spam

Phishing korporacyjny w postaci oceny wydajności

Niedawno nasi eksperci wykryli schemat phishingowy, w którym cyberprzestępcy powołują się na proces oceny wydajności w firmie. W niektórych organizacjach takie oceny są rutynowym elementem procesu zmiany wynagrodzenia, co sprawia, że cały mechanizm ataku nie wzbudza podejrzeń.

Tatyana Shcherbakova
18/10/2019

Poszukując danych logowania do konta firmowego, cyberprzestępcy opracowują nowe sposoby zwabiania pracowników na strony phishingowe. Poprzednie kampanie spamowe wykorzystywały zaproszenia do platformy SharePoint i wiadomości głosowe.

Niedawno nasi eksperci wykryli inny schemat phishingowy, w którym cyberprzestępcy powołują się na proces oceny wydajności w firmie. Atak opiera się na dwóch założeniach: odbiorcy myślą, że ocena (a) jest obligatoryjna i (b) może być podstawą do uzyskania podwyżki. Warto tu wspomnieć, że w niektórych firmach takie oceny są rutynowym elementem procesu zmiany wynagrodzenia, co sprawia, że cały mechanizm ataku nie wzbudza podejrzeń.

A wszystko zaczyna się tradycyjnie, czyli od otrzymania wiadomości e-mail. Pracownik czyta w niej, że dział kadr zachęca do przeprowadzenia oceny wydajności. W tekście wiadomości znajduje się link do strony internetowej, na której należy wypełnić „formularz oceny”.

Przebieg ataku

Jeśli instrukcje mają brzmieć wiarygodnie, użytkownik musi kliknąć link, zalogować się, poczekać na wiadomość e-mail zawierającą szczegółowe informacje, a następnie wybrać jedną z trzech opcji. W przypadku osób, które są w firmie nowe i nie znają stosowanej w niej procedury oceny, kolejność działań może nie wzbudzać podejrzeń. Wątpliwości może nasuwać jedynie adres strony internetowej, który nie jest związany z żadnymi zasobami firmowymi.

Gdy pracownik kliknie takie łącze, zobaczy stronę logowania do „Portalu HR”. Jednak wygląda ona dość prymitywnie, co nie jest typowe w atakach phishingowych (zwykle strony logowania są stylizowane na takie, które należą do serwisów biznesowych). Ma ona jasne jednolite lub cieniowane tło i duże pola służące do wprowadzenia danych. Aby zwiększyć wrażenie autentyczności, oszuści proszą użytkownika o zaakceptowanie zasad polityki prywatności (jednak nie dają żadnego łącza do odpowiedniego dokumentu).

Ofiara ma wprowadzić dane do firmowej poczty e-mail: nazwę użytkownika, hasło i adres e-mail. W niektórych przypadkach oszuści wymagają wprowadzenia adresu firmowego. Klikając przycisk sugerujący logowanie lub rozpoczęcie procesu oceny, pracownik w rzeczywistości przekazuje dane cyberprzestępcom.

W tym momencie „ocena” nagle znika. Pracownik ma poczekać (na próżno) na obiecaną wiadomość e-mail zawierającą szczegółowe informacje. W najlepszym razie może zacząć podejrzewać, że wystąpił jakiś błąd, lub delikatnie upomnieć się w dziale kadr, który wówczas poinformuje dział bezpieczeństwa IT. W przeciwnym razie firma może nie zorientować się, że doszło do kradzieży tożsamości, nawet przez kilka miesięcy.

Zagrożenia związane z przechwytywaniem konta firmowego

Oczywiście wszystko zależy od tego, z jakich technologii korzysta wspomniana firma. Po uzyskaniu danych logowania pracownika cyberprzestępca może na przykład iść za ciosem i wysyłać ukierunkowane wiadomości phishingowe w imieniu ofiary do pozostałych pracowników firmy, partnerów czy klientów.

Atakujący mógłby również uzyskać dostęp do korespondencji lub wewnętrznych dokumentów poufnych, co zwiększa szanse pomyślnego ataku: wiadomości, które pochodzą rzekomo od ofiary, z pewnością nie tylko ominą filtry spamowe, ale także uśpią czujność odbiorców. Następnie skradzione informacje mogą zostać użyte do przeprowadzania różnego rodzaju ataków ukierunkowanych na tę firmę, w tym ataków typu Business E-mail Compromise (BEC).

Co więcej, wewnętrzne dokumenty i wiadomości pracowników mogą również zostać wykorzystane do innych celów, np. w celu szantażu lub sprzedaży konkurencji.

Jak zapewnić sobie ochronę przed atakami phishingowymi

Tego rodzaju ataki wykorzystują głównie czynnik ludzki. Z tego względu bardzo ważne jest uświadamianie pracowników w kwestii panujących w firmie procedur i procesów cyberbezpieczeństwa.

Regularnie przypominaj pracownikom, aby wszelkie łącza znalezione w wiadomościach e-mail traktowali jako podejrzane i otwierali je tylko wtedy, gdy ich autentyczność nie pozostawia wątpliwości.
Przypomnij pracownikom, aby nie wprowadzali szczegółów związanych z kontem firmowym na żadnej stronie zewnętrznej.
Spraw, aby wiadomości phishingowe były blokowane, zanim dotrą do skrzynki odbiorczej pracowników. W tym celu zainstaluj rozwiązanie zabezpieczające na poziomie serwera poczty. Tu dobrze sprawdzają się Kaspersky Security for Mail Server i Kaspersky Endpoint Security for Business Advanced.

Kampania APT w baśni pt. „Kot w butach”

Poznajcie naszą kolejną propozycję wykorzystania baśni do wyjaśniania schematów, w jakich działają cyberzagrożenia. Co ciekawe, można o nich podyskutować nie tylko z dziećmi.

Darmowe narzędzia

Ochrona ukierunkowana

Branże

Phishing korporacyjny w postaci oceny wydajności

Przebieg ataku

Zagrożenia związane z przechwytywaniem konta firmowego

Jak zapewnić sobie ochronę przed atakami phishingowymi

Rośnie liczba szkodliwego oprogramowania dostarczanego pocztą e-mail

Spam, który grozi detonacją bomby

Kampania APT w baśni pt. „Kot w butach”

Porady

Pięć wskazówek dotyczących ochrony przed oprogramowaniem ransomware

Przewodnik po bezpieczeństwie informacji dla nowych pracowników

Czy aplikacje mogą eliminować hałas?

Ataki ransomware na sektor opieki zdrowotnej

Zapisz się, aby otrzymywać informacje o nowych artykułach

Produkty dla domu

Produkty dla małych firm

Produkty dla średnich firm

Produkty dla korporacji

Securelist

Eugene Personal Blog