Okrem kvantity sa útočníci sústreďujú aj na kvalitu, a tak sú podvodné emaily čoraz vierohodnejšie a ťažšie identifikovateľné. Od používateľov mnohokrát úspešne vylákajú ich prihlasovacie údaje, infikujú ich počítače a ukradnú dáta.
Nie je prekvapením, že aj správa Národného bezpečnostného úradu uvádza phishing ako jednu z najvýznamnejších hrozieb na Slovensku v minulom roku. A trend pokračuje.
Je teda veľmi pravdepodobné, že aj vo vašej organizácii príde k incidentu, keď phishingový útok uspeje.
Aj keď ide o známu a technicky často triviálnu hrozbu, určite ju nepodceňujte. Pretože ak dúfate, že riešenie bude spočívať iba v zmene hesla používateľa, ktorý sa dal „nachytať“, budete sklamaní.
Možno vám pomôže našich šesť otázok, ktoré by ste mali položiť aj vo svojej firme, ešte pred tým ako k incidentu príde.
Ako ste na phishingový útok pripravení?
Možno v rámci prevencie používate v organizácii technológie, ktoré pomáhajú odhaliť a zneškodniť škodlivý obsah v emailoch či pri surfovaní na webe. Sú veľmi užitočné, ale neochránia vás úplne. Napríklad domáce WiFi siete, súkromné mobily, tablety a osobné mailové schránky sú často mimo ich dosahu.
Pripravenosť spočíva aj v tom, že budete vedieť, kto a aké kroky má počas incidentu vykonať. Ak nad nimi začnete rozmýšľať, až keď „horí“, zbytočne stratíte čas a stres sa nepochybne odrazí aj na kvalite.
Už len ak budete mať poruke aktualizované dôležité informácie, akými sú napríklad zoznam všetkých systémov dostupných z internetu, kontakty na ich administrátorov a dodávateľov, vám veľmi uľahčí a zrýchli reakciu.
Ako obeť phishingu odhalíte?
Čo sa stane, ak phishingový pokus od používateľa skutočne vyláka jeho prihlasovacie meno a heslo? V ideálnom prípade máte k dispozícii nástroje, ktoré vás zalarmujú. Dôležité však je, aby sa takýto alarm nestratil v záplave iných, aby našiel správneho adresáta a ten naň rýchlo reagoval.
Alebo si chybu uvedomí sám človek – obeť. Musí však prekonať nepríjemný pocit hanby, že sa dal „nachytať“, vedieť, ako reagovať a komu podozrenie ohlásiť.
Dokážete analyzovať rozsah a dosah problému? A rýchlo!
Máte podozrenie, že k úniku prihlasovacích údajov naozaj prišlo? To už hráte o čas a potrebujete rýchlo určiť rozsah a možný dosah problému.
Dokážete rýchlo zistiť, či ide o jedného používateľa alebo viacerých? Či boli údaje zneužité na skutočné prihlásenie a do akých systémov? Prišlo k prístupom na citlivé informácie? Rovnako by ste mali začať skúmať pôvod útoku. K tomu všetkému budete potrebovať množstvo prevádzkových záznamov, čiže logov z dôležitých systémov. Zbierate a ukladáte ich?
Čo spravíte, aby ste zabránili šíreniu a ešte väčším škodám?
Zároveň so skúmaním by ste mali začať vykonávať premyslené kroky, ktorých cieľom je zabrániť šíreniu problému a minimalizovať jeho dosah. Budete vedieť zamedziť, aby sa škodlivý email pohyboval ďalej po firme? Máte nástroje a postupy, ako zabrániť, aby ďalší používatelia klikli na škodlivý link? A čo ak pracujú z domu či na mobile?
Kedy, ako a čo budete komunikovať? V rámci organizácie aj mimo nej.
Často opomínaným aspektom pri riešení incidentov býva práve komunikácia. Máte jasno, v ktorých štádiách a o čom by ste mali upovedomiť všetkých zamestnancov, napríklad, že im hrozí zvýšené riziko podvodnej komunikácie? A kedy je potrebné osloviť svojich klientov, dodávateľov či dokonca políciu?
Mimochodom, máte rozmyslené, ako budete s kolegami komunikovať, keď im všetkým resetujete heslo a oni sa do emailu či Teamsov nebudú vedieť prihlásiť?
A ako ste pripravení na ďalší útok?
Gratulujeme, práve ste prežili svoj prvý vážnejší kybernetický incident spôsobený phishingom. Je veľmi pravdepodobné, že nie posledný. Tie ďalšie môžu prísť už čoskoro, keďže sa útočníkom tento pokus možno úplne alebo čiastočne podaril.
Ak sa dostali k vášmu adresáru či internej komunikácii, majú dosť informácií, aby ich ďalšie pokusy boli ešte cielenejšie, vierohodnejšie a ťažšie odhaliteľné.
Pre vás by incident tiež mohol byť prínosnou skúsenosťou, ak vám pomôže ukázať a zlepšiť slabé miesta v obrane, zefektívniť reakcie či uvedomiť si a znížiť riziká. Samozrejme, na to vlastne ani nepotrebujete takýto incident zažiť, ale človek sa asi naozaj učí až na vlastných chybách.
Martin Lohnert, riaditeľ centra kybernetickej bezpečnosti Void SOC Soitron