Jak bronić się przed spear-phishingiem (atakiem spersonalizowanym)

Jak bronić się przed spear-phishingiem? Co robić, by uchronić się przed atakami mailowymi spersonalizowanymi? W tym artykule pokażemy metody obrony przed atakami ukierunkowanymi.

Czym jest phishing?

Phishing w najprostszych słowach to próba wyłudzenia wrażliwych danych (takich jak loginy i hasła) poprzez podszywanie się. Przykładem phishingu może być e-mail podszywający się np. pod serwis społecznościowy, który prowadzi na podrobioną stronę z logowaniem — po wprowadzeniu danych te wędrują do atakujących, którzy zdobywają w ten sposób dostęp do prawdziwego konta.

Czym różni się spear-phishing od phishingu?

Atak spersonalizowany (jeden z polskich zamienników tego określenia) jest specyficznym rodzajem phishingu.

Ataki phishingowe są obecnie bardzo rozpoznawalnymi rodzajami ataku, co sprawia, że tracą na swojej skuteczności. Spear-phishing to bardziej wysublimowana ich forma, która wykorzystuje wiedze o ofierze. Fałszywy e-mail jest przygotowany specjalnie pod daną jednostkę, czy firmę, co znacznie zwiększa skuteczność tego rodzaju ataku.

Ataki spear-phishingowe przechodzą swoisty boom w ostatnim czasie z powodu popularności ataków ransomware. Gangi ransomware skupiają się obecnie na targetowanych atakach na korporacje (w przeciwności do masowych ataków na przypadkowe ofiary), a spersonalizowane ataki są jednym z najskuteczniejszych wektorów włamań. Analizy gangów ransomware, pokazują, że te często posiadają wyodrębnionych ludzi, którzy zajmują się zdobywaniem ogólnie dostępnych informacji (OSINT), które mają posłużyć właśnie do spear-phishingu.

Jak bronić się przed atakami spersonalizowanym?

Poniżej opracowaliśmy porady mającye na celu zmniejszenie ryzyka padnięcia ofiarą tego typu ataków.

Pamiętaj o głównych zasadach ostrożności podczas korzystania z e-maila

Należy pamiętać o głównych zasadach higieny gdy korzystamy z poczty elektornicznej:

• Zwróć uwagę na pole "od". Mimo że jest możliwe podrobienie adresu e-mail (adres może wyglądać dokładnie tak jak oryginał) to bardzo duża część phishingowych e-maili może być wyeliminowana, jeśli zwrócimy uwagę na domenę nadawcy. Hakerzy bardzo często podszywają się, używając domen, które różnią się literówką.
• Zwróć uwagę na błędy i podejrzaną gramatykę. Bardzo zaawansowane ataki mogą mieć bezbłędną treść, w mniej wysublimowanych przypadkach podejrzana gramatyka zdań może oznaczać korzystanie z tłumacza przez atakujących z innego kraju.
• Nie klikaj w linki. Mimo że nie da się tego unikać, gdyż praca biurowa często polega właśnie na wysyłaniu i ściąganiu dokumentów, powinniśmy podchodzić ze sceptycyzmem do każdej wiadomości zawierającej link lub plik do ściągnięcia.

Nie daj się zwieść presji czasu

Jednym z psychologicznych tricków, jakie są wykorzystywane w tego typu atakach (ale również w marketingu) jest presja czasu. Przykładem w kampaniach phishingowych jest e-mail informujący o zhakowaniu naszego konta i potrzebie bardzo szybkiego zresetowania hasła (i blokadą konta, jeśli tego nie zrobimy w określonym czasie). Nie należy nigdy panikować.

Podczas ataku spersonalizowanego możemy zostać postawienie w sytuacji wymagającej szybkiej reakcji takiej jak nagły wypadek. Niestety nie przez przypadek metody te stosowane są tak szeroko również w marketingu — są po prostu skuteczne. Należy być przygotowanym wcześniej na taką ewentualność i za każdym razem zwiększona presja powinna zwiększać również naszą czujność.

W przypadku jakichkolwiek podejrzeń zadzwoń do nadawcy

Zwykły telefon to bardzo skuteczna brań na tego typu ataki. W razie jakichkolwiek podejrzeń wystarczy wykonać szybki telefon potwierdzający treść e-maila.

Należy pamiętać, że atak spear-phishingowy również może mieć formę rozmowy telefonicznej. Jeśli dostaniemy telefon z banku, w której rozmówca próbuje uzyskać od nas informacje, powinniśmy doprowadzić do rozłączenia i oddzwonić do danej organizacji.

Ogranicz publicznie dostępne informacje o sobie

W atakach targetowanych najczęściej wykorzystywane są informacje, które są ogólnie dostępne. Tu należy przeanalizować w ryzyko, na jakie jesteśmy narażeni i dostosować odpowiednio ograniczenia.

Powinniśmy zacząć od ograniczenie dostępu do social media (w przypadku Facebooka mamy możliwość zablokowania wglądu w konto dla osób spoza grona znajomych). Dostępne dane mogą zostać wykorzystane również do wygenerowania haseł, z których możemy korzystać (co może ułatwić atak brute-force).

Należy również monitorować dane, które mogły wyciec podczas ataków. W przypadku haseł możemy to sprawdzić na stronie Have I Been Pwned.

Używaj uwierzytelnienia dwuskładniowego

Używaj 2FA gdzie tylko jest to możliwe. Coraz większa liczba stron umożliwia nam dodatkowe uwierzytelnienie. Jest to kolejne utrudnienie dla hakerów. Jeśli użyjemy 2FA (Two Factor Authentication), do zalogowania się na dane konto nie wystarczy sam login i hasło.

Zaimplementuj DMARC

Rekord DMARC ma na celu zapobiec fałszowaniu adresu nadawcy. DMARC pozwala definiować zachowania serwera pocztowego w przypadku prób podszycia się pod adres e-mail (spoofing).

Przeprowadź szkolenia i testy phishingowe

Szkolenia i testy phishingowe powinny być przeprowadzane regularnie. Niestety, ale ataki ukierunkowane mają bardzo wysoką skuteczność, dlatego czynne przygotowywanie załogi nie może być pomijane. Testy polegają na opracowaniu i wykonaniu realnego ataku przez specjalistów, po czym przygotowywana jest analiza reakcji pracowników. Testy mają na celu sprawdzenie obecnej świadomości i podatności załogi na tego typu ataki, jak również jej zwiększenie.