Metoda “na pizzę” - nowy sposób działania cyberhakerów

Osiem pudełek pizzy z 30 proc. rabatem i darmowy gadżet do komputera. Hakerzy podszywając się pod dostawców pizzy, przeprowadzili skuteczny atak socjotechniczny na warszawski oddział znanej, międzynarodowej korporacji. W ciągu kilku minut zhakowali system informatyczny, skutecznie paraliżując działanie całej firmy.

Tylko w Polsce z atakami phishingowymi rocznie styka się blisko 20 proc. internautów. Na celowniku, obok użytkowników banków i systemów płatniczych, są e-klienci sklepów internetowych, co dowodzi, że głównym celem hakerów są nasze pieniądze (dane Kaspersky Lab). Zresztą hakerski “biznes" opłaca się, bo jak podaje Nest Bank, aż 30 proc. Polaków w ogóle nie wie co to phishing, a 32 proc. ma wrażenie, że wie, choć pewności nie ma.

Jednocześnie nadal rośnie liczba ataków whalingowych, czyli bardziej dokładnego i wyrafinowanego phishingu nakierowanego na instytucje rządowe i duże biznesy. Jak donoszą autorzy raportu Verizon DBIR 2019, dziś menedżerowie wysokiego szczebla i dyrektorzy firm (czyli osoby posiadające przywileje wykonawcze i dostęp do wielu zastrzeżonych, często krytycznych rejonów infrastruktury informatyczne) są 12 razy bardziej narażeni na atak socjotechniczny niż jeszcze rok temu.

Reklama

Najdroższa pizza w historii

Hakerzy stosują różne metody, próbując wykraść ważne dla nich dane, takie jak m.in. dane dostępowe do kont bankowych, numery PIN lub CVC kart kredytowych, szczegółowe dane osobowe czy - w przypadku whalingu - wrażliwe dane firmowe. Nadal głównym, choć nie jedynym wektorem cyberataku są maile, a jedną z najpopularniejszych form - ataki socjotechniczne, czyli takie, które bazują na skłonności człowieka do bezwiednego ulegania wpływom innym. Przekonali się o tym dyrektorzy i pracownicy znanej, międzynarodowej korporacji, której warszawski oddział został zaatakowany przez hakerów metodą “na pizzę". Pomimo że firma posiadała ochronę sprzętu i oprogramowania na najwyższym, światowym poziomie, cyberprzestępcom udało się znaleźć lukę w zabezpieczeniu. Jak przebiegł atak?

- Na służbowe adresy mailowe, podane na naszej stronie internetowej, przyszła informacja o otwarciu nowej pizzerii w okolicy wraz z 30% zniżką dla pierwszych klientów. Pracownicy skuszeni tą ofertą szybko zorganizowali “Pizza Day" i zamówili 8 pudełek. Menu znajdowało się na stronie www pizzerii, jak się później okazało, która była fałszywa i powstała tylko w celu uwiarygodnienia istnienia nowego lokalu - opowiada Adam, CEO zaatakowanej firmy (ze względów bezpieczeństwa nazwa firmy nie została ujawniona).

Co stało się dalej? Po kilkudziesięciu minutach w firmie pojawił się dostawca z pizzą i gratisem w postaci LED-owych lampek na USB, zmieniających kolory w rytm muzyki. Mile zaskoczeni upominkiem pracownicy bez wahania podłączyli je do komputerów. Nie mieli świadomości, że w ten sposób dali hakerom zdalny dostęp do urządzeń firmowych, a ci w kilka minut zdestabilizowali pracę całego systemu, a co za tym idzie, całej firmy.

Jak to możliwe, że firma posiadająca ochronę na najwyższym poziomie, padła ofiarą cyberprzestępców? Zawiodło najsłabsze, najmniej przewidywalne, a przy tym najbardziej podatne ogniwo, czyli człowiek - w tym przypadku nieświadomi zagrożeń, nieodpowiednio przeszkoleni pod względem bezpieczeństwa pracownicy firmy.

Atak był symulowany

Na szczęście dla pracowników, atak metodą “na pizzę" okazał się być z góry zaplanowanym audytem bezpieczeństwa, który miał wykazać, na jakich polach firma nadal jest zagrożona. Jak mówi Szymon Chruścicki z TestArmy CyberForces, który na zlecenie korporacji przygotował scenariusz ataku i przeprowadził test socjotechniczny:

- Scenariusz ataku opierał się na kilku prostych krokach. Zaczęliśmy od stworzenia fałszywej strony www, a następnie zamówiliśmy naklejki z nazwą i logo pizzerii. Jako wektor ataku wykorzystaliśmy służbowe maile, podane na stronie atakowanej korporacji. Po otrzymaniu zamówienia od pracowników, nasz pracownik dostarczył pizzę z lokalnej pizzerii, naklejając na pudełko logo naszej fikcyjnej. Posłużyliśmy się regułą wzajemności i sympatii, żeby wymusić na pracownikach podjęcie zaplanowanego działania, w tym przypadku chodziło o podłączenie do komputerów lampek, w które wbudowaliśmy spreparowane pendrive’y ze złośliwym oprogramowaniem. Pod budynkiem czekał nasz specjalista od cyberbezpieczeństwa, który po uzyskaniu zdalnego dostępu do urządzeń, zaszyfrował wszystkie dane w firmowym systemie.

Po co to wszystko? Pamiętajmy, że system bezpieczeństwa jest tak skuteczny jak jego najsłabsze ogniwo, i choćby z tego powodu ataki socjotechniczne są jedną z najskuteczniejszych metod wykorzystywanych przez hakerów. Aby dobrze zrozumieć specyfikę tych zagrożeń, symulacje z użyciem złośliwego oprogramowania są konieczne. Z jednej strony pozwalają ujawnić luki w zabezpieczeniach, a z drugiej - szkolić pracowników jak nie padać ofiarą socjotechnicznych sztuczek stosowanych przez cyberprzestępców.

Głośne przykłady z ostatnich miesięcy

  • Dane osobowe 20 tys. pracowników FBI i 9 tys. pracowników Departamentu Bezpieczeństwa Krajowego w USA wyciekły po tym, jak haker podając się za nowego pracownika zadzwonił do Departamentu Sprawiedliwości, prosząc o przekazanie kodu dostępu do zastrzeżonych stron instytucji. W efekcie uzyskał dostęp do wewnętrznej sieci zawierającej m.in. adresy mailowe należące do członków armii Stanów Zjednoczonych i informacje o numerach ich kart kredytowych
  • Jeden z amerykańskich banków odniósł ogromne straty wizerunkowe po tym, jak hakerzy włamali się do jego systemu pocztowego i po odmowie zapłacenia haraczu, rozpoczęli masową, liczoną w milionach wysyłkę maili o spamowym charakterze. W efekcie dostawca usług internetowych został zmuszony do wyłączenia usługi poczty elektronicznej banku.
  • Ponad 500 tys. dolarów zarobili w 2018 roku hakerzy wykorzystując tzw. “sextortion scam", czyli szantaż polegający na wysłaniu maila (zwykle z adresu należącego do ofiary) z groźbą upublicznienia rzekomo posiadanych kompromitujących filmów czy zdjęć ofiary, jeżeli haker nie otrzyma żądanej kwoty (dane GlobalSign).


Jak się bronić przed hakerami? TOP 4 wskazówki: 

  1. Usuwaj wszystkie wiadomości z prośbą o podanie danych osobowych, loginów i haseł. Taki mail to oszustwo.
  2. Weryfikuj nadawców maili przed tym, jak wyślesz im żądane pliki czy wykonasz proszoną czynność. Nie raz, nie dwa, a trzy razy.
  3. Ustaw wysoko filtry antyspamowe w poczcie elektronicznej.
  4. Regularnie aktualizuj oprogramowanie antywirusowe i korzystaj wyłącznie z bezpiecznych stron internetowych.
INTERIA.PL
Reklama
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy