Większość serwisów internetowych ma wbudowany system bezpieczeństwa, który ostrzega swoich użytkowników, gdy wykryje na którymś z kont nietypową aktywność. Na przykład wysyłane są powiadomienia o tym, że ktoś próbuje zresetować połączony z kontem numer telefonu, adres e-mail lub hasło. Oczywiście, w miarę coraz bardziej rozpowszechnionego stosowania takich powiadomień zaczęli interesować się nimi także cyberprzestępcy, którzy próbują w ten sposób atakować pracowników firm.
Przykład fałszywego powiadomienia
Jeśli cyberprzestępcy podszywają się pod publiczną usługę online, zwykle dokładają wszelkich starań, aby kopia prawdziwej wiadomości była jak najdokładniejsza. Jeśli jednak polują na dostęp do wewnętrznego systemu, często muszą użyć wyobraźni, ponieważ nie wiedzą, jak powinna wyglądać taka wiadomość e-mail.
Wszystko w tej wiadomości wygląda zabawnie: od niepoprawnego języka po raczej wątpliwą logikę — wydaje się, że chodzi zarówno o połączenie nowego numeru telefonu, jak i wysłanie kodu umożliwiającego zresetowanie hasła. Wiarygodności wiadomości nie zwiększa także adres e-mail „pomocy technicznej”: nie ma powodu, dla którego taka skrzynka pocztowa miałaby znajdować się w obcej domenie (zwłaszcza chińskiej).
Atakujący mają nadzieję, że ich ofiara, obawiając się o bezpieczeństwo swojego konta, kliknie czerwony przycisk NIE WYSYŁAJ KODU. W efekcie zostanie przekierowana na stronę internetową naśladującą stronę logowania do konta, która (jak można sobie wyobrazić) zwyczajnie kradnie hasło. Następnie porwane konto pocztowe ofiary może zostać wykorzystane do realizacji ataków typu BEC lub jako źródło informacji do dalszych ataków przy użyciu socjotechniki.
O czym należy przypominać pracownikom firmy?
Aby zminimalizować szanse na to, że cyberprzestępcy dostaną w swoje ręce dane firmowe uwierzytelniające, przypominaj pracownikom o następujących kwestiach:
- Nigdy nie wolno klikać linków zawartych w automatycznych powiadomieniach dotyczących bezpieczeństwa — niezależnie od tego, czy wyglądają na prawdziwe, czy nie.
- Gdy otrzymasz takie powiadomienie, samodzielnie sprawdź ustawienia zabezpieczeń — w tym celu skorzystaj ze strony internetowej w przeglądarce.
- Jeśli język powiadomienia pozostawia wiele do życzenia (jak w powyższym przykładzie), najlepiej zignoruj je i usuń.
- Jeśli powiadomienie wygląda na prawdziwe, powiedz o nim działowi bezpieczeństwa — może ono być oznaką ataku ukierunkowanego.
Jak chronić pracowników firmy przed phishingiem?
Najlepiej jest tak zorganizować zabezpieczenia, aby wiadomości phishingowe nie trafiały na skrzynki odbiorcze pracowników. W idealnym przypadku cała niechciana korespondencja (w tym spam, wiadomości ze szkodliwymi załącznikami i wiadomości e-mail wykorzystywane do ataków BEC) powinny być przechwytywane na poziomie bramy pocztowej. Warto również korzystać ze stosowanego rozwiązania zabezpieczającego — niedawno zaktualizowaliśmy nasz produkt służący do ochrony poczty e-mail dla bram (więcej informacji znajduje się na stronie Kaspersky Secure Mail Gateway). Ponadto dobrym pomysłem jest solidne przeszkolenie pracowników.