Zajištění provozu firemní počítačové sítě
Velrybáři aneb Spearphising - (upgradovaná verze Phisingu)
Podle našich etických penetračních pokusů ve firmách různých velikostí a zaměření, lze účinnost metody phishing, na stupnici efektivity útoku se škálou od 1-10 (10 nejrizikovější), z hlediska rizikovosti úspěšným provedením útoku a získání informací, označit řekněme známkou 7. Vzhledem k již poměrně slušnému povědomí o tomto problému obecné laické IT veřejnosti, jakož i běžných firemních uživatelů i v těch nejodlehlejších kancelářích, můžeme klidně oznámkovat tento způsob i číslem 5.Současně tím vlastně vyjadřujeme, že úspěšnost útoku „po staru“ je v současnosti tak padesát na padesát. Ale pozor. Pokud metodu „mámení“ přístupových údajů prostřednictvím příloh nebo hyperlinků v podvržených emailech útočník vyladí zodpovědnou přípravou o znalost prostředí a vnitřních procesů cíle budoucího útoku, jsme rázem na číslech 8,9,10 … nebo i víc. Jedná se již o útok typu Spear Phising (případně Spear Phishing – lov na ostří kopí, nebo prostě harpunou). V případě Spear Phisingu jde o kombinaci klasického phishingu a starého známého sociálního inženýrství, jak jej světu představil (a realizoval) v dávné minulosti a o několik let i popsal ve své knize Umění klamu „pachatel“ Kevin Mitnick. Ten se u telefonních společností a posléze bankovních domů velmi sofistikovaně seberealizoval a s použitím svých objevených a neskrývaných talentů objevoval, jak jednoduché je získat citlivé informace od nic netušících zaměstnanců těchto společností. S nimi pak dokázal takřka neuvěřitelné věci až nepochopitelně jednoduše.
Ale zpět k Spear Phisingu. Ono totiž s emailem v perfektním českém jazyce, s drobnou, lehce přehlédnutelnou „úpravou“ domény odesílatele v jednom jediném písmenku (například i místo l), s emailem nejlépe s podpisem některého z vlivných šéfů, to začíná být poměrně zajímavější. Pokud tento email útočník ozdobí optimálně i šéfovou ikonickou fotografií v podpisu „jeho“ emailu, pak se šance na úspěch pro útočníka opět značně zvyšují. Je-li pak ještě navíc text v emailu dostatečně naléhavý a vyžadující reakci uživatele „ASAP“, kterýžto výraz tento šéfík přeci velmi často, jako zkušený megamanager ještě zkušeněji používá J , je již jen malý krůček k velkému firemnímu problému. Uživatel klikne na přílohu, potvrdí, že ji chce opravdu otevřít a vyhnout se tak nepříjemnostem spojeným s neuposlechnutím rozkazu v řádné termínu :-) A je to.
Jakmile uživatel, jeho šéf a šéf jeho šéfa společně s vedením nebo přímo s majitelem firmy … a zejména v těsně před infarktovém stavu firemní IT oddělení již nevěřícně kroutí hlavou, bývá zpravidla pozdě. Ještě víc se hlavy kroutí nad úvahami, zda zaplatit výkupné nebo se pokoušet o obnovu ze záloh. Zda začít smlouvat s útočníkem o nejlepší ceně za dešifrovací klíč, nebo trávit, v lepším případě týdny, v horším případě navíc i zbytečně, s pokusem posbírat (rozuměj najít ber kde ber) data po všech možných i nemožných zálohách a step by step obnovit chod firmy s „díkybohu“ snad většinou původních dat a databází.
Co s tím? Jak snížit riziko povedeného útoku u nás ve firmě? Jak snížit na minimum možnost, že se právě tento problém bude týkat nás? Jednoduše … to nejde. Bohužel.
Avšak neztrácejme naději. Rozhodně existují metody, způsoby, technologie, z nichž lze namíchat velmi účinnou obrannou strategii. Je jasné, že jde zejména, ale nejen o softwarové a hardwarové technologie, jejich pravidelnou a důslednou správu, monitoring, průběžné vyhodnocování bezpečnostních incidentů, ale také, a to v v neposlední řadě, o vzdělávání uživatelů, jejich motivaci chovat se na internetu a pravidelné bezpečnostní osvětě.
Všechny tyto segmenty rozvíjející se bezpečnostní strategie ve firmě, které jsou vhodně zvolené a nasazené „na míru“, dokáží vysloveně dělat divy. Díky tomu již ani uživatel, ani jeho šéf a šéf jeho šéfa, ani majitel firmy a zejména ve v pohodě fungujícím firemním IT oddělní, prostě nikde se již nemusí nevěřícně kroutit hlavou.
_____
Pozn. autor: Spear Phising - Lov harpunou
