, zaščitite svoje podjetje pred neželjenimi stroški kibernetskih napadov! Kontaktirajte nas in skupaj bomo našli najboljšo in najbolj primerno rešitev za vaše podjetje.