08/12/2017

Co to jest „phishing ukierunkowany”?

Biznes MŚP

Jeśli to nie jest Twoja pierwsza wizyta na naszym blogu, prawdopodobnie wiesz już, co to jest phishing. Jeśli o nim nie słyszałeś, zajrzyj do tego posta. Zasadniczo phishing to rodzaj oszustwa, którego celem jest wyłudzenie danych osobistych: loginów, haseł, numerów portfeli itd. Można go określić mianem cyfrowej socjotechniki.

Odmianą phishingu jest phishing ukierunkowany (ang. spear phishing). Czym się różnią? Phishing ukierunkowany atakuje konkretną osobę, np. pracownika danej firmy.

Ten świadomy wybór sprawia, że phishing ukierunkowany jest znacznie bardziej niebezpieczny; cyberprzestępcy skrupulatnie gromadzą informacje o ofierze, aby przygotować tak kuszącą „przynętę”, jak to tylko możliwe. Dobrze przygotowana wiadomość phishingowa może być niezmiernie trudna do odróżnienia od prawdziwej, dlatego phishing ukierunkowany jest o wiele skuteczniejszy od tradycyjnego.

Kto i dlaczego wykorzystuje phishing ukierunkowany?

Za phishingiem ukierunkowanym kryją się dwa motywy: kradzież pieniędzy i/lub zdobycie tajemnic. W każdym przypadku najpierw należy przedostać się do sieci firmowej. W tym celu zwykle wysyła się do pracowników wiadomości e-mail zawierające szkodliwe dokumenty czy archiwa. Tak działała na przykład grupa stojąca za atakami Silence.

W dokumencie mogą zostać użyte makra w kodzie programu Microsoft Word czy JavaScript — zwykle jest to prosty, maleńki program wbudowany w standardowe pliki, którego jedynym celem jest pobranie na komputer ofiary znacznie bardziej szkodliwego oprogramowania. Następnie nowy szkodliwy program rozprzestrzenia się w sieci ofiary lub przechwytuje możliwe do zdobycia informacje, pomagając swoim autorom w odnalezieniu w sieci tego, co ich interesuje.

Phishing ukierunkowany nie jest dla drobnych oszustów, którzy próbują zarzucić swoją sieć tak szeroko, jak to tylko możliwe. Oni zwykle nie mają czasu lub środków, aby dostosować swoją broń.

Phishing ukierunkowany jest narzędziem wykorzystywanym w poważnych atakach na duże firmy, banki czy wpływowych ludzi. Jest on wykorzystywany w dużych, zaawansowanych, długotrwałych kampaniach APT, takich jak Carbanak czy BlackEnergy. Ta odmiana phishingu została również użyta w atakach Bad Rabbit, które rozpoczęły się od infekcji poprzez pocztę e-mail.

Kto może zostać celem?

Najczęściej ofiarami phishingu ukierunkowanego są pracownicy wysokiego szczebla, którzy mają dostęp do potencjalnie wartościowych informacji, jak również pracownicy działów, do których spływa wiele dokumentów z zewnątrz.

Na przykład celem może zostać dział kadrowy: jego pracownicy otrzymują wiele życiorysów we wszelkiego rodzaju formatach. W ich przypadku e-maile z załącznikami od nieznanych źródeł nie są ani zaskakujące, ani podejrzane. Podatne są także działy kontaktu z mediami czy sprzedaży.

Szczególnie narażony jest również dział księgowości. Jego pracownicy kontaktują się z kontrahentami i odpowiednimi organami. Oprócz tego mają oni do czynienia z pieniędzmi i oprogramowaniem bankowym. Jeśli chodzi o hakerów szukających gotówki, księgowość jest celem idealnym.

Z kolei osoby trudniące się szpiegostwem są bardziej zainteresowane pracownikami, którzy posiadają dostęp do systemów wewnętrznych — administratorami i personelem działu IT.

Nie daj się zwieść, że phishing ukierunkowany zagraża tylko dużym firmom — oszustów interesują także małe i średnie przedsiębiorstwa. Duże firmy są bardziej narażone na szpiegostwo, a z kolei średnie i mniejsze firmy częściej spotyka kradzież.

Jakie są sposoby ochrony przed phishingiem ukierunkowanym?

Ogólnie techniki zabezpieczenia się przed phishingiem ukierunkowanym są takie same jak w przypadku zwykłego phishingu. W jednym z naszych postów wymieniliśmy 10 wskazówek, które zwiększają poziom ochrony przed tym zagrożeniem. Jedyną różnicą jest fakt, że phishing ukierunkowany wymaga bardzo spostrzegawczego oka.

Idealnie by było, gdyby wiadomości phishingowe w ogóle nie trafiały do naszych skrzynek. W infrastrukturze firmowej powinny one być filtrowane na poziomie serwera poczty. Pomóc w tym mogą specjalne pakiety oprogramowania; na przykład Kaspersky Security for Mail Server używa technologii chmury, aby blokować szkodliwe załączniki i odnośniki phishingowe.

Aby zapewnić sobie jeszcze większą ochronę, system zabezpieczający powinien mieć strukturę wielowarstwową. Nie można przecież wykluczyć, że pracownicy używają zewnętrznych usług poczty lub otrzymają odnośnik phishingowy w komunikatorze. W związku z tym lepszym pomysłem jest wyposażenie komputerów pracowników w taki program, który potrafi wykryć szkodliwą aktywność w aplikacjach najczęściej używanych przez atakujących. Jednym z takich rozwiązań jest Kaspersky Endpoint Security for Business.