Atak podszywania się to próba uzyskania nieautoryzowanego dostępu do systemów informatycznych poprzez podszywanie się pod autoryzowanych użytkowników. Te ataki oparte na tożsamości są szczególnie ukierunkowane i naruszają tożsamość cyfrową osób lub organizacji, wykorzystując luki w zabezpieczeniach związane z zarządzaniem tożsamością i dostępem w celu kradzieży informacji, takich jak nazwy użytkowników, hasła lub dane osobowe, popełniania oszustw lub prowadzenia innych złośliwych działań.
Według Security Magazinew okresie od I kwartału 2020 r. do I kwartału 2021 r. odnotowano oszałamiający wzrost o 131% liczby przypadków podszywania się pod wieloryby i kierownictwo, przy czym 55% specjalistów ds. cyberbezpieczeństwa twierdzi, że ktoś z kierownictwa w ich firmie został sfałszowany. Ponadto w raporcie "Trendy w zabezpieczaniu tożsamości cyfrowych" z 2023 r. raport sporządzony przez Identity Defined Security Alliance (IDSA) ujawnił, że aż 90% organizacji doświadczyło co najmniej jednego naruszenia związanego z tożsamością cyfrową w ciągu ostatniego roku. Ataki te kosztowały przedsiębiorstwa 1,8 miliarda dolarów strat tylko w ubiegłym roku, a brak ochrony danych klientów może prowadzić do surowych kar regulacyjnych i kosztownych sporów sądowych, jak widać w przypadkach takich jak ugoda Equifax w wysokości 575 milionów dolarów po naruszeniu.
Problem jest tak powszechny, że 1 na każde 3226 wiadomości e-mail otrzymywanych przez kierownictwo (raz na 24 dni) to próba podszycia się pod inną osobę.
W tym artykule przedstawiamy wszystko, co należy wiedzieć o atakach podszywania się, ich rodzajach, sposobach ich wykrywania i obrony przed nimi.
Kluczowe wnioski
- Ataki podszywania się, kluczowa forma cyberzagrożeń opartych na tożsamości, wykorzystują inżynierię społeczną do naśladowania zaufanych podmiotów w celu uzyskania nieautoryzowanego dostępu lub oszustwa.
- Ataki te, dotykające ostatnio 90% organizacji, stanowią poważne ryzyko finansowe, reputacyjne i prawne, wymagające pilnej uwagi.
- Taktyki sięgają od fałszowania wiadomości e-mail i fałszywych domen (phishing) po wykorzystywanie ponownie używanych haseł (credential stuffing) i przechwytywanie komunikacji (MitM).
- Czujność wobec podejrzanych sygnałów (pilność, dziwne żądania, wadliwe wiadomości e-mail) i solidne szkolenie użytkowników to niezbędne pierwsze linie obrony.
- Wielowarstwowa obrona techniczna, w tym silne uwierzytelnianie (MFA), weryfikacja poczty e-mail (DMARC), regularne łatanie i potencjalnie model Zero Trust, jest niezbędna do ochrony.
Co to jest atak podszywania się?
Atak podszywania się to forma inżynierii społecznej, w której atakujący udaje kogoś innego lub podszywa się pod legalnego użytkownika (lub grupę użytkowników), aby uzyskać dostęp do informacji, do których nie jest upoważniony, ukraść dane związane z tożsamością, popełnić oszustwo lub przeprowadzić inne złośliwe działania.
W tego typu atakach atakujący często wykorzystuje techniki inżynierii społecznej, manipulując ludzką psychologią i zaufaniem, aby uzyskać informacje o systemie i/lub celu, np. podając się za członka działu IT i prosząc o podanie danych logowania. Ataki te stale ewoluują pod względem wyrafinowania, wykorzystując zaawansowane techniki i ukierunkowane gromadzenie danych wywiadowczych.
Ataki polegające na podszywaniu się pod inne osoby mogą mieć miejsce osobiście, przez telefon lub w Internecie. Jeśli nie zostaną wykryte, mogą mieć katastrofalne skutki.
Ochrona przed atakami podszywania się za pomocą PowerDMARC!
Jak przeprowadza się atak podszywający?
Podszywanie się ma miejsce, gdy złośliwy aktor udaje legalnego użytkownika lub usługę w celu uzyskania dostępu do chronionych informacji. Ataki podszywania się są łatwe do przeprowadzenia i mogą być bardzo szkodliwe, w zależności od rodzaju danych, które atakujący próbuje uzyskać, potencjalnie prowadząc do znacznych strat finansowych lub utraty reputacji.
Wystarczy, że atakujący zbierze wystarczająco dużo informacji o legalnym użytkowniku lub usłudze, aby inni myśleli, że jest on tym, za kogo się podaje. Atakujący będzie wtedy próbował skłonić swój cel (lub cele) do ujawnienia poufnych informacji, które w przeciwnym razie byłyby chronione przez środki bezpieczeństwa.
W wielu przypadkach atakujący wykorzystują pocztę elektroniczną lub inne formy komunikacji do prób ataków podszywania się. Będą wysyłać wiadomości e-mail podszywając się pod kogoś innego (tzw. spoofing), co może obejmować wiadomości phishingowe zawierające linki, które pobierają złośliwe oprogramowanie do systemu niczego niepodejrzewającego użytkownika.
Inną metodą stosowaną przez atakujących jest tzw. whaling. Polega ona na kradzieży tożsamości menedżera lub właściciela firmy i rozsyłaniu wiadomości e-mail, w których pracownicy są proszeni o przekazanie funduszy lub innych poufnych informacji. Ponieważ wydaje się, że wiadomość pochodzi od osoby cieszącej się autorytetem, wielu pracowników bez zastanowienia wykonuje polecenia.
W jaki sposób planowane są ataki podszywające?
Aby stworzyć plan ataku podszywającego się pod firmę, hakerzy muszą najpierw zebrać informacje o celu. Często będą korzystać z publicznie dostępnych informacji, takich jak profile w mediach społecznościowych i publicznie dostępne informacje na stronie internetowej firmy. Hakerzy mogą wykorzystać te informacje do stworzenia realistycznej postaci i rozpoczęcia interakcji z pracownikami docelowej firmy.
Haker kontaktuje się z pracownikami, używając metod, które są zgodne z oczekiwaniami wobec tej osoby. Haker może wysyłać e-maile, SMS-y lub dzwonić do pracowników, używając fałszywego służbowego adresu e-mail lub numeru telefonu, który w najwyższym możliwym stopniu odpowiada rzeczywistemu adresowi e-mail lub numerowi telefonu firmy - różnica jest widoczna, ale prawie niewidoczna gołym okiem.
Daje to pracownikowi poczucie, że kontaktuje się z osobą znaną w jego organizacji.
Oto przykład podszywania się pod pocztę elektroniczną: Jak widać powyżej, różnice między tymi dwoma e-mailami są subtelne i łatwe do przeoczenia, zwłaszcza jeśli otrzymujesz setki e-maili dziennie. |
Gdy haker zdobędzie zaufanie pracownika, wyśle mu wiadomość e-mail, która wydaje się pochodzić z autentycznego źródła firmowego. E-maile te często zawierają linki do stron internetowych, które proszą o podanie danych osobowych lub wymagają od pracownika podjęcia działań (np. pobrania plików). Te strony internetowe i pliki są zainfekowane złośliwym oprogramowaniem, które umożliwia hakerom dostęp do danych, kradzież danych osobowych lub wprowadzanie innych cyberataków w sieci firmy.
Fałszywe adresy nadawców, takie jak te, są odrzucane przez rygorystyczną politykę polityka DMARCktórą można wykorzystać do ochrony swoich wiadomości e-mail przed atakami podszywania się.
Niektóre popularne taktyki ataków podszywających się pod inne osoby
Istnieje kilka sposobów, w jakie napastnicy mogą próbować podszyć się pod Ciebie lub kogoś, kogo znasz. Oto kilka typowych taktyk:
1. Darmowe konto e-mail Atak
Osoba atakująca wykorzystuje darmową usługę poczty elektronicznej do wysyłania wiadomości z adresu e-mail podobnego do adresu używanego przez cel ataku. Taktyka ta może być wykorzystywana do przekonania ludzi do odwiedzenia złośliwej witryny, pobrania szkodliwego oprogramowania lub podania informacji takich jak hasła czy numery kart kredytowych.
2. Atak na domenę kuzynów
W ataku na domenę kuzynową atakujący tworzy witrynę, która wygląda niemal identycznie jak witryna Twojego banku, ale kończy się na przykład adresem .com zamiast .org lub .net. Następnie wysyła wiadomości e-mail z tej fałszywej strony: gdy ludzie klikają odsyłacze w tych wiadomościach, są przenoszeni na fałszywą stronę zamiast na stronę prawdziwego banku.
3. Atak nadawcy sfałszowanej koperty
Atakujący tworzy wiadomość e-mail z adresem nadawcy, który wydaje się pochodzić ze znanej firmy, takiej jak "[email protected]". Ponieważ adres ten wygląda na prawdziwy, omija filtry większości serwerów pocztowych. Następnie atakujący kieruje swoją wiadomość do ofiar, nakłaniając je do kliknięcia odsyłaczy lub otwarcia załączników, które umożliwiają zainfekowanie komputera złośliwym oprogramowaniem.
4. Atak nadawcy sfałszowanego nagłówka
Atak na nadawcę nagłówka to rodzaj spoofingu wiadomości e-mail, który może być wykorzystywany do oszukiwania ludzi, że wiadomość została wysłana przez kogoś innego niż jej prawdziwe źródło. W tym typie ataku pole "nadawca" w nagłówku wiadomości e-mail jest modyfikowane w taki sposób, aby zawierało adres inny niż ten, który faktycznie wysłał wiadomość. Można tego dokonać poprzez zmianę pola "From:" lub "Return-Path:", albo obu tych pól. Celem tych ataków jest sprawienie wrażenia, że wiadomość e-mail została wysłana przez kogoś innego - np. współpracownika biznesowego lub przyjaciela - aby nakłonić odbiorców do otwarcia wiadomości od kogoś, kogo znają.
5. Atak na przejęte konto poczty elektronicznej
W tym ataku osoba atakująca uzyskuje dostęp do legalnego konta poczty elektronicznej, a następnie wykorzystuje je do wysyłania wiadomości do innych osób w organizacji. Atakujący może podawać się za pracownika posiadającego specjalną wiedzę lub uprawnienia albo może podszywać się pod inną osobę, która posiada specjalną wiedzę lub uprawnienia.
6. Atak na Prezesa Zarządu
W tym ataku napastnicy podszywają się pod dyrektora generalnego firmy i próbują przekonać pracowników lub klientów, że potrzebują dostępu do poufnych informacji. Atakujący często wykorzystuje techniki socjotechniczne, takie jak phishingowe e-maile lub rozmowy telefoniczne, które sprawiają wrażenie, że dzwonią z działu IT firmy. Często używają języka charakterystycznego dla danej branży lub firmy, aby brzmieć bardziej legalnie i wiarygodnie, prosząc jednocześnie o poufne informacje, takie jak hasła czy numery kart kredytowych.
7. Atak typu MITM (Man-in-the-Middle)
Ten rodzaj ataku polega na przechwytywaniu przez atakującego komunikacji użytkownika z legalną usługą, a następnie przekazywaniu jej do legalnej usługi w taki sposób, jakby pochodziła od użytkownika. W ten sposób atakujący może podsłuchać komunikację użytkownika, zmodyfikować ją lub całkowicie uniemożliwić jej realizację.
8. Wypełnianie poświadczeń
Atak ten wykorzystuje powszechną praktykę ponownego wykorzystywania haseł w wielu usługach online. Atakujący uzyskują listy skradzionych nazw użytkowników i haseł z poprzednich naruszeń danych (często dostępnych w ciemnej sieci) i systematycznie wypróbowują te dane uwierzytelniające na innych stronach internetowych lub systemach. Jeśli użytkownik ponownie użył swojego hasła, atakujący uzyskuje nieautoryzowany dostęp. Naruszenie danych Target z 2013 roku, które naraziło na szwank dane ponad 41 milionów konsumentów i doprowadziło do ugody w wysokości 18,5 miliona dolarów, zostało ułatwione przez atakujących wykorzystujących skradzione dane uwierzytelniające w celu uzyskania dostępu do połączonego systemu dostawcy.
Jak rozpoznać atak polegający na podszywaniu się pod inną osobę?
Poczucie pilności: Atakujący może nakłaniać odbiorcę do natychmiastowego działania (takiego jak zainicjowanie natychmiastowego przelewu bankowego, w przeciwnym razie jego konto zostanie trwale zablokowane), używając pilnego tonu w swoich wiadomościach e-mail. Zmusza to ofiary do podjęcia działań bez zastanowienia.
Poufność: Atakujący może zaznaczyć, że informacje, o które prosi, powinny pozostać prywatne, sugerując, że ich ujawnienie może spowodować poważne konsekwencje.
Prośba o udostępnienie poufnych informacji: Atakujący może poprosić o podanie informacji, które zna tylko bank, takich jak numer konta lub hasło. Może również poprosić o udostępnienie poświadczeń firmowych, które są prywatnymi informacjami, do których tylko Ty masz dostęp. To z kolei umożliwiłoby im dostęp do baz danych firmy i wyciek poufnych informacji.
Zmodyfikowane adresy e-mail: Na przykład, jeśli otrzymasz wiadomość e-mail od osoby podającej się za pracownika firmy "Amazon" z prośbą o zalogowanie się i zaktualizowanie informacji o koncie, ale adres e-mail to w rzeczywistości "[email protected]", może to być atak polegający na podszywaniu się pod inną firmę.
Źle napisane wiadomości e-mail: Wiadomości phishingowe są źle napisane, często zawierają błędy ortograficzne i gramatyczne, ponieważ są zazwyczaj generowane masowo.
Obecność złośliwych łączy lub załączników: Złośliwe łącza i załączniki są częstym sposobem przeprowadzania ataku podszywania się. Tego rodzaju ataki można rozpoznać po obecności:
- Linki otwierające się w nowej karcie zamiast w bieżącej karcie.
- Załączniki z dziwnymi tytułami lub rozszerzeniami plików (takimi jak "załącznik" lub ".zip").
- Załączniki zawierające plik wykonywalny (np. .exe).
Ochrona przed podszywaniem się pod inne osoby
Zapobieganie atakom opartym na tożsamości, takim jak podszywanie się, wymaga wielowarstwowego podejścia łączącego świadomość użytkowników i kontrole techniczne.
1. Szkolenie w zakresie cyberbezpieczeństwa: Firmy muszą mieć świadomość, że szkolenie w zakresie cyberbezpieczeństwa jest niezbędne. Szkolenie powinno obejmować:
- Jak napastnicy mogą podszywać się pod użytkowników i uzyskiwać dostęp do systemów
- Jak rozpoznać oznaki świadczące o tym, że ktoś próbuje się podszyć pod Ciebie, aby móc podjąć działania zanim dojdzie do jakichkolwiek szkód
- Zrozumienie znaczenia kontroli prewencyjnych
2. Silne uwierzytelnianie: Wdrożenie solidnych metod uwierzytelniania.
- Uwierzytelnianie wieloskładnikowe (MFA): Włącz MFA wszędzie tam, gdzie to możliwe. Wymaga to od użytkowników podania dwóch lub więcej czynników weryfikacji (np. hasła plus OTP, danych biometrycznych lub odpowiedzi na pytanie bezpieczeństwa), co znacznie utrudnia nieautoryzowany dostęp, nawet jeśli poświadczenia zostaną skradzione.
- Praktyki dotyczące silnych haseł: Zachęcanie użytkowników do tworzenia złożonych, unikalnych haseł dla różnych kont. Promowanie korzystania z renomowanych menedżerów haseł w celu generowania i bezpiecznego przechowywania silnych haseł. Unikaj łatwych do odgadnięcia wzorców.
3. Bezpieczeństwo poczty e-mail: Chroń swój główny kanał komunikacji.
- Ochrona domeny: Firmowa domena e-mail powinna być chroniona przed podszywaniem się. Należy używać domeny specyficznej dla firmy (np. "@yourbusinessnamehere.com"), a nie ogólnych dostawców, takich jak "@gmail.com".
- Implementacja DMARC: Wdrożenie protokołów uwierzytelniania poczty elektronicznej, takich jak DMARC (Domain-based Message Authentication, Reporting & Conformance). DMARC pozwala właścicielom domen określić, w jaki sposób odbierające serwery pocztowe powinny obsługiwać wiadomości e-mail, które nie przeszły kontroli SPF (Sender Policy Framework) lub DKIM (DomainKeys Identified Mail), pomagając w blokowaniu fałszywych wiadomości e-mail. Egzekwowanie ścisłej polityki DMARC (p=reject lub p=quarantine) zapobiega nieautoryzowanemu wykorzystaniu domeny w atakach phishingowych i podszywaniu się.
- Filtrowanie wiadomości e-mail: Wykorzystaj zaawansowane rozwiązania bezpieczeństwa poczty e-mail, które mogą wykrywać podejrzane linki, załączniki i anomalie nadawcy.
4. Bezpieczeństwo systemu i oprogramowania: Utrzymanie bezpiecznego środowiska IT.
- Regularne aktualizacje i zarządzanie poprawkami: Aktualizuj systemy operacyjne, aplikacje i oprogramowanie zabezpieczające za pomocą najnowszych poprawek bezpieczeństwa, aby naprawić znane luki w zabezpieczeniach wykorzystywane przez atakujących.
- Rozwiązania bezpieczeństwa: Zainstaluj i utrzymuj renomowane oprogramowanie antywirusowe / anty-malware i rozważ wdrożenie systemów wykrywania włamań (IDS) w celu monitorowania podejrzanej aktywności sieciowej.
- Wycofywanie starszych systemów: Wymień przestarzałe systemy, które mogą mieć niezałatane luki w zabezpieczeniach lub słabe mechanizmy kontroli bezpieczeństwa, ponieważ są one często celem ataków.
5. Ochrona danych: Ochrona poufnych informacji.
- Szyfrowanie danych: Szyfruj poufne dane zarówno wtedy, gdy są przechowywane (w spoczynku), jak i podczas przesyłania (w tranzycie), aby chronić je nawet w przypadku przechwycenia.
6. Przyjęcie modelu zerowego zaufania: Wdrożenie Zero Trust które zakłada, że żaden użytkownik ani urządzenie nie jest z natury godne zaufania. Dostęp jest przyznawany w oparciu o ciągłą weryfikację i zasadę najmniejszego przywileju, minimalizując potencjalny wpływ naruszonej tożsamości.
Wdrażając te środki zapobiegawcze i wspierając kulturę świadomą cyberbezpieczeństwa, organizacje mogą znacznie zmniejszyć swoją podatność na podszywanie się i inne ataki oparte na tożsamości. Zachowanie czujności, dostosowywanie się do pojawiających się zagrożeń i ciągłe edukowanie pracowników to kluczowe elementy solidnej strategii obronnej.
Czy chcesz mieć całodobową ochronę przed podszywaniem się pod inne osoby? PowerDMARC to dostawca rozwiązań uwierzytelniania poczty elektronicznej - świadczący usługi mające na celu umożliwienie przedsiębiorstwom zabezpieczenie komunikacji e-mailowej. Pomagamy zarządzać reputacją domeny, zapewniając, że tylko wiadomości e-mail od autoryzowanych nadawców będą dostarczane przez bezpieczne bramy, a także chroniąc ją przed podszywaniem się pod nią przez cyberprzestępców i phisherów.
- Czy Cold Email jest nadal skuteczny w 2025 roku? Najlepsze praktyki dotyczące zasięgu i bezpieczeństwa - 20 czerwca 2025 r.
- Studium przypadku DMARC MSP: Jak PrimaryTech uprościł bezpieczeństwo domeny klienta dzięki PowerDMARC - 18 czerwca 2025 r.
- Fałszywe alarmy DMARC: Przyczyny, poprawki i przewodnik zapobiegania - 13 czerwca 2025 r.