Bezpieczeństwo

Whaling. Jak hakerzy atakują osoby decyzyjne

 

Whaling – atak phishingowy nakierowany na osoby decyzyjne wyższego szczebla. 

CEO Fraud – atak socjotechniczny, podczas którego haker podszywa się pod osobę decyzyjną.

Phishingowe ataki socjotechniczne dość często kojarzą się z prostymi mailami, opatrzonymi niestaranną grafiką i przepełnionymi błędami gramatycznymi. Dziś nikt już się na nie nie nabiera. Dlatego zastąpiły je ataki typu spear phishing, czyli (bardziej) starannie przygotowane ataki mailowe, w których haker odrobił pracę domową i zapoznał się z targetem demograficznym ofiary. Ataki tego typu są spersonalizowane, odnoszą się do wydarzeń w firmie, partnerów biznesowych lub usług, z których przedsiębiorstwo może korzystać.

Ukierunkowanie ataku w stronę pracowników średniego i niższego szczebla czasami przynosi rezultaty. Według Verizon 2019 Data Breach Investigations Report i badań przeprowadzonych dla firmy Canon, około 30-34% wszystkich wycieków danych jest spowodowanych przez tak zwanych insiderów (o pięciu typach insiderów pisaliśmy na łamach Platformy Przemysłu Przyszłości). Do insiderów należą  osoby, które przez swoją niewiedzę lub brak świadomości współpracują z hakerami.

Wyłudzanie haseł kont pracowników niższego szczebla, choć jest popularne, jest działaniem na małą skalę. Nawet gdy dojdzie do sukcesu i haker otrzyma hasło, najczęściej niewiele może zrobić, ponieważ każdy dział IT posiada politykę dostępu do zasobów sieci i jedno hasło z zasady powinno udzielać dostęp wyłącznie do jednej usługi. Oczywiście, nie należy takich incydentów bagatelizować, ale skompromitowanie jednej usługi to nie strzał w dziesiątkę, jeżeli chodzi o pozyskiwanie danych, za które przedsiębiorca mógłby słono zapłacić.

CEO Fraud

Co mają wspólnego ze sobą Snapchat i Seagate? Są to duże korporacje. Obie funkcjonują w branży technologicznej: Snapchat produkuje oprogramowanie (software) a Seagate – hardware. Od 2016 r. łączy je też fakt, że stały się ofiarą największych wycieków danych uzyskanych metodą CEO Fraud.

CEO Fraud to atak socjotechniczny, najczęściej mailowy, w ramach którego nadawcy podszywają się pod osobę decyzyjną. W przeciwieństwie do innych ataków, ten z zasady jest skrupulatnie przygotowany: haker zachowuje  odpowiedni ton, korzysta z podrobionego adresu mailowego (używa mail spoofing), aktualnej stopki korporacyjnej i w spójny sposób nawiązuje do wydarzeń wewnątrz firmy. Aby przygotować tak spersonalizowany atak, hakerzy zbierają i korelują dane z wielu źródeł. Na przykład, wystarczy choć raz napisać do osoby decyzyjnej, aby  podejrzeć wygląd jej stopki mailowej. Czytając firmowy blog można zdobyć informacje dotyczące nowych projektów, klientów i wydarzeń. Informacje prasowe i inne artykuły odzwierciedlają ton wypowiedzi osób decyzyjnych, a czasami można takie osoby obejrzeć też na YouTube. 

Uzbrojeni w wiedzę, hakerzy mogą przejść do działania. Podszycie się pod nadawcę wiadomości mailowej (mail spoofing) jest technicznie proste do wykonania – w większości sytuacji wystarczy tylko jedna linijka kodu. Jeżeli nie mail spoofing osoby decyzyjnej, można wykorzystać funkcję wysyłania wiadomości „w imieniu” w Microsoft Outlook, przekonując do współpracy osobę niższego szczebla. Możliwości jest naprawdę wiele.

Czy to działa? Oczywiście, że tak (!) i najlepszymi przykładami są właśnie Seagate i Snapchat. W 2016 r. pracownik Seagate został sławny po tym, jak wysłał do hakera rozliczenia finansowe około 10 000 pracowników firmy – od A do Z. Zrobił to na rzekome polecenie prezesa, którym okazał się haker. Mail był na tyle wiarygodny, że  umknął czujnemu oku osób księgowości i ominął zabezpieczenia technologiczne. Snapchat padł ofiarą identycznego ataku z bardzo podobnym rezultatem. Obie firmy były zmuszone do publicznego przyznania się do ataku i zadośćuczynienia swoim pracownikom.

Od 2016 r. wiele się zmieniło  – na gorsze. Według danych FBI, w latach 2016-2019 wyłudzanie danych od firm metodą BEC (Business Email Compromise, CEO Fraud) wygenerowało 26 miliardów dolarów strat. Natomiast w ostatnich dwóch latach, czyli pomiędzy rokiem 2018 a 2019, ilość ataków wzrosła o 100%.

Whaling – atak na grube ryby

Różnicą pomiędzy metodą CEO Fraud a whalingiem jest to, że w wypadku whalingu celem hakerów jest sam prezes lub inna osoba wyższego szczebla. Samo słowo whaling znaczy „wielorybnictwo”, czyli łowienie największych.

Ataki typu whaling są stosunkowo trudne do wykonania, ale przynoszą hakerom największe korzyści. Prezesi firm i członkowie zarządu są uprzywilejowani w kwestii dostępu do danych: mają dostęp do praktycznie każdego zasobu firmy i w przeciwieństwie do średniego szczebla pracowników, nie obejmuje ich konteneryzacja informacji. Skompromitowanie urządzenia lub konta prezesa jest więc „strzałem w dziesiątkę”.

Choć wydawać by się mogło, że przez samą naturę swojej pracy, prezesi firm i osoby decyzyjne powinne być najlepiej chronione przed atakami cybernetycznymi, nie zawsze tak jest. Za przykład może posłużyć sam Jeff Bezos – prezes Amazon, który padł ofiarą ataku socjotechnicznego wykonanego przez komunikator WhatsApp (case Jeffa Bezosa opisaliśmy tutaj). To właśnie przez sukces tego ataku w 2018 r. wyszło na jaw, że nawet prezesi gigantów technologicznych nie zawsze są adekwatnie zabezpieczeni.

Hakowanie szefów i rad nadzorczych to naprawdę lukratywny biznes. Nawet gdy pełne przejęcie urządzenia – jak to się wydarzyło u szefa Amazonu – nie jest możliwe, na samym autorytecie zhakowanej osoby można zarobić krocie. Dobrym tego przykładem jest lipcowy hack Twittera, w którym autorytet osób takich jak Elon Musk, Barack Obama czy Joe Biden został wykorzystany, aby w ciągu kilku minut zarobić 115 tysięcy dolarów. Hakerzy dostali się do kont Twittera znanych osób i zachęcali do wpłaty BitCoinów na podany adres w celu pomnożenia pieniędzy. Oferta została przedstawiona jako akcja charytatywna, a sam autorytet właścicieli kont Twittera wystarczył, aby internauci wpłacili pieniądze (wstępną analizę ataku opisaliśmy tutaj).

Z pomocą przychodzą zasady i procedury

Najlepszą zasadą jest przestrzeganie zasad. W wypadku ataków typu CEO Fraud, żaden pracownik nie powinien był wysyłać danych, do których prezes teoretycznie już posiadał dostęp, np. poprzez systemy wewnętrzne. Ponadto praca z danymi poufnymi – szczególnie natury finansowej – powinna być ściśle kontrolowana regulaminem przetwarzania danych. Dobrą praktyką jest manualna weryfikacja, choćby sprawdzenie telefoniczne, czy prośba o tak dużą ilość danych, faktycznie powinna być zrealizowana.

W sytuacji whalingu jest bardzo podobnie. Nie istnieją rozwiązania technologiczne, które  gwarantują bezpieczeństwo w Internecie. Nawet Jeff Bezos takich nie posiada. Pośpiech i pochopność w działaniu, nawet w sytuacjach awaryjnych, jest najgorszym doradcą. Jeżeli wiadomość, zaproszenie, plik lub informacja choć w najmniejszym procencie wydaje się nietypowa, zawsze można ją przekazać do działu IT do weryfikacji. W przeciwnym wypadku może dojść do tego, co wydarzyło się w Amazonie.

Red teaming, wdrożenia i audyty

Bezpieczeństwo osób decyzyjnych nie kończy się na zabezpieczeniu infrastruktury i ustaleniu odpowiednich procedur. Procedury, tak jak zabezpieczenia technologiczne, działają tylko wtedy, gdy są wykorzystywane świadomie.

Według badań Canona, tylko 17% wycieków danych jest spowodowanych obejściem zabezpieczeń technologicznych (Źródło: ABI Research – Canon, Office of the Future Survey, 2019). Natomiast około 55 do 59% wycieków danych jest spowodowanych przez tak zwany błąd ludzki, czyli niepoprawną konfigurację, podatność na ataki socjotechniczne i zwykłe wypadki przy pracy – choćby takie, jak niezrozumienie lub niedostosowanie się do procedur. Aby wyeliminować te czynniki, firma powinna kompleksowo podejść do polityki bezpieczeństwa danych, korzystając z usług takich jak red teaming, audyty procedur i szkoleń.

  • Red Teaming to technika ofensywna polegająca na symulacji ataku wymierzonego w pracownika, system, czy oprogramowanie z uwzględnieniem fizycznego wkroczenia do siedziby organizacji, zgodnie z zasadą, że cel uświęca środki (więcej o red teamingu przeczytasz tutaj).
  • Audyty procedur wewnętrznych polegają na weryfikacji zastanej sytuacji, czyli zasad i słuszności obecnych procedur w firmie, jak i ich przestrzegania. Rezultatem audytów często są optymalizacje procesów.
  • Szkolenia sprawiają, że pracownicy nie tylko są świadomi, ale rozumieją cele procedur i swoją odpowiedzialność za bezpieczeństwo danych firmy. 

Podsumowanie

CEO Fraud i whaling są typami ataków socjotechnicznych, które ilustrują różnicę pomiędzy posiadaniem procedur a ich zrozumieniem i wdrożeniem w życie. Za każdym sukcesem hakerów stoi błąd szefa lub pracownika, który nieświadomie współpracował z przestępcami. Osoby decyzyjne, którym zależy na utrzymaniu wysokiego poziomu odporności na ataki hakerskie powinny traktować bezpieczeństwo kompleksowo, tworząc kulturę bezpiecznej pracy z danymi poufnymi w całej firmie.

Oceń artykuł:


26.08.2020