Atak podszywający to próba uzyskania nieuprawnionego dostępu do systemów informatycznych poprzez podszywanie się pod uprawnionych użytkowników.
Według Security Magazinew okresie od I kwartału 2020 r. do I kwartału 2021 r. nastąpił zdumiewający wzrost liczby ataków typu "whaling" i podszywania się pod członków kadry kierowniczej o 131%, przy czym 55% specjalistów ds. bezpieczeństwa cybernetycznego twierdzi, że ktoś z kadry kierowniczej ich firmy został oszukany. Tylko w ubiegłym roku ataki te kosztowały przedsiębiorstwa 1,8 miliarda dolarów strat.
Problem jest tak powszechny, że 1 na każde 3226 wiadomości e-mail otrzymywanych przez kierownictwo (raz na 24 dni) to próba podszycia się pod inną osobę.
W tym artykule przedstawiamy wszystko, co należy wiedzieć o atakach podszywania się, ich rodzajach, sposobach ich wykrywania i obrony przed nimi.
Co to jest atak podszywania się?
Atak polegający na podszywaniu się pod inną osobę to forma inżynierii społecznej, w której osoba atakująca udaje kogoś innego lub podszywa się pod prawowitego użytkownika (lub grupę użytkowników), aby uzyskać dostęp do informacji, do których nie jest upoważniona.
W tego typu atakach atakujący często wykorzystuje techniki socjotechniczne w celu zdobycia informacji o systemie i/lub celu, np. podaje się za pracownika działu IT i prosi o podanie danych uwierzytelniających do logowania.
Ataki polegające na podszywaniu się pod inne osoby mogą mieć miejsce osobiście, przez telefon lub w Internecie. Jeśli nie zostaną wykryte, mogą mieć katastrofalne skutki.
Jak przeprowadza się atak podszywający?
Podszywanie się to sytuacja, w której złośliwy podmiot udaje prawowitego użytkownika lub usługę w celu uzyskania dostępu do chronionych informacji. Ataki podszywania się są łatwe do przeprowadzenia i mogą być bardzo szkodliwe, w zależności od rodzaju danych, które napastnik próbuje uzyskać.
Wystarczy, że atakujący zbierze wystarczająco dużo informacji o legalnym użytkowniku lub usłudze, aby inni myśleli, że jest on tym, za kogo się podaje. Atakujący będzie wtedy próbował skłonić swój cel (lub cele) do ujawnienia poufnych informacji, które w przeciwnym razie byłyby chronione przez środki bezpieczeństwa.
W wielu przypadkach osoby atakujące wykorzystują pocztę elektroniczną lub inne formy komunikacji do prób ataków polegających na podszywaniu się pod inne osoby. Wysyłają wiadomości e-mail, podszywając się pod kogoś innego (tzw. spoofing), co może obejmować wiadomości phishingowe zawierające łącza umożliwiające pobranie złośliwego oprogramowania do systemu niczego niepodejrzewającego użytkownika.
Inną metodą stosowaną przez atakujących jest tzw. whaling. Polega ona na kradzieży tożsamości menedżera lub właściciela firmy i rozsyłaniu wiadomości e-mail, w których pracownicy są proszeni o przekazanie funduszy lub innych poufnych informacji. Ponieważ wydaje się, że wiadomość pochodzi od osoby cieszącej się autorytetem, wielu pracowników bez zastanowienia wykonuje polecenia.
W jaki sposób planowane są ataki podszywające?
Aby stworzyć plan ataku podszywającego się pod firmę, hakerzy muszą najpierw zebrać informacje o celu. Często będą korzystać z publicznie dostępnych informacji, takich jak profile w mediach społecznościowych i publicznie dostępne informacje na stronie internetowej firmy. Hakerzy mogą wykorzystać te informacje do stworzenia realistycznej postaci i rozpoczęcia interakcji z pracownikami docelowej firmy.
Haker kontaktuje się z pracownikami, używając metod, które są zgodne z oczekiwaniami wobec tej osoby. Haker może wysyłać e-maile, SMS-y lub dzwonić do pracowników, używając fałszywego służbowego adresu e-mail lub numeru telefonu, który w najwyższym możliwym stopniu odpowiada rzeczywistemu adresowi e-mail lub numerowi telefonu firmy - różnica jest widoczna, ale prawie niewidoczna gołym okiem.
Daje to pracownikowi poczucie, że kontaktuje się z osobą znaną w jego organizacji.
| Oto przykład podszywania się pod pocztę elektroniczną:
Jak widać powyżej, różnice między tymi dwoma e-mailami są subtelne i łatwe do przeoczenia, zwłaszcza jeśli otrzymujesz setki e-maili dziennie. |
Gdy haker zdobędzie zaufanie pracownika, wysyła mu wiadomość e-mail, która wydaje się pochodzić z autentycznego źródła firmowego. Wiadomości te często zawierają łącza do stron internetowych, które proszą o podanie danych osobowych lub wymagają od pracownika podjęcia określonych działań (np. pobrania plików). Takie strony internetowe i pliki są zainfekowane złośliwym oprogramowaniem, które umożliwia hakerom uzyskanie dostępu do danych, kradzież informacji osobistych lub przeprowadzenie innych ataków cybernetycznych na sieć firmową.
Fałszywe adresy nadawców, takie jak te, są odrzucane przez rygorystyczną politykę polityki DMARCco możesz wykorzystać w swoich wiadomościach e-mail, aby zachować ochronę przed atakami podszywania się.
Niektóre popularne taktyki ataków podszywających się pod inne osoby
Istnieje kilka sposobów, w jakie napastnicy mogą próbować podszyć się pod Ciebie lub kogoś, kogo znasz. Oto kilka typowych taktyk:
1. Darmowe konto e-mail Atak
Osoba atakująca wykorzystuje darmową usługę poczty elektronicznej do wysyłania wiadomości z adresu e-mail podobnego do adresu używanego przez cel ataku. Taktyka ta może być wykorzystywana do przekonania ludzi do odwiedzenia złośliwej witryny, pobrania szkodliwego oprogramowania lub podania informacji takich jak hasła czy numery kart kredytowych.
2. Atak na domenę kuzynów
W ataku na domenę kuzynową atakujący tworzy witrynę, która wygląda niemal identycznie jak witryna Twojego banku, ale kończy się na przykład adresem .com zamiast .org lub .net. Następnie wysyła wiadomości e-mail z tej fałszywej strony: gdy ludzie klikają odsyłacze w tych wiadomościach, są przenoszeni na fałszywą stronę zamiast na stronę prawdziwego banku.
3. Atak nadawcy sfałszowanej koperty
Atakujący tworzy wiadomość e-mail z adresem nadawcy, który wydaje się pochodzić ze znanej firmy, takiej jak "[email protected]". Ponieważ adres ten wygląda na prawdziwy, omija filtry większości serwerów pocztowych. Następnie atakujący kieruje swoją wiadomość do ofiar, nakłaniając je do kliknięcia odsyłaczy lub otwarcia załączników, które umożliwiają zainfekowanie komputera złośliwym oprogramowaniem.
4. Atak nadawcy sfałszowanego nagłówka
Atak na nadawcę nagłówka to rodzaj spoofingu wiadomości e-mail, który może być wykorzystywany do oszukiwania ludzi, że wiadomość została wysłana przez kogoś innego niż jej prawdziwe źródło. W tym typie ataku pole "nadawca" w nagłówku wiadomości e-mail jest modyfikowane w taki sposób, aby zawierało adres inny niż ten, który faktycznie wysłał wiadomość. Można tego dokonać poprzez zmianę pola "From:" lub "Return-Path:", albo obu tych pól. Celem tych ataków jest sprawienie wrażenia, że wiadomość e-mail została wysłana przez kogoś innego - np. współpracownika biznesowego lub przyjaciela - aby nakłonić odbiorców do otwarcia wiadomości od kogoś, kogo znają.
5. Atak na przejęte konto poczty elektronicznej
W tym ataku osoba atakująca uzyskuje dostęp do legalnego konta poczty elektronicznej, a następnie wykorzystuje je do wysyłania wiadomości do innych osób w organizacji. Atakujący może podawać się za pracownika posiadającego specjalną wiedzę lub uprawnienia albo może podszywać się pod inną osobę, która posiada specjalną wiedzę lub uprawnienia.
6. Atak na Prezesa Zarządu
W tym ataku napastnicy podszywają się pod dyrektora generalnego firmy i próbują przekonać pracowników lub klientów, że potrzebują dostępu do poufnych informacji. Atakujący często wykorzystuje techniki socjotechniczne, takie jak phishingowe e-maile lub rozmowy telefoniczne, które sprawiają wrażenie, że dzwonią z działu IT firmy. Często używają języka charakterystycznego dla danej branży lub firmy, aby brzmieć bardziej legalnie i wiarygodnie, prosząc jednocześnie o poufne informacje, takie jak hasła czy numery kart kredytowych.
7. Atak typu MITM (Man-in-the-Middle)
Ten rodzaj ataku polega na przechwytywaniu przez atakującego komunikacji użytkownika z legalną usługą, a następnie przekazywaniu jej do legalnej usługi w taki sposób, jakby pochodziła od użytkownika. W ten sposób atakujący może podsłuchać komunikację użytkownika, zmodyfikować ją lub całkowicie uniemożliwić jej realizację.
Jak rozpoznać atak polegający na podszywaniu się pod inną osobę?
Poczucie pilności:Atakujący może nakłaniać odbiorcę do natychmiastowego działania (np. zainicjowania natychmiastowego przelewu bankowego, w przeciwnym razie jego konto zostanie trwale zablokowane), używając pilnego tonu w swoich e-mailach. Wywiera to presję na ofiary, aby podjęły działania bez zastanowienia.
Poufność: Atakujący może zaznaczyć, że informacje, o które prosi, powinny pozostać prywatne, sugerując, że ich ujawnienie może spowodować poważne konsekwencje.
Prośba o udostępnienie poufnych informacji: Napastnik może poprosić Cię o informacje, które zna tylko bank, takie jak numer konta lub hasło. Może również poprosić o udostępnienie poświadczeń firmowych, czyli prywatnych informacji, do których dostęp ma tylko użytkownik. To z kolei umożliwiłoby mu uzyskanie dostępu do baz danych firmy i wyciek poufnych informacji.
Zmodyfikowane adresy e-mail: Na przykład, jeśli otrzymasz wiadomość e-mail od osoby podającej się za pracownika firmy "Amazon" z prośbą o zalogowanie się i zaktualizowanie informacji o koncie, ale adres e-mail to w rzeczywistości "[email protected]", może to być atak polegający na podszywaniu się pod inną firmę.
Źle napisane wiadomości e-mail: Wiadomości phishingowe są źle napisane, często zawierają błędy ortograficzne i gramatyczne, ponieważ są zazwyczaj generowane masowo.
Obecność złośliwych łączy lub załączników: Złośliwe łącza i załączniki są częstym sposobem przeprowadzania ataku podszywania się. Tego rodzaju ataki można rozpoznać po obecności:
- Łącza, które są otwierane w nowej karcie zamiast w bieżącej karcie.
- Załączniki o dziwnych tytułach lub rozszerzeniach plików (takich jak "attachment" lub ".zip").
- Załączniki zawierające plik wykonywalny (np. .exe).
Ochrona przed podszywaniem się pod inne osoby
1. Firmy muszą mieć świadomość, że szkolenie z zakresu bezpieczeństwa cybernetycznego jest niezbędne, aby uchronić się przed tego typu atakiem. Szkolenie powinno obejmować:
- Jak napastnicy mogą podszywać się pod użytkowników i uzyskiwać dostęp do systemów
- Jak rozpoznać oznaki świadczące o tym, że ktoś próbuje się podszyć pod Ciebie, aby móc podjąć działania zanim dojdzie do jakichkolwiek szkód
- W jaki sposób mechanizmy zapobiegawcze, takie jak dwuskładnikowe uwierzytelnianie, mogą pomóc w zapobieganiu próbom nieautoryzowanego dostępu przez osoby próbujące podszyć się pod użytkownika
2. Firmowa domena poczty elektronicznej powinna być również chroniona przed atakami polegającymi na podszywaniu się pod inne osoby. Oznacza to wprowadzenie ścisłych zasad rejestrowania nowych domen i kont w organizacji, a także śledzenie, kto ma dostęp do każdego z nich, aby w razie potrzeby można było je usunąć.
3. Zakładając konto e-mail dla swojej firmy, upewnij się, że korzysta ono z domeny, która jest specyficzna dla Twojej firmy. Nie używaj "@gmail" ani "@yahoo", ponieważ te domeny są zbyt ogólne i mogą być wykorzystane przez każdego, kto chce się podszyć pod Twoją firmę. Zamiast tego użyj czegoś w rodzaju "@yourbusinessnamehere.com", gdzie zamiast "yourbusinessnamehere" będzie nazwa Twojej firmy. W ten sposób, jeśli ktoś spróbuje się podszyć pod Ciebie, wysyłając wiadomość e-mail z innego adresu e-mail, nikt mu nie uwierzy, ponieważ wie, jaka nazwa domeny pasuje do Twojej firmy.
4. Firmy muszą rozważyć wdrożenie rozwiązań zabezpieczających pocztę elektroniczną, takich jak analizator DMARC które blokują podszywające się domeny przed dostarczaniem wiadomości e-mail z podejrzanymi załącznikami lub łączami (np. wiadomości phishingowych) poprzez uwierzytelnianie.
Czy chcesz mieć całodobową ochronę przed podszywaniem się pod inne osoby? PowerDMARC to dostawca rozwiązań uwierzytelniania poczty elektronicznej - świadczący usługi mające na celu umożliwienie przedsiębiorstwom zabezpieczenie komunikacji e-mailowej. Pomagamy zarządzać reputacją domeny, zapewniając, że tylko wiadomości e-mail od autoryzowanych nadawców będą dostarczane przez bezpieczne bramy, a także chroniąc ją przed podszywaniem się pod nią przez cyberprzestępców i phisherów.
- PowerDMARC i Cipher podpisują memorandum o porozumieniu na Black Hat MEA Riyadh - 28 listopada 2022 r.
- DMARC Tester - Metody testowania DMARC wyjaśnione - 28 listopada 2022 r.
- Zero-day Vulnerability: Definicja i przykłady? - 28 listopada 2022 r.
