Стас ЮрасовСпецпроекты
7 февраля 2023, 16:53
2023-02-07
Тест на фишинг, или Как не попасть в ловушку хакера. Наш эксперимент
В декабре на почту журналистов dev.ua пришло письмо от главного редактора. Тот якобы пытался предупредить своих коллег о том, что редакционную систему снова кто пытается взломать. Такие случаи были и раньше. Издание атаковали после громких расследований и с началом войны — ддосили на День Независимости Украины.
Так что сотрудникам не привыкать. Но на этот раз главред в письме просил «знакомиться с важным документом по ссылке» и строго следовать этим инструкциям.
Так совпало, что в то время главный редактор как раз был в отпуске. Он не отвечал коллегам в общий чат на вопрос, это ли от него письмо и что вообще происходит.
Поэтому коллеги решили не открывать ссылку и спустя некоторое время просто забыли о существовании этого обращения.
После нового года главред не успокоился. Он снова написал письмо журналистам:
Реакция от коллег была мгновенной. Заместитель главного редактора Мария Бровинская запостила скрин с этим письмом в общий чат и написала:
Мария сразу заметила, что это нетипичное письмо главреда. И этого не может быть он. Потому что обычно главред наспех совершает много ошибок в украинском. А здесь прямо всё идеально!
Точно такое же письмо пришло и бухгалтеру редакции. А этот e-mail вообще нигде не светился. И было непонятно, откуда он у злоумышленников.
И в этот раз, и в прошлом случае у коллег уже не было никакого сомнения, что это пишет не Стас Юрасов, а кто-то другой.
На следующий день на планерке Стас рассказал, что это действительно не он. Но ему было хорошо известно о намерениях отправителя.
На самом деле они были совсем не преступны. Это был тест, проверка безопасности, которую провели для редакции специалисты компании GigaCloud.
И редакция его успешно прошла.
А теперь разбор, почему никто не попался и как часто на таком попадаются другие.
Ну и напоследок: полезные рекомендации: что делать, чтобы команда не звала на фишинговые листы, а обходила их десятой дорогой.
Поехали!
Почему редакцию не удалось обмануть
Максим (имя мы скрыли) — руководитель информационной безопасности облачного провайдера GigaCloud. Именно он несколько недель прокачивал почтовый сервер и по несуществующему почтовому адресу [email protected] производил рассылку по редакции. Адреса ему заранее передал Стас.
Максим рассказал, какие были затруднения при выполнении этого эксперимента:
У вас очень прекрасный домен (dev.ua). Если взять даже, например, наш домен — gigacenter.ua, то слово center там пишется через два «е». Если второе «е» убрать (выйдет gigacentr.ua), то на первый взгляд и не поймешь, что это ложный, подставной домен. «dev.ua как я не крутил — ничего не уберешь», — подчеркивает Максим.
Домены второго уровня в национальных доменах (UA) для злоумышленников, использующих фишинг, — это просто боль и слезы. Такой домен можно зарегистрировать только тогда, когда у тебя есть соответствующая торговая марка в Украине.
Следующая проблема для фишинговой атаки — очень короткий e-mail адрес главного редактора — [email protected]. Комбинаций для того, чтобы сделать подобную фейковую — маловато.
У вас очень маленький коллектив, все всех знают, общаются между собой. И если даже какие-нибудь подозрительные письма приходят на почту, то есть общий чат, где сразу начинаются обсуждения чего-то подозрительного.
Какова статистика подобного фишингового приема в целом
Как говорит Максим, 70% сотрудников компаний открывают письмо и переходят на подобные ссылки. 50% вводят свои учетные данные.
То есть, КАЖДЫЙ ВТОРОЙ сотрудник попадается.
Кстати, сам факт открытия письма не несет никакого вреда для пользователя, только клик на то, что в него укладывается, может быть опасным.
Какая может быть опасность по ссылке
При переходе по ссылке могут попросить ввести логин и пароль, например, от Google аккаунта. «Жертву опрокидывает на входное окошко клиенту. И он даже не поймет, что передал информацию кому-то не потому», — подчеркивает специалист по кибербезопасности GigaCloud.
И этот логин и пароль, введенный сотрудником компании, хранится в базе данных хакера.
Если не настроена двухфакторная авторизация, теперь злонамеренный может удаленно войти в систему, посмотреть корпоративную и частную переписку, документы, получить удаленное управление системой.
Доступ к аккаунтам также может быть использован так называемыми хакерами-шифровальщиками, которые блокируют доступ к данным жертвы и требуют деньги.
Злоумышленники могут подключить уже зараженный компьютер к участию в DDOS-атаках.
Так что же делать
Нет такой пилюли, которая защитит от всего. Самое действенное — это повышать уровень осведомленности в кибербезопасности среди своих сотрудников.
Поэтому очень важно проводить в коллективе обучение и тренинги по безопасности и разбирать типовые ситуации нападения злоумышленников.
Самое простое: «Когда тебе пишут слово „Привет!“ и при этом не обращаются к тебе привычно (Скажем: „Привет, Стас!“), это уже составляет подозрение», — рассказывает Максим.
Когда сотрудника побуждают что-то сделать быстро — это также признак того, что это может быть фишинговое письмо.
Когда в письме есть какие-либо вложения, а обычно от этого человека никаких вложений в письмах не приходило — тоже подозрительно.
Основное правило: если это массовая рассылка и в письме указано много получателей, то, скорее всего, это не будет фишинговое письмо.
Ибо фишеры, как правило, указывают один адрес жертвы для понимания, с какого же компьютера поступил пользователь. Потому что ссылка в фишинговом письме — для каждого из них будет персональная.
Как изменился вектор атак во время войны
Атаки во время войны были направлены на госсектор, медиа и ритейл и банковский сектор.
Вот для примера два вектора атаки
Первое — незащищенный вход в государственные системы
Украинское законодательство недавно запрещало использовать облачные технологии в госсекторе. Поэтому в известных организациях использовался так называемый on premise exchange server. Как это в общем работает: вы заходите на свой почтовый ящик через веб-приложение в браузере, вводите логин и пароль.
Чтобы это работало не только из офисной сети (а напомним, был карантин и люди работали по домам), этот вход можно было сделать не только внутри ведомства, но и снаружи через внешний IP-адрес.
А поскольку информационная безопасность у нас еще не на очень высоком уровне, наши враги искали данные работников министерств в открытом доступе (например, через электронные декларации). Принимали имя и фамилию (логин) и подбирали пароль. Причем из-за браузерной версии блокировка попыток не происходила после определенного количества неверных попыток. Оно просто было отключено в некоторых случаях.
На современных облачных технологиях защита от таких действий злоумышленников априори установлена. И такие недостатки в настройке систем безопасности просто отсутствуют.
Когда началась война, для админов разных компаний и ведомств сделали возможность отдаленной работы.
Но кто-то из них забыл свой компьютер, кто-то не мог уехать. И админы начали подключаться к ИТ-инфраструктуре с разных устройств, которые были под рукой.
И тут сработали старые закладки (устройства уже могли быть поражены раньше и хранили зловредную программу), которые на них хранились.
Какие можно сделать выводы
Фишинговая атака, если она хорошо подготовлена и направлена непосредственно на жертву заказчика, с большой вероятностью пройдет успешно, не надейтесь на антивирусные и антифродовые системы. Ведь в основу такой атаки будет закладываться социальная инженерия: жертва даже не заметит, что ее обманывают. Сама все выдаст.
Лучшая профилактика от фишинговых атак — регулярные тренинги с командой. Тем более сейчас, когда сотрудники часто работают в удаленном режиме, используя некорпоративные гаджеты и сети.
Если кто-то может профессионально позаботиться о вашей безопасности, то лучше не пренебрегать этим вопросом. Не всегда удастся отследить действия админов или сотрудников на релокейте. Поэтому надежное диверсифицированное (хранится в разных ЦОДах) облако — это минимум, который нужно иметь во время войны.