W ostatnich latach dość często pojawiały się informacje o infekcjach wykorzystujących pocztę e-mail, wymierzonych w sieci firmowe, które zwykle miały związek z ransomware. Nic więc dziwnego, że oszuści co jakiś czas wykorzystują ten temat, aby zdobyć dane logowania do firmowych kont pocztowych, nakłaniając pracowników firmy do przeprowadzenia skanowania swojej skrzynki pocztowej.
Podstęp jest wymierzony w osoby, które wiedzą o potencjalnym zagrożeniu ze strony fałszywych programów w poczcie e-mail, ale nie do końca rozumieją, co z tą wiedzą zrobić. Pracownicy działu bezpieczeństwa informacji powinni gruntownie wyjaśnić te sztuczki pracownikom i użyć takich przykładów do zilustrowania, tego, na co powinni zwracać uwagę pracownicy, aby firma nie padła ofiarą cyberprzestępców.
Phishingowe wiadomości pocztowe
Takie oszukańcze wiadomości stosują tradycyjny trik polegający na zastraszaniu ofiar. Czasami jest on używany już na początku wiadomości — informuje o „Alercie wirusowym” i podkreśla wagę sytuacji poprzez użycie trzech wykrzykników. Może się wydawać, że interpunkcja jest kwestią błahą, lecz z punktu widzenia odbiorcy to pierwsza rzecz, która powinna wzbudzać czujność. Niepotrzebne znaki interpunkcyjne w komunikacji związanej z pracą są oznaką teatralnego podejścia lub braku profesjonalizmu. Tak czy inaczej, nie należy ich stosować w wiadomości rzekomo informującej o zagrożeniu.
Pierwszym pytaniem, na jakie odbiorca powinien sobie odpowiedzieć, jest to, kto jest adresatem wiadomości. Jak można przeczytać w wiadomości e-mail, brak podjęcia działania sprawi, że konto adresata zostanie zablokowane. Z reguły takie wiadomości wysyłają pracownicy działu IT, który obsługuje firmowy serwer pocztowy, albo pracownicy dostawcy usługi poczty.
Warto zapamiętać, że żaden dostawca ani pracownik wewnętrzny nie powinien wymagać od użytkownika uruchomienia skanowania zawartości skrzynki pocztowej. Proces ten odbywa się w sposób automatyczny na serwerze poczty. Ponadto „aktywność wirusów” rzadko występuje na koncie; nawet jeśli ktoś wysłał wirus, odbiorca musi go pobrać i uruchomić. Infekcja ma miejsce na komputerze, a nie na koncie pocztowym.
W naszym przypadku nazwa nadawcy wzbudza wątpliwości z dwóch powodów. Po pierwsze, wiadomość e-mail została wysłana z konta w domenie Hotmail, a w oryginalnym powiadomieniu wyświetlana byłaby domena firmy lub dostawcy. Po drugie, wiadomość rzekomo pochodzi od „zespołu ds. bezpieczeństwa poczty”. Jeśli firma, w której pracuje odbiorca wiadomości, używa zewnętrznego dostawcy usług pocztowych, w podpisie pojawiłaby się jego nazwa. A jeśli serwer pocztowy należy do infrastruktury firmowej, powiadomienie zostanie wysłane przez wewnętrzny dział IT lub bezpieczeństwa informacji — przy czym za bezpieczeństwo poczty e-mail raczej nie jest odpowiedzialny cały zespół.
Kolejnym aspektem, który wzbudza wątpliwości, jest łącze. Współczesne klienty poczty e-mail wyświetlają adres internetowy ukryty w hiperłączu. Jeśli odbiorca ma kliknąć skaner poczty e-mail znajdujący się w domenie, która nie należy do Twojej firmy ani dostawcy poczty, niemal na pewno jest to phishing.
Strona phishingowa
Strona przypomina wyglądem internetowy skaner poczty. Aby stwarzać wrażenie autentyczności, wyświetla ona loga producenta antywirusa. W nagłówku znajduje się nazwa firmy odbiorcy, co ma na celu rozwianie ewentualnych wątpliwości, do kogo należy narzędzie. Strona początkowo symuluje skanowanie, a następnie przerywa je i wyświetla wiadomość informującą, że odbiorca musi potwierdzić swoje konto, aby dokończyć skanowanie poczty e-mail i usunąć wszystkie zainfekowane pliki. Oczywiście w tym celu należy podać hasło do swojej poczty e-mail.
Aby ustalić charakter witryny, sprawdź treść paska adresu przeglądarki. Po pierwsze, jak już wspomnieliśmy, nie znajduje się on we właściwej domenie. Po drugie, adres internetowy najprawdopodobniej zawiera adres e-mail odbiorcy. Tu identyfikator użytkownika mógł zostać przesłany przez adres URL. Ale w przypadku jakichkolwiek wątpliwości co do legalności strony, wystarczy zastąpić ten adres dowolnymi znakami (zachowaj jednak symbol @, aby utrzymać format adresu e-mail).
Tego rodzaju strony używają adresu przekazanego w łączu w wiadomości phishingowej do wypełnienia pustych pól w szablonie strony. Na potrzeby eksperymentu użyliśmy nieistniejącego adresu victim@yourcompany.org — strona podstawiła „yourcompany” w nazwie skanera, a cały adres w nazwie konta, po czym zaczęła rzekomo skanować nieistniejące załączniki w nieistniejących wiadomościach e-mail. Powtarzając ten eksperyment z różnymi adresami, zauważyliśmy, że nazwy załączników w każdym „skanowaniu” były takie same.
Jest też inna niespójność: narzędzie rzekomo skanuje zawartość skrzynki pocztowej bez autoryzacji. Jeśli to prawda, dlaczego potrzebuje hasła?
Jak ochronić pracowników przed phishingiem
W poprzednich akapitach szczegółowo przeanalizowaliśmy oznaki phishingu zarówno w wiadomości e-mail, jak i fałszywej stronie skanera. Pokaż ten post pracownikom, aby zobaczyli, na co zwracać uwagę. Jednak to dopiero wierzchołek góry lodowej. Niektóre fałszywe e-maile są bardziej wyrafinowane i trudniej jest je zidentyfikować.
Z tego względu zalecamy zorganizowanie szkolenia zwiększającego świadomość kwestii bezpieczeństwa, w którym mogą wziąć udział wszystkie osoby w firmie — na przykład przy użyciu naszego rozwiązania Kaspersky Automated Security Awareness Platform.
Ponadto warto używać rozwiązań zabezpieczających, które potrafią wykrywać phishingowe wiadomości e-mail na serwerze poczty i blokować przekierowania na strony phishingowe na stacjach roboczych. W obu przypadkach idealnie sprawdzi się nasz Kaspersky Security for Business. Co więcej, w naszej ofercie znajduje się również rozwiązanie, które rozszerza wbudowane mechanizmy zabezpieczające pakietu Microsoft Office 365.