Phishing w miejscu pracy — Jak zabezpieczyć dane firmowe?

Phishing jest rodzajem ataku opartym na inżynierii społecznej (socjotechnice), czyli polegającym na stosowaniu manipulacji i innych środków psychologicznych w celu pozyskania informacji bądź nakłonienia ofiary oszustwa do określonych działań. Nazwa "phishing" wzięła się od przekształcenia angielskiego słowa "fishing", które oznacza łowienie ryb ze względu na to, że przestępcy posługujący się tą metodą podszywają się najczęściej pod znane firmy, instytucje lub ważne osoby (np. partnera biznesowego danej firmy lub przełożonego pracownika) w celu wprowadzenia swojej ofiary w błąd, co ma skutkować wyłudzeniu od niej poufnych informacji, takich jak dane osobowe, finansowe, uwierzytelniające, biznesowe lub medyczne.

Najczęściej ataki phishingowe przeprowadzane są przy pomocy poczty elektronicznej lub portali społecznościowych, ale z rzadka zdarza się także phishing poprzez wiadomości SMS. Zdarza się jednak również, że oszuści podszywają się osobiście pod firmę kurierską w celu wyłudzania niewielkich opłat lub przechwytywania przesyłek firmowych. W zależności od typu takiej formy oszustwa, jej ofiarą może paść konkretna osoba (na przykład pracownik banku niższego szczebla albo członek zarządu) bądź może być skierowany do wielu losowych osób naraz, licząc, że chociaż od jednej uda się wyłudzić chronione dane logowania, osobowe, finansowe bądź inne.

W niniejszym artykule zostały poruszone następujące zagadnienia dotyczące phishingu:

• Czym jest phishing i jakie działania oszustów obejmuje;

• Jakie są najczęstsze oznaki prób phishingowych podejmowanych w celu wyłudzenia poufnych informacji;

• Jakie dane najczęściej padają celem phishingu;

• Kto najczęściej pada ofiarą phishingu;

• Jakie szkody może wyrządzić udany atak phishingowy w firmie;

• Jakie są ataki phishingowe najczęściej wymierzone w pracowników;

• Przykłady ataków phishingowych wymierzonych w pracowników;

• W jaki sposób pracownicy mogą chronić się przed phishingiem;

• Jak zareagować na budzącą wątpliwości wiadomość e-mail lub inne próby phishingu;

• Jakie szkolenia z zakresu cyberbezpieczeństwa mogą pomóc pracownikom;

• Jakie procedury bezpieczeństwa powinny wdrażać firmy, aby zapobiegać atakom phishingowym.

Czym jest phishing i jakie działania obejmuje?

Definicją phishingu określa się metodę oszustwa polegającą na podszywaniu się pod inną firmę, instytucję bądź osobę w celu wyłudzenia poufnych informacji, które mają posłużyć do popełnienia przestępstwa (oszustwa finansowe, nakłonienie do określonych działań, sprzedaż baz danych osobowych, zainfekowanie komputera szkodliwym oprogramowaniem). Zazwyczaj takie działania przeprowadzane są przy pomocy poczty elektronicznej lub przez kanały komunikacyjne w mediach społecznościowych, ale również wiadomości SMS. Oszust przeprowadzający ataki typu phishing ma na celu nakłonienie ofiary do ujawnienia poufnych informacji z własnej woli dzięki przekonaniu, że udostępnia je ona osobie do tego upoważnionej (najczęściej stosuje się spear phishing). Jednak zdarzają się również metody manipulacyjne polegające na wzbudzaniu poczucia strachu, przez co ofiara udostępnia wrażliwe dane w przekonaniu, że zostaną one wykorzystane dla celu zabezpieczenia naruszonych danych uwierzytelniających lub środków finansowych. Najczęściej w wiadomości e-mail, SMS lub wiadomości prywatnej na komunikatorze wysyłany jest link prowadzący do strony, która z pozoru przypomina prawdziwą witrynę. Pracownik po kliknięciu zostaje na nią przekierowany — często pozostając nieświadomy, że padł właśnie ofiarą oszustwa i poprzez wpisanie prawdziwych danych lub pobrania na komputer złośliwego oprogramowania, chronione informacje zostaną przechwycone przez osobę nieupoważnioną do posiadania dostępu. Co ważne, fałszywe wiadomości lub podejrzane linki, mogą być wysyłane niekoniecznie przez osoby obce, ale również byłych pracowników firmy czy osoby będące w trakcie zwolnienia, które chcą uzyskać dostęp do wrażliwych danych w celu przekazania ich konkurencji (dane biznesowe, uwierzytelniające).

Rodzaje phishingu

Phishing bazuje na jednym z trzech rodzajów ataków mających na celu wyłudzenie danych od ofiary, które różnią się w zależności od tego, kto jest celem takiego cyberataku — metody dobierane przez oszusta mogą być zastosowane wobec wszystkich grup, dlatego nie mają one aż takiego znaczenia. Zalicza się do nich:

Spear phishing — Jest on spersonalizowany pod konkretną potencjalną ofiarę, co ma za zadanie uśpienie jej czujności i wykorzystanie tego, że jest ona nieświadoma zagrożenia. Metoda ta jest najczęściej stosowana, gdyż w aż ok. 91% przypadków kończy się ona powodzeniem. Najczęściej wykorzystuję się ją do uzyskania danych uwierzytelniających, co pozwala na włamanie się do baz danych lub systemu firmy, a w związku z tym — umożliwienia przestępcy dokonania szkód na bardzo dużą skalę. Najczęściej oszuści podszywają się pod przełożonych lub pracowników, nakłaniając na przykład do zresetowania danych do logowania w celu ustawienia nowych, co skutkuje otwarcie przestępcy przysłowiowej furtki do informacji chronionych lub wręcz systemu firmy. Niekiedy ta metoda wykorzystywana jest również do pozyskania od konkretnych pracowników informacji, która może zostać wykorzystana do szantażowania osoby znajdującej się na wyższym szczeblu. W celu zastosowania tej metody niezbędna jest znajomość celu, w kierunku którego będzie wymierzony atak oraz pozyskania informacji niezbędnych do uzyskania jego zaufania.

Clone phishing — Metoda ta opiera się głównie na wysokim zaufaniu społecznym, jakim jest obdarzona firma, pod którą podszywa się oszust. Atak wymierzony przy pomocy wiadomości phishingowych w grupę pracowników lub użytkowników bez konieczności posiadania wiedzy o każdej z jednostek. Najczęściej stosowany w celach pozyskania danych finansowych bądź osobowych. Najczęściej wzorowany jest na rzeczywistej wiadomości e-mail nadawcy, co ma na celu uśpić czujność i nakłonić do pobrania złośliwego załącznika lub kliknięcia w link fałszywej strony (prawdziwe zostają zastąpione fałszywymi wersjami, które posiadają niewielkie różnice w adresie strony lub nazwie pliku, co może skutkować przeoczeniem ze strony dużej liczby nawet wieloletnich użytkowników). Często takie ataki mają na celu przechwycenie jak największej ilości danych, aby później je odsprzedać, włamania się na urządzenia użytkowników lub wykorzystania ich danych do dokonania oszustwa finansowego na szeroką skalę.

Whaling — Jest to rodzaj ataków wymierzonych głównie w kierownictwo wyższego szczebla, członków zarządu i inne ważne osobistości z branży biznesowej. Podobnie, jak w przypadku spear phishingu, wymaga znajomości celu, wobec którego zostaną podjęte odpowiednie działania. Zazwyczaj stosowany jest tutaj phishing e-mail, który jest wzorowany na rzeczywistych wiadomościach pochodzących od ważnych partnerów biznesowych lub współpracowników. Wymaga to dobrej infiltracji celu oraz osób, z którymi przeprowadza interesy w celu uśpienia czujności. Najczęściej wiadomości wzorowane są na pismach urzędowych lub pochodzących z kancelarii prawnych, co zwiększa szansę na pobranie załącznika ze złośliwym oprogramowaniem lub kliknięcia w link przekierowujący do fałszywej witryny internetowej.

Najczęstsze oznaki prób phishingowych w celu wyłudzenia poufnych informacji

W przypadku phishingu, podejmowane są konkretne działania mające na celu pozyskanie poufnych informacji, co ułatwia ich rozpoznanie potencjalnym ofiarom i pomaga efektywniej chronić dane logowania, konta bankowego, osobowe oraz inne poufne dane. W dzisiejszych czasach, kiedy większość spraw załatwianych jest za pośrednictwem Internetu, phishing najczęściej przybiera rodzaj cyberataku, gdyż zapewnia oszustom łatwiejsze zachowanie anonimowości, a co najmniej utrudnia namierzenie cyberprzestępców, którzy mogą już wykorzystać wyłudzone dane w niezgodnych z prawem celach.

Przykłady phishingu — Na jakie oznaki należy zwrócić uwagę?

Do najczęstszych oznak podejmowanych ataków phishingowych można zaliczyć:

1. Wiadomości phishingowe przesyłane drogą e-mailową zawierające link przekierowujący do fałszywej strony internetowej do złudzenia przypominającej oficjalną stronę firmy bądź instytucji. Może różnić się powieleniem jednej litery lub strukturą adresu strony — np. posiadać człon "www" zamiast nazwy firmy pisanej od razu po protokole http lub ".pl" zamiast "com.pl" i na odwrót. Czasami dochodzi nawet do tego, że wygląd strony mógł zostać skopiowany, co sprzyja wprowadzeniu potencjalnej ofiary w błąd. Dlatego też przed kliknięciem w którykolwiek z linków, należy sprawdzić źródło witryny internetowej poprzez nakierowanie kursora myszy — w przypadku braku zgodności, nie należy w nią klikać. Warto pamiętać, że niektóre adresy służące oszustom do phishingu mogą być szyfrowane certyfikatem SSL, zanim zostaną wykryte i zamknięte przed odpowiedzialne za to instytucje, chociaż zdarza się to niezwykle rzadko. Dlatego warto pamiętać, że ikonka kłódki przy adresie nie jest gwarancją całkowitego bezpieczeństwa witryny.

2. Fałszywe profile na portalach społecznościowych z krótkimi datami postów, które mają na celu podszycie się pod konkretną osobę lub firmę i zareklamowanie korzystnej oferty zachęcającej do złożenia zamówienia i dokonania przelewu pod linkiem przekierowującym do fałszywego portalu płatniczego, co skutkuje uzyskaniem od użytkownika jego danych osobowych (imię, nazwisko, numer PESEL, dane kontaktowe i adresowe) oraz finansowych (dane karty płatniczej, numeru konta bankowego, danych logowania do konta bankowego).

3. Poprzez wiadomości SMS lub e-mailowe skierowane do klientów banków. Ich nadawca, podając się za pracownika banku, prosi o dane dostępowe do konta bankowego i danych karty kredytowej w celu weryfikacji posiadacza powołując się na fałszywe zagrożenie bezpieczeństwa konta użytkownika. Jest to rodzaj oszustwa finansowego.

4. Podszywanie się pod profil znajomej osoby, współpracownika lub przełożonego w mediach społecznościowych, cyberprzestępcy wysyłają fałszywe wiadomości z adresem linku przekierowującym do podejrzanych portali aukcyjnych lub strony ze złośliwym oprogramowaniem, które zostaje pobrane automatycznie po kliknięciu przesłanego linku bądź pobraniu załącznika. Celem twórców złośliwego oprogramowania jest często nakłonienie z wykorzystaniem metod socjotechnicznych ofiary do jego pobrania. Mogą stosować tzw. podwójne rozszerzenie pliku, aby wprowadzić ofiarę w błąd (np. TXT.vbs).

5. Podawanie się za kuriera w celu odebrania poufnych przesyłek z firmy — dochodzi do przechwycenia ważnych firmowych dokumentów lub przesyłek skierowanych do partnerów biznesowych zawierających ważne dane.

6. Podszywanie się pod firmy świadczące usługi online w celu kradzieży danych logowania, przechwycenia numeru karty kredytowej lub wymuszające podanie poufnych informacji, jak chociażby osobowe. W przypadku podszywania się pod firmę, która prowadzi rekrutację na dane stanowisko, może dojść również do wyłudzenia serii i numeru dowodu osobistego podczas prośby o jego skan w celach sporządzenia umowy.

Jakie dane najczęściej padają celem ataków phishingowych?

Można wyróżnić aż pięć rodzajów danych, które mogą zostać pozyskane w wyniku przeprowadzenia udanego ataku phishingowego. Cyberprzestępcy na cel najczęściej obierają dane uwierzytelniające, które dają im dostęp do kont pracowniczych i systemów firmowych, co może poważnie zaszkodzić danemu przedsiębiorstwu, jego klientom czy partnerom biznesowym, jeśli dojdzie do wycieku danych chronionych. Drugie w kolejności są dane finansowe, które umożliwiają pozyskanie numerów kart kredytowych lub danych kont klientów banku. Również celem może być przechwycenie danych osobowych i firmowych, co może zostać na czarnym rynku sprzedane konkurencyjnym przedsiębiorstwom czy firmom zajmującym się skupowaniem baz danych. Na ostatnim miejscu znajdują się dane medyczne, jednak ich zdobycie często służy przestępcom do zastraszania ofiary upublicznieniem informacji na temat jej stanu zdrowia lub przebiegu leczenia, dzięki czemu można wyłudzić od niej korzyści finansowe lub zmusić do udzielenia informacji niezbędnych do wykonania większego ataku phishingowego wymierzonego w wysoko postawioną osobę (whaling).

Poufne dane dzieli się na pięć kategorii:

• Dane uwierzytelniające (loginy i hasła, tokeny dostępu, klucze API, pytania pomocnicze do logowania, e-maile i numery telefonów uwierzytelniające itp.);

• Dane finansowe (dane kont bankowych, numery kart kredytowych, historia transakcji itp.);

• Dane osobowe (imię i nazwisko, adres, numer PESEL, dane kontaktowe, numer i seria dowodu osobistego itp.);

• Dane biznesowe (dane kontrahentów i klientów, tajemnice i strategie handlowe itp.);

• Dane medyczne (wyniki badań, historia chorób, informacje o przebiegu leczenia itp.).

Kto najczęściej pada ofiarą phishingu?

Phishing opiera się na podszywaniu się pod firmy, instytucje lub osoby, które rzeczywiście istnieją najczęściej w celu nakłonienia do kliknięcia w dołączony do wiadomości link przekierowujący do nieznanych źródeł lub poprzez pobranie załącznika, przy pomocy których oszust uzyskuje dostęp do danych chronionych lub infekuje komputer firmowy złośliwym oprogramowaniem. Dlatego też najczęstszymi ofiarami takich ataków są pracownicy firm. Zazwyczaj są oni osobami posiadającymi dostęp do baz danych lub innych informacji chronionych, które mogą zostać wykorzystane w niecnych celach, zaś ich utrata skutkuje nadszarpnięciem zaufania klientów bądź partnerów biznesowych. Może to zostać wykorzystane nie tylko dla pozyskania osobistych korzyści, ale również innej podejrzanej aktywności, jak chociażby nieuczciwej konkurencji, która ma na celu zdeprecjonować reputację innej firmy lub sprawić, że zaufanie jej klientów zostanie utracone, co może skutkować przeniesieniem kont lub korzystaniem z usług konkurującego przedsiębiorcy.

Jakie szkody może wyrządzić udany atak phishingowy w firmie?

Udany atak phishingowy może skutkować przechwyceniem bazy danych klientów firmy, pracowników lub partnerów biznesowych, co skutkuje utratą zaufania i wizerunku firmy w branży. Ponadto uzyskanie danych uwierzytelniających administratorów może doprowadzić do włamania się do systemu i przeprowadzenia ataku hakerskiego. Z kolei udane przechwycenie danych płatniczych może doprowadzić do oszustw finansowych. Przechwycenie danych dotyczących strategii biznesowych firmy może zostać wykorzystane przez konkurencję, co w efekcie doprowadzi do utraty pozycji na rynku i zysków firmy.

Jak pracownicy mogą chronić się przed phishingiem?

W obliczu licznych cyberzagrożeń niezwykle istotne jest edukowanie pracowników firmy, jak mogą rozpoznać phishing i mu zapobiegać — zarówno w przypadku otrzymania niebezpiecznych wiadomości za pośrednictwem poczty elektronicznej lub SMS, jak i w zakresie reagowania na wycieki danych, do których już doszło. Z racji tego, że najczęstszym powodem powodzenia ataków phishingu jest błąd ludzki, to właśnie świadomość zagrożeń może najwięcej wnieść do działań profilaktycznych. Dobrym pomysłem będzie podanie przykładów phishingu i ich rodzajów (pamiętając, że pracownicy najbardziej narażeni są na spear phishing odznaczający się najwyższą skutecznością). Należy również przeszkolić pracowników ze sposobów postępowania w przypadku, kiedy otrzymają wiadomość budzącą ich wątpliwości. Najlepszym sposobem pracowników na uchronienie się przed phishingiem jest niereagowanie na fałszywe maile i SMSy oraz nieotwieranie linków, jeśli budzą one podejrzenia, a następnie zgłoszenie pojawienia się takowych na ich skrzynkach odbiorczych odpowiednim osobom oraz instytucjom.

Jak zareagować na podejrzaną wiadomość e-mail lub inne próby phishingu?

Jeśli otrzymasz wiadomość zawierającą link lub załącznik, które budzą Twoje wątpliwości — nie otwieraj zawartych w niej linków i nie pobieraj załączników. Zwłaszcza jeśli treść zawiera błędy językowe, których nie popełniają pracownicy Twojej firmy, należy zaraportować ją do zespołu reagowania na incydenty komputerowe CERT Polska na stronie: https://incydent.cert.pl lub wysłać zgłoszenie przy pomocy poczty elektronicznej na adres: cert@cert.pl. Ponadto otrzymanie takiej wiadomości należy zgłosić przełożonemu oraz do działu IT w firmie, aby zostały podjęte dalsze kroki w celu ostrzeżenia pozostałych pracowników.

Jakie szkolenia z zakresu cyberbezpieczeństwa mogą pomóc pracownikom?

Jednym z rodzajów szkoleń pracowniczych są szkolenia z zakresu cyberbezpieczeństwa, które obejmują między innymi sposoby ochrony przed atakiem phishingowym. Regularne ich przeprowadzanie ma na celu uświadamianie pracowników o cyberzagrożeniach, z jakimi mogą się spotkać i nauczyć reagowania na nie. Jednak warto przeprowadzać również takie, które obejmują następujące zagadnienia:

• Zagrożenia cyberbezpieczeństwa w miejscu pracy (naruszenie i wyciek danych osobowych, rozpoznawanie prób phishingu i podejrzanych działań, ataki hackerskie itp.) i metody zapobiegania im;

• Zabezpieczanie urządzeń i danych;

• Zasady bezpiecznego korzystania z Internetu;

• Tworzenie silnej polityki cyberbezpieczeństwa w firmie;

• Czym są protokoły bezpieczeństwa i jak ich przestrzegać;

• Znaczenie kopii zapasowych danych.

Należy również pamiętać, że szkolenia z zakresu cyberbezpieczeństwa powinny odbywać się cyklicznie i nie rzadziej, niż raz do roku dla wszystkich pracowników, chociaż w niektórych firmach, gdzie zabezpieczanie danych jest priorytetowe, może zajść potrzeba przeprowadzania ich raz na pół roku bądź nawet raz na kwartał — szczególnie w celu utrwalenia zasad polityki firmy dotyczących ochrony danych i przestrzegania protokołów bezpieczeństwa. Najlepszym sposobem na uchronienie się przed phishingiem jest upewnienie się, że pracownicy posiadają odpowiednią wiedzę dotyczącą rozpoznania próby cyberataku i procedur postępowania obowiązujących w firmie w przypadku podejrzenia jego wystąpienia.

Jakie procedury bezpieczeństwa powinny wdrażać firmy, by zapobiegać atakom phishingowym?

Z powodu błędu ludzkiego najczęściej dochodzi do naruszenia bezpieczeństwa poufnych danych, dlatego też niezwykle ważne są regularne szkolenia dotyczące zapobiegania atakom phishingowym. Dlatego też ważne jest podjęcie odpowiednich procedur bezpieczeństwa, które mają na celu zmniejszenie ryzyka padnięcia ofiarą cyberataku przez pracowników, do których można zaliczyć:

Regularne szkolenia z zakresu cyberbezpieczeństwa — Obejmujące nie tylko metody ich rozpoznawania, ale również zapobiegania im, przestrzegania protokołów bezpieczeństwa i znajomości polityki firmy dotyczącej bezpieczeństwa danych.

Sprawdzanie efektywności szkoleń phishingowych — Mogą odbywać się poprzez kontrolne wysyłanie do pracowników fałszywych wiadomości mailowych lub SMS w celu sprawdzenia, czy są podatni na próby phishingu i wiedzą, jak postępować w ich przypadku, co pomoże utrwalać u nich wiedzę praktyczną i pozostawać czujnymi. Można utworzyć specjalny raport w Excelu służący do raportowania błędów lub przyuczyć pracowników odnośnie właściwego postępowania w przypadku podejrzenia próby phishingu (np. zgłoszenie wiadomości zawierającej podejrzany link lub załącznik do działu IT bądź specjalnego zespołu wyznaczonego do zajmowania się kwestiami cyberbezpieczeństwa w większych firmach albo niereagowanie na wiadomość — nieotwieranie jej i zgłoszenie przełożonemu lub wpisanie podejrzenia do raportu).

Kontrola weryfikacji próśb o zresetowanie danych uwierzytelniających — Ze względu na to, że niekiedy pojawiają się prośby o zresetowanie danych uwierzytelniających (np. hasła), co równie dobrze może być próbą phishingu, warto w takim przypadku zadzwonić do pracownika, który teoretycznie wysłał takiego maila w celu potwierdzenia, że wiadomość rzeczywiście wyszła od niego, a nie jest próbą przechwycenia danych.

Wykonywanie regularnych aktualizacji systemów i oprogramowania — Po błędzie ludzkim, drugą najczęstszą przyczyną jest brak regularnie wykonywanych aktualizacji oprogramowania czy konfiguracji systemu w firmie, dlatego należy zadbać, aby były wykonywane na bieżąco. Starsze wersje są bardziej narażone na cyberataki i naruszenie danych.