Phishing (kojarzący się z angielskim słowem fishing) bynajmniej nie dotyczy wędkarstwa. Jest to atak socjotechniczny, będący popularnym sposobem, dzięki któremu cyberprzestępcy wykradają dane. Warto więc zastanowić się jak nie dać się „złowić”.

Słowo wstępu

Kiedy jedna z autorek tego bloga poinformowała nasz zespół o kolejnej kampanii phishingowej, w której cyberprzestępcy podszywali się pod jedno z przedsiębiorstw oferujących m.in. usługi kurierskie, nie wzbudziło to we mnie większych emocji niż zwykła zawodowa ciekawość (nazwy nie podaję, żeby nie sugerować, że pod inne przedsiębiorstwa cyberprzestępcy się nie poszywają, bo podszywają się i to często). Kiedy więc koleżanka zaproponowała temat tego artykułu byłam sceptyczna. Co chwilę słyszymy o kampaniach phishingowych, więc czemu ta miałaby być szczególna? W końcu dzień bez doniesienia o kolejnym cyberataku wydaje się dniem straconym.

Nie minął jednak tydzień, kiedy rano spiesząc się do pracy i robiąc (jak to rano bywa) dwie rzeczy na raz, otrzymałam SMS-a z linkiem do strony, na której miałam możliwość śledzenia swojej paczki. Choć zwykle nie klikam w linki otrzymane SMS-em, mój palec powędrował nad hiperłącze. W momencie, w którym prawie dotknęłam ekranu komórki uświadomiłam sobie, jaki błąd mogłam właśnie popełnić. Gdyby był to link do strony zawierającej złośliwe oprogramowanie? Albo do strony podszywającej się pod stronę banku, na której podałabym swoje dane? Skłoniło mnie to do ponownego przemyślenia kwestii tego artykułu. W końcu to my, nasi współpracownicy i pracownicy jesteśmy najsłabszym ogniwem, a takie wiadomości przychodzą zarówno na urządzenia prywatne, jak i służbowe. Warto więc wiedzieć, co można zawczasu zrobić, żeby zabezpieczyć się przed złowieniem, a gdy już zostaniemy złowieni – jakie działania podjęć, żeby zminimalizować skutki.

Czym jest phishing?

Jest to metoda oszustwa, w której cyberprzestępcy „zarzucają haczyk” podszywając się pod inną osobę lub instytucję i próbują skłonić potencjalną ofiarę do działań zgodnych z ich zamierzeniami. Technik inżynierii społecznej jest wiele i nie sposób opisać ich w jednym, krótkim artykule (dla zainteresowanych warto poszukać m.in. pod pojęciami spear phishing, clone phishing, whaling, pharming). Najczęściej działania takie kojarzone są z wiadomościami e-mail, czy wysyłanymi przy pomocy innych środków łączności np. połączenia telefoniczne (vishing) albo SMS-y (smishing), w których przestępca próbuje nakłonić ofiarę do działania zgodnie z jego zamiarem. Wiadomość taka może zwierać np. prośbę o podanie hasła do konta e-mail, bazy danych przedsiębiorstwa czy bankowości elektronicznej albo posiadać załączony plik ze złośliwym oprogramowaniem, który pozwoli na usunięcie, uzyskanie dostępu, zmodyfikowanie albo inną niepożądaną operację na danych osobowych.

Przykładem, który zapewne wielu z Was pamięta, jest podszywanie się przez cyberprzestępcę pod Willa Smitha, który pod koniec ubiegłego roku (tj. 2020) miał poprosić Polkę o dokonanie przelewu, w zamian za co kobieta miała odebrać przesyłkę zawierającą diamenty (o wartości 6 milionów dolarów), gotówkę (3 miliony dolarów) i dokumenty rozwodowe. Brzmi to nieprawdopodobnie, ale jednak atak zadział i nie był to jedyny przypadek.

Niektóre kampanie są oczywiście mało skuteczne. Brak polskich znaków i łamana polszczyzna prosto z internetowego translatora albo nieprawdopodobna historia często powodują, że pracownicy którzy otrzymali wiadomość phishingową nie dają się nabrać, jednak zdarzają się i kampanie bardziej przemyślane. Przygotowując przykłady do szkolenia dotyczącego ochrony tajemnicy przedsiębiorstwa (którą mogą stanowić oczywiście również dane osobowe), przypomniały mi się m.in. niedawne sprawy maili kierowanych głównie do księgowych, w których zamieszczano prośbę o przelanie określonych kwot na podany numer konta. Być może wzbudzałoby to więcej podejrzeń, gdyby nie fakt, że w niektórych przedsiębiorstwach droga mailowa jest główną drogą komunikacji, mail był podpisany danymi szefa, a adres nadawcy wiadomości do złudzenia przypominał ten, którym posługuje się przełożony. W natłoku obowiązków nie trudno go zatem pomylić z innymi wiadomościami z rzeczywistymi poleceniami służbowymi.

Takie działania można bez trudu przełożyć na grunt danych osobowych, co oczywiście w praktyce też się zdarza. Jak już wspomniałam wiadomość może np. zawierać prośbę o hasło do konta e-mail. Przestępca otrzymując hasło i znając adres e-mail, z którego zostało ono przesłane może bez dalszych przeszkód zalogować się do konta, gdzie znajdzie dane osobowe pracowników, kontrahentów czy potencjalnych klientów. Mogą to też być dane logowania do służbowego systemu CRM, co doprowadzi do wycieku podobnych danych. Instalacja złośliwego oprogramowania z wiadomości e-mail może doprowadzić do zablokowania komputera i próby wyłudzenia okupu za odzyskanie dostępu do danych albo spowodować usunięcie danych na koncie. Jednym słowem konsekwencje mogą być daleko idące.

Jak bronić się przed phishingiem?

Lepiej zapobiegać niż leczyć to stwierdzenie, które sprawdza się nie tylko w medycynie. Warto więc zawczasu pomyśleć co możemy zrobić, żeby pracownicy nie nabrali się na działania cyberprzestępców. Przede wszystkim– uświadamiać, uświadamiać i jeszcze raz uświadamiać. Nie chodzi mi jednak o całodniowe, teoretyczne szkolenia przeprowadzane raz na pięć lat, na których po piętnastu minutach cała uwaga skupia się na tym, czy na lunch będzie zamawiana pizza czy makaron. Drogi do podniesienia świadomości pracowników są różne i wiele zależy do wielkości przedsiębiorstwa, branży oraz stanowiska pracowników.

Niestety czas ucieka, a wiedza nie tylko umyka, ale i dezaktualizuje się. Warto więc wprowadzić system powiadamiania pracowników o nowych kampaniach phishingowych (oraz innych zagrożeniach) – wiedzę o nich można czerpać np. ze stron organów i organizacji zajmujących się cyberbezpieczeństwem (np. CERT Polska – link)  działający w strukturach Naukowej i Akademickiej Sieci Komputerowej), jak i z doświadczeń samych pracowników, którzy powinni mieć obowiązek informowania wyznaczonych do tego osób o próbach ataków, z którymi spotkali się w ramach obowiązków służbowych (np. niepokojące działanie komputera, na którym pracują, podejrzany e-mail). Informacje warto rozpowszechniać w sposób usystematyzowany (zwłaszcza w przypadku dużych spółek zatrudniających kilkadziesiąt czy kilkaset osób), czyli wyznaczając odpowiednie osoby do zbierania i rozpowszechniania informacji oraz drogę przesyłania informacji do pracowników. Osoba taka powinna mieć odpowiednie kompetencje do oceny zagrożenia oraz bezpiecznego przesłania informacji, a droga informowania powinna umożliwiać szybkie rozesłanie informacji do wszystkich narażonych osób. Z góry wyznaczona ścieżka komunikacji jest ważna z wielu względów – np. jeżeli każdy pracownik, który zauważy coś niepokojącego będzie rozsyłał informację współpracownikom, to nagle możemy otrzymać kilkanaście, jak nie kilkadziesiąt informacji na ten sam temat, co jest niekorzystne organizacyjnie (100 pracowników po minucie na każdą z 10 otrzymanych wiadomości daje nam ponad 16 straconych godzin pracy na otrzymanie jednej informacji), do części pracowników informacja taka może w ogóle nie dotrzeć, bo ktoś zapomni dodać adres e-mail do adresatów, poza tym zwiększamy ryzyko, że wiadomość zawierająca np. niebezpieczny link czy załącznik, zostanie rozesłana po całym przedsiębiorstwie, co zwiększa prawdopodobieństwo, że ktoś go otworzy.

Warto też wprowadzić procedury (tak, wiem, słowo często niespotykające się z sympatią pracowników) przekazywania ważnych informacji np. zlecenia przelewów, przesyłania zaszyfrowanych danych osobowych z hasłem przesyłanym inną drogą komunikacji, weryfikacji adresatów wysyłanych wiadomości, zgłaszania naruszeń wewnątrz organizacji, reagowania na incydenty związane z danymi osobowymi (w tym procedura informowania odpowiednich organów oraz działań minimalizujących dalsze konsekwencje naruszenia).

Kolejnym zabezpieczeniem może być uwierzytelnianie dwuskładnikowe, czyli mechanizm zapewne znany Wam z dokonywania elektronicznych operacji bankowych, który poza podaniem hasła do konta wymaga potwierdzania logowanie przez np. podanie hasła otrzymanego SMS-em na wcześniej podany numer telefonu, wcześniej otrzymanej listy kodów czy podłączenia zewnętrznego urządzenia. Warto przy tym rozważyć plan awaryjny na wypadek np. zgubienia listy kodów czy kradzieży telefonu.

Będąc przy hasłach, zabezpieczeniem, choć wywołujących wiele dyskusji, może być też okresowa zmiana haseł. Nie chcę się tu opowiadać za nią czy przeciwko niej, ponieważ najlepsze są rozwiązania dostosowane do danej organizacji, ale podejmując decyzję o jej wprowadzeniu warto mieć na uwadze z jednej strony zwiększone bezpieczeństwo na wypadek przełamania czy otrzymania hasła przez osoby niepożądane, z drugiej strony kolorowe karteczki z jawnie zapisanymi hasłami przyklejone do monitorów czy biurek pracowników, przekładanie się częstych zmian haseł na ich prostotę (a więc na możliwości ich przełamania) oraz zapominanie nowo utworzonych haseł. Na te problemy też są rozwiązania, ale temat polityki haseł zasługiwałby na oddzielny artykuł.

Jeżeli dojdzie do incydentu konieczne jest powiadomienie odpowiednich organów. Niektóre z nich trzeba powiadomić ze względu na obowiązujące przepisy (np. w przypadku naruszenia ochrony danych osobowych – w określonych przypadkach należy powiadomić osoby, których dane dotyczą oraz Prezesa UODO albo w przypadku dostawców usług cyfrowych obowiązkowe jest zawiadomienie o incydencie, który ma istotny wpływ na świadczenie usługi cyfrowej właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV). W innych wypadkach zawiadomienie jest konieczny krokiem do wyciągnięcia konsekwencji wobec sprawcy (np. zawiadomienie o możliwości popełnienia przestępstwa).

Poza tym na uwagę zasługują firewalle i antywirusy oraz filtry antyspamowe. Korzystne przy ograniczaniu skutków będzie też aktualizowanie oprogramowania i ograniczenie zakresu danych, do których mają dostęp poszczególni użytkownicy oraz kopie zapasowe (odpowiednio tworzone, przechowywane i testowane).

Statystyki UODO

Niestety szanse, że kampanie phishingowe ustaną nie są duże, ponieważ tendencja jest raczej rosnąca. Jak podaje chociażby Urząd Ochrony Danych Osobowych (link).

“Ponad 43 proc. Polaków obawia się, że w czasie pandemii padnie ofiarą oszustów wyłudzających dane osobowe. Prawie 30 proc. spotkało się już z taką próbą.

(…) większą aktywność oszustów zauważyły kobiety (ponad 70 proc.) oraz respondenci w wieku 25–34 lata – blisko 73 proc. (…)

W otrzymanych wiadomościach respondenci najczęściej byli proszeni o kliknięcie w przesłany link (ponad 49 proc.), pobranie załącznika (ponad 44 proc.), wykonanie przelewu lub płatności (ponad 28 proc.) lub przekazanie danych osobowych (prawie 26 proc.). (…)

Niestety, pomimo ostrzeżeń i kampanii edukacyjnych wciąż nie wszyscy zdają sobie sprawę z tego, że wirus COVID-19 to nie jedyne zagrożenie, któremu w ostatnich miesiącach musimy stawić czoła. Takie podejście starają się wykorzystać właśnie przestępcy wyłudzający dane osobowe. Ich metody zmieniały się wraz z upływającym czasem, jednak najpopularniejszą był phishing, polegający na tym, że przestępcy podszywają się pod inną osobę lub instytucję w celu wyłudzenia danych.„

Nie jest to jednak tylko problem czasów pandemii, o fali phishingu alarmował już wcześniej chociażby CERT Orange Polska w swoich raportach za 2019 i 2020 r. (link).

Życzę Wam jednak, aby w Waszych przedsiębiorstwach, domach i miejscach pracy ataki zdarzały się jak najrzadziej i nie prowadziły do wycieków danych ani pieniędzy.