Wiadomości

Zbyt duże zaufanie do technologii naraża firmy na ataki z wykorzystaniem socjotechnik takich jak phishing. Eksperyment przeprowadzony przez specjalną jednostkę F-Secure pokazuje, że w link zawarty w sfałszowanej wiadomości kliknęło aż 52% pracowników.

Cyberprzestępcy coraz częściej skupiają się na firmach, które pokładają zbyt duże nadzieje w zautomatyzowanych rozwiązaniach chroniących ich sieci. Przestrzegają przed tym zjawiskiem pentesterzy z F-Secure.

– Technologia nie zawsze jest w stanie ustrzec nas przed niebezpieczeństwem i powinna raczej pełnić funkcję wspomagającą ochronę – mówi Leszek Tasiemski, lider specjalnej jednostki RDC w firmie F- Secure. – Cyberprzestępcy ciągle doskonalą umiejętności socjotechniczne, aby przechytrzyć osoby zatrudnione w firmach. Zapewnianie pracowników o tym, że są bezpieczni, jest działaniem na niekorzyść, bo może prowadzić do uśpienia ich czujności, a na to właśnie liczą hakerzy – wyjaśnia Tasiemski.

Przykładem zastosowania socjotechnik w ataku jest phishing. Według ostatniego badania przeprowadzonego przez PwC w 2016 roku phishing znalazł się na 1. miejscu wśród najpopularniejszych metod ataku stosowanych wobec instytucji finansowych. Niepokojąca jest również coraz większa dostępność do gotowych „pakietów” umożliwiających przeprowadzenie kampanii phishingowej, które krążą po tzw. darknecie (ciemnej stronie Internetu, z której często korzystają cyberprzestępcy). W tych gotowych paczkach znajdują się przygotowane już treści sfałszowanych maili, listy adresów e-mail czy nazwy serwerów, do których hakerzy uzyskali dostęp.

– Phishing cieszy się bardzo wysoką skutecznością podczas kontrolowanych ataków, które przeprowadzamy w przedsiębiorstwach. Pracownicy najczęściej nie spodziewają się, że e-mail, który dostają lub witryna, z której powszechnie korzystają, mogą być sfałszowane – mówi Leszek Tasiemski.

Podczas przeprowadzania jednego z ostatnich kontrolowanych ataków, eksperci z F-Secure rozesłali sfałszowany mail udający wiadomość z serwisu LinkedIn, żeby sprawdzić, ilu pracowników kliknie w link podany w mailu. Wynik był zatrważający, bo kliknęło aż 52% osób. W innym eksperymencie grupa CSS stworzyła mail prowadzący do sfałszowanego portalu. W tym przypadku w przekierowujący link kliknęło 26% osób, a 13% osób zalogowało się na sfałszowanej stronie, używając swoich danych logowania.

Pentesty najczęściej zaskakują firmy, obnażając, w jak wielkim stopniu są one narażone na ataki. Przekonanie przedsiębiorstw o ich bezpieczeństwie najczęściej zgoła różni się od faktycznego poziomu ochrony i tego, co dostrzegają cyberprzestępcy. Testy wykazują całą powierzchnię ataku – nie tylko w cyfrowym, ale również w fizycznym wydaniu.

– Wiele firm nie spodziewa się tego, że uzyskamy dostęp fizycznie, wkradając się do budynku. Na dodatek często jest to zaskakująco proste zadanie. Wystarczy pracownicza odblaskowa kamizelka bezpieczeństwa, która działa lepiej niż peleryna niewidka rodem z Harry’ego Pottera – podsumowuje Tasiemski.

źródło: F-Secure