W ostatnich latach ataki cybernetyczne dotykają przede wszystkim zwykłych obywateli. Niezależnie od tego, czy atakowana jest placówka medyczna, czy smartwatch, hakerzy coraz częściej łowią ofiary w sieci i skutecznie wyłudzają od nich dane dostępowe do kont bankowych czy pocztowych. I nie ulegnie to zmianie w najbliższej przyszłości. Wręcz przeciwnie, trend jest nieustannie wzrostowy. Czy na ataki phishingowe można się uodpornić? Zachęcamy do lektury naszego komentarza.
Czym jest phishing?
Phishing to technika wymierzona w użytkowników, którzy często stanowią najsłabsze ogniwo w zabezpieczeniach większości systemów. Za pomocą wiadomości e-mail, SMS lub jakiejkolwiek innej, np. w mediach społecznościowych, atakujący próbuje oszukać użytkownika i wymusić na nim wykonanie pozornie nieszkodliwego działania, które jednak może zasadniczo zagrozić bezpieczeństwu systemu informatycznego. Może to być wprowadzenie danych uwierzytelniających na fałszywej stronie banku lub uruchomienie złośliwego kodu na komputerze służbowym.
W pierwszym przypadku wiadomość phishingowa zawiera link do strony internetowej, na której można np. rzekomo odblokować konto po zalogowaniu lub podjąć inne niezbędne działania, zgodnie z instrukcją zawartą w wiadomości. W rzeczywistości jednak witryna, na którą loguje się użytkownik, podszywa się pod instytucję, która była rzekomo nadawcą danej informacji. Wprowadzone dane uwierzytelniające trafiają więc do atakujących. W drugim przypadku, gdy atakujący próbuje uruchomić złośliwy kod, załącznik zawarty w wiadomości e-mail zawiera pewien rodzaj bezpośrednio wykonywalnego pliku – np. makra uruchamiane w MS Word i Excel, lub załączony jest link do pobrania tego pliku. W ten sposób atakujący może uzyskać zdalny dostęp do komputera ofiary i sieci, do której jest podłączony, np. firmowej. Następnie pozostaje mu tylko wykorzystać inne luki w zabezpieczeniach, zaatakować inne urządzenia i ostatecznie zaszyfrować wszystkie dane i zażądać okupu – w taki sposób działa np. ransomware o nazwie Ryuk.
Wiadomości phishingowe mogą być wysyłane na oślep do tysięcy użytkowników. Czasami grono atakowanych jest ograniczone do wyselekcjonowanych osób, np. klientów konkretnego banku. Taki ukierunkowany atak nazywany jest spear phishingiem. Może koncentrować się na przykład na pracownikach konkretnej firmy i systemach, z których korzystają, lub na osobach zajmujących określone stanowisko w różnych przedsiębiorstwach. Phishingowe wiadomości e-mail naśladują styl używanej komunikacji i nie zawierają błędów językowych. Sukces takich ukierunkowanych ataków jest wtedy znacznie wyższy, ale rośnie również złożoność ich przygotowania.
Phishing, podobnie jak inne ataki ukierunkowane na użytkownika, wykorzystuje manipulacyjne techniki inżynierii społecznej. To m.in. emocje, takie jak strach przed możliwą karą czy presja wynikająca ze stresującej sytuacji lub chęci pomocy komuś innemu.
Phishing jako część testów penetracyjnych
Kampanie phishingowe są prowadzone nie tylko przez przestępców, ale również przez osoby po drugiej stronie barykady. Taki atak phishingowy może zostać przeprowadzony samodzielnie lub jako część testu penetracyjnego, który oprócz luk w sieci wewnętrznej lub interfejsach dostępnych online, weryfikuje również zachowanie samych użytkowników. Reasumując – jest to doskonałe narzędzie zarówno do wykrywania podatności, jak i edukowania pracowników z zakresu zachowania bezpieczeństwa.
Podczas testu penetracyjnego symulowany jest w pewnym stopniu atak na dany system informatyczny, identyfikowane i badane są słabe punkty oraz wykorzystywane są możliwe konsekwencje wynikające z wykorzystania tej podatności. W przeciwieństwie do rzeczywistego ataku, taki rodzaj testu nie skutkuje wyciekiem wrażliwych informacji lub zaszyfrowaniem danych. Klient otrzymuje szczegółowy raport opisujący znalezione luki i zalecenia dotyczące ich eliminacji.
Testy phishingowe, podobnie jak inne rodzaje testów penetracyjnych, są zazwyczaj wykonywane przez zewnętrzną firmę zajmującą się bezpieczeństwem, która posiada doświadczony personel, niezbędną wiedzę i narzędzia.
Specyfikacja testu phishingowego
Przed faktycznym wdrożeniem kampanii phishingowej konieczne jest jasne zdefiniowanie zakresu testu z klientem, tj. przede wszystkim określenie:
- którzy użytkownicy mają być celem ataku,
- czy zamawiający udostępnia adresy e-mail pracowników, czy też w pierwszej fazie testerzy próbują samodzielnie wyszukać informacje w Internecie,
- wstępny scenariusz ataku, tj. czy próbować uzyskać dane uwierzytelniające (i do którego systemu), czy uruchomić określony kod – przy większej liczbie użytkowników można przeprowadzić więcej kampanii phishingowych dla różnych grup użytkowników, a następnie porównać statystyki,
- wymagania stawiane przez instytucję zamawiającą, które mogą mieć znaczenie przy testowaniu – czy np. złośliwy kod opracowany przez testera musi wykraczać poza możliwości techniczne danej organizacji,
- czy jest to projekt jednorazowy czy powtarzalny,
- czy przewidywane są ewentualne inne działania, np. szkolenia użytkowników, usługi konsultingowe, itp.
Testy mogą symulować prawdziwy atak – sytuację, w której testerzy mają do dyspozycji mniejszą ilość informacji i muszą najpierw spróbować znaleźć je w Internecie (adresy e-mail, używane systemy, adresy interfejsów logowania itp.) Z drugiej strony, takie testy są bardziej czasochłonne, co pociąga za sobą wyższe koszty ich realizacji.
Po sprecyzowaniu zakresu testów, opracowany zostanie scenariusz ataku, a w szczególności treść samej wiadomości phishingowej. Może to być np. wiadomość z działu IT z prośbą o zalogowanie się do nowej wersji aplikacji webowej, prośba o odblokowanie dostępu do aplikacji lub załączona niezapłacona faktura. Jeśli wymaga tego scenariusz, tworzona jest fałszywa strona logowania, najlepiej wyglądająca tak samo jak system faktycznie wykorzystywany w organizacji, z podobnym adresem i bezpiecznym połączeniem HTTPS.
Po wysłaniu wiadomości phishingowych automatycznie przechwytywane są wprowadzone dane uwierzytelniające lub informacje wysłane po uruchomieniu złośliwego kodu testowego. Największą liczbę rekordów uzyskuje się zwykle kilka godzin po wysłaniu wiadomości e-mail, jednak dane są rejestrowane przez około tydzień, aby np. pracownicy, którzy wzięli urlop, mogli zareagować.
Podstawowym wskaźnikiem oceny kampanii phishingowej jest jej sukces, mierzony jako odsetek użytkowników, którzy wykonali akcję żądaną przez atakującego. Ze strony działu IT instytucji zamawiającej możliwe jest wówczas monitorowanie liczby zgłoszonych e-maili phishingowych. Jeśli równolegle prowadzonych jest wiele kampanii z wieloma scenariuszami, można porównać ich powodzenie. Z punktu widzenia atakującego niektóre kampanie mogą zakończyć się niepowodzeniem, jeśli nie uda się nabrać żadnego użytkownika lub jeśli zadziałają niektóre środki techniczne (antyspam, antywirus). Jednak sukces dobrze ukierunkowanej kampanii może często przekraczać 50%. Warto w tym miejscu pamiętać, że nawet jedna osoba, która się nabierze na phishing, może wystarczyć do skutecznego naruszenia bezpieczeństwa sieci lub systemu.
Efektem testu phishingowego, podobnie jak w przypadku innych testów penetracyjnych, jest raport końcowy, który opisuje przebieg testów, zidentyfikowane niedociągnięcia i zawiera zalecenia dotyczące poprawy stanu. Po symulowanej kampanii phishingowej może nastąpić szkolenie użytkowników z zakresu bezpieczeństwa IT. Sam test, odpowiednio przemyślany i zaprezentowany, może być rozumiany jako forma praktycznego szkolenia użytkowników. Testy phishingowe i szkolenia użytkowników najlepiej powtarzać (np. co roku), gdyż z czasem pracownicy przestają zachowywać ostrożność, a dodatkowo często w firmie zachodzi rotacja. W przypadku powtarzalnych testów możliwe jest monitorowanie długoterminowych trendów i wpływu szkoleń na powodzenie poszczególnych kampanii phishingowych.
Korzyści z testów phishingowych
Zastanawiasz się, w jaki sposób bezpieczny atak phishingowy przeprowadzony przez testerów penetracyjnych może Ci pomóc? Wykrywa on przede wszystkim potencjalne luki w zabezpieczeniach, a warto pamiętać, że wiadomości phishingowe często są pierwszym krokiem do poważniejszych incydentów. Pentest weryfikuje także, czy wdrożone środki techniczne i zabezpieczenia działają, oraz czy tego typu rodzaje ataków są skutecznie mitygowane. Na koniec – większa świadomość użytkowników na temat zagrożeń związanych z komunikacją wewnątrz i zewnątrz firmy. W połączeniu z innymi rodzajami testów penetracyjnych jest to świetna symulacja możliwości, którymi dysponuje prawdziwy atakujący.
Oczywiście, niezastąpioną rolę w obronie przed phishingiem i ewentualnym późniejszym włamaniem do innych systemów pełnią również prawidłowa konfiguracja systemów oraz różnego rodzaju środki techniczne – filtrowanie spamu, rozwiązania antywirusowe, czy to w ramach serwera poczty elektronicznej, czy na stacjach końcowych, monitorowanie zdarzeń bezpieczeństwa i komunikacji sieciowej (SIEM, IDS / IPS). Oprócz testów penetracyjnych, firma zajmująca się kompleksowym bezpieczeństwem IT taka jak Axians może również zaoferować wsparcie w powyższych obszarach i zaprojektować rozwiązanie dostosowane do Twoich potrzeb.