Metoda “na pizzę” - nowy sposób cyberhakerów na firmowe dane
23.05.2019 13:04, aktual.: 23.05.2019 13:21
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
8 pudełek pizzy z 30% rabatem i darmowy gadżet do komputera. Hakerzy podszywając się pod dostawców pizzy, przeprowadzili skuteczny atak socjotechniczny na warszawski oddział znanej, międzynarodowej korporacji. W ciągu kilku minut zhakowali system informatyczny, skutecznie paraliżując działanie całej firmy.
Tylko w Polsce z atakami phishingowymi rocznie styka się blisko 20% internautów. Na celowniku, obok użytkowników banków i systemów płatniczych, są e-klienci sklepów internetowych, co dowodzi, że głównym celem hakerów są nasze pieniądze (dane Kaspersky Lab). Zresztą hakerski “biznes” opłaca się, bo jak podaje Nest Bank, aż 30% Polaków w ogóle nie wie co to phishing, a 32% ma wrażenie, że wie, choć pewności nie ma.
Jednocześnie nadal rośnie liczba ataków whalingowych, czyli bardziej dokładnego i wyrafinowanego phishingu nakierowanego na instytucje rządowe i duże biznesy. Jak donoszą autorzy raportu Verizon DBIR 2019, dziś menedżerowie wysokiego szczebla i dyrektorzy firm (czyli osoby posiadające przywileje wykonawcze i dostęp do wielu zastrzeżonych, często krytycznych rejonów infrastruktury informatyczne) są 12 razy bardziej narażeni na atak socjotechniczny niż jeszcze rok temu.
Najdroższa pizza w historii
Hakerzy stosują różne metody, próbując wykraść ważne dla nich dane, takie jak m.in. dane dostępowe do kont bankowych, numery PIN lub CVC kart kredytowych, szczegółowe dane osobowe czy - w przypadku whalingu - wrażliwe dane firmowe.
Nadal głównym, choć nie jedynym wektorem cyberataku są maile, a jedną z najpopularniejszych form - ataki socjotechniczne, czyli takie, które bazują na skłonności człowieka do bezwiednego ulegania wpływom innym. Przekonali się o tym dyrektorzy i pracownicy znanej, międzynarodowej korporacji, której warszawski oddział został zaatakowany przez hakerów metodą “na pizzę”.
Pomimo że firma posiadała ochronę sprzętu i oprogramowania na najwyższym, światowym poziomie, cyberprzestępcom udało się znaleźć lukę w zabezpieczeniu. Jak przebiegł atak?
- Na służbowe adresy mailowe, podane na naszej stronie internetowej, przyszła informacja o otwarciu nowej pizzerii w okolicy wraz z 30% zniżką dla pierwszych klientów. Pracownicy skuszeni tą ofertą szybko zorganizowali “Pizza Day” i zamówili 8 pudełek. Menu znajdowało się na stronie www pizzerii, jak się później okazało, która była fałszywa i powstała tylko w celu uwiarygodnienia istnienia nowego lokalu - opowiada Adam, CEO zaatakowanej firmy (ze względów bezpieczeństwa nazwa firmy nie została ujawniona).
Co stało się dalej? Po kilkudziesięciu minutach w firmie pojawił się dostawca z pizzą i gratisem w postaci LEDowych lampek na USB, zmieniających kolory w rytm muzyki. Mile zaskoczeni upominkiem pracownicy bez wahania podłączyli je do komputerów. Nie mieli świadomości, że w ten sposób dali hakerom zdalny dostęp do urządzeń firmowych, a ci w kilka minut zdestabilizowali pracę całego systemu, a co za tym idzie, całej firmy.
Jak to możliwe, że firma posiadająca ochronę na najwyższym poziomie, padła ofiarą cyberprzestępców? Zawiodło najsłabsze, najmniej przewidywalne, a przy tym najbardziej podatne ogniwo, czyli człowiek - w tym przypadku nieświadomi zagrożeń, nieodpowiednio przeszkoleni pod względem bezpieczeństwa pracownicy firmy.
Za atakiem stało TestArmy CyberForces
Na szczęście dla pracowników, atak metodą “na pizzę” okazał się być z góry zaplanowanym audytem bezpieczeństwa, który miał wykazać, na jakich polach firma nadal jest zagrożona. Jak mówi Szymon Chruścicki z TestArmy CyberForces, który na zlecenie korporacji przygotował scenariusz ataku i przeprowadził test socjotechniczny:
- Scenariusz ataku opierał się na kilku prostych krokach. Zaczęliśmy od stworzenia fałszywej strony www, a następnie zamówiliśmy naklejki z nazwą i logo pizzerii. Jako wektor ataku wykorzystaliśmy służbowe maile, podane na stronie atakowanej korporacji.
Po otrzymaniu zamówienia od pracowników, nasz pracownik dostarczył pizzę z lokalnej pizzerii, naklejając na pudełko logo naszej fikcyjnej. Posłużyliśmy się regułą wzajemności i sympatii, żeby wymusić na pracownikach podjęcie zaplanowanego działania, w tym przypadku chodziło o podłączenie do komputerów lampek, w które wbudowaliśmy spreparowane pendrive’y ze złośliwym oprogramowaniem. Pod budynkiem czekał nasz specjalista od cyberbezpieczeństwa, który po uzyskaniu zdalnego dostępu do urządzeń, zaszyfrował wszystkie dane w firmowym systemie.
Po co to wszystko? Pamiętajmy, że system bezpieczeństwa jest tak skuteczny jak jego najsłabsze ogniwo, i choćby z tego powodu ataki socjotechniczne są jedną z najskuteczniejszych metod wykorzystywanych przez hakerów. Aby dobrze zrozumieć specyfikę tych zagrożeń, symulacje z użyciem złośliwego oprogramowania są konieczne. Z jednej strony pozwalają ujawnić luki w zabezpieczeniach, a z drugiej - szkolić pracowników jak nie padać ofiarą socjotechnicznych sztuczek stosowanych przez cyberprzestępców.
Głośne przykłady z ostatnich miesięcy
Przykłady skutecznie przeprowadzonych ataków socjotechnicznych można by mnożyć.
- Kilka milionów złotych straciła, należąca do Polskiej Grupy Zbrojeniowej, spółka Cenzin, po tym jak cyberprzestępcy podszyli się pod dostawcę broni z Czech. Pracownicy nie zweryfikowali wysłanych mailem informacji o zmianie numeru konta mailowego, na które Cenzin wpłacał pieniądze na zakupiony towar, w efekcie czego środki zaczęły trafiać na konto cyberprzestępców.
- Dane osobowe 20 tys. pracowników FBI i 9 tys. pracowników Departamentu Bezpieczeństwa Krajowego w USA wyciekły po tym, jak haker podając się za nowego pracownika zadzwonił do Departamentu Sprawiedliwości, prosząc o przekazanie kodu dostępu do zastrzeżonych stron instytucji. W efekcie uzyskał dostęp do wewnętrznej sieci zawierającej m.in. adresy mailowe należące do członków armii Stanów Zjednoczonych i informacje o numerach ich kart kredytowych.
- Jeden z amerykańskich banków odniósł ogromne straty wizerunkowe po tym, jak hakerzy włamali się do jego systemu pocztowego i po odmowie zapłacenia haraczu, rozpoczęli masową, liczoną w milionach wysyłkę maili o spamowym charakterze. W efekcie dostawca usług internetowych został zmuszony do wyłączenia usługi poczty elektronicznej banku.
- Ponad 500 tys. dolarów zarobili w 2018 roku hakerzy wykorzystując tzw. “sextortion scam”, czyli szantaż polegający na wysłaniu maila (zwykle z adresu należącego do ofiary) z groźbą upublicznienia rzekomo posiadanych kompromitujących filmów czy zdjęć ofiary, jeżeli haker nie otrzyma żądanej kwoty (dane GlobalSign).