Kyberútočníci zneužívají pandemický homeoffice na vishing

3. 9. 2020
| Žádné komentáře

Koronavirová krize přinesla neblahé novinky nejen v běžném životě lidí, ale stala sa podhubím i pro cyber útoky, které díky zvýšené práci z domu (homeofficu) cílí na zaměstnance především v IT sektoru ke získání přístupu do firemní sítě. Homeoffice je v aktuální době pro mnohé firmy výbornou alternativou místo rizikového dojíždění do práce a setrvávání vícero osob v uzavřeném prostoru.

Zejména programátoři a IT pracovníci jsou pořád vysoce ceněnou komoditou, proto žádný zaměstnavatel nechce ohrozit své pracovníky a nabízí, často i nařizuje, bezpečnou formu práci z domu. Jelikož hackeři, kteří se chtějí obohatit, jsou velice vynalézaví, našli zpúsob, jak těžiť i z této situace.

Firmy poskytují svým pracovníkům unikátní VPN připojení (virtual private networks), což je zabezpečené připojení na firemní síť, kde mohou v poklidu pracovat na dálku. Jelikož taková interní síť se všemi databázemi, přístupy a daty je velkým lákadlem pro kyberútočníky, uprostřed července 2020 se začal ve velkém objevovat nový druh sociálního inženýrství – vishing. Jedná se o staronovou formu kyberútoku, kdy se pachatel snaží získat přihlašovací údaje ze zaměstnance, tentokrát prostřednictvím telefonátu.

Útočník si ze všeho nejdřív vytipuje společnost, která ho zaujme a má potenciál vlastnit údaje, které by se dali speňežit, nebo přímo chce získat přístup k finančním převodům. Cílem je vyloudit od pracovníka jeho přihlašovací údaje do firemní VPN sítě, kde se už může nerušene a obvykle v těsném časovém rozmezí pohybovat a páchat škody.

Pak dochází či už k únikům dat, firemních tajemství, citlivých dat všech zákazníků, pracovníků i dodavatelů, a jako největší úlovek je přímé získání přístupu do finanční sekce, kde může peníze firmy jednoduše převést na svůj účet.

Praktiky vishingu zůstávají podobné jako při ostatních formách sociálního inženýrství používaného v kyberútocích:

  • Pachatel nalezne či už na webové stránce nebo sociální síti zaměstnance (zejména LinkedIn, kde lidé uvádějí svou přesnou pracovní pozici) kontakt na někoho z firmy, na začátku stačí i zákaznická podpora.
  • Po zavolání požádají o kontakt na konkrétního pracovníka, manažéra či obchodníka, z důvodu zájmu o nadvázání spolupráce, telefonát se jeví jako běžný, ničím nenápadný.
  • S kontaktem na konkrétního zaměstnance zavolají přímo jemu a představí se jako firemní IT podpora s přesnou pozicí a klidně pod jménem skutečného zaměstnance IT podpory, tyto údaje získají podobnou taktikou.
  • Zaměstnanec je pod hodnověrnou záminkou aktualizace účtu, testování jeho přístupu, bezpečnostního nastavení…požádán o poskytnutí jeho přihlašovacích údajů do sítě VPN, v případě dvoufaktorové verifikace i kódu.
  • Telefonát je veskrze příjemný, útočník zdvořile poděkuje za spolupráci a pomoc při zlepšení bezpečnosti firemní sítě, a poté s dobrým pocitem ukončen.

V této chvíli kyberútočník co nejrychleji projede všechna data, ke kterým se díky přístupu do intranetu dostal, a pomocí ransomvéru je může zašifrovat se žádosti o výkupné, stáhnout a odstranit všechny citlivá údaje zákazníků a partnerů, které múže poskytnout třetí straně, nebo pokud má štěstí a dostane se přímo do finanční sekce, firmu jednoduše obrat o peníze převodem na vlastní účet, samozřejme těžko vystopovatelný.

Podobný scénář a uvědomění si velkého rizika vishingu uvádí i americký úřad pro národní bezpečnost FBI a CIA, které vydali toto vyhlášení:

https://krebsonsecurity.com/wp-content/uploads/2020/08/fbi-cisa-vishing.pdf

Dokument obsahuje i konkrétní tipy, jak proti vishingu bojovat, a to ve dvou úrovních:

Tipy pro organizaci:

  • Omezte připojení VPN pouze na spravované zařízení pomocí mechanismů jako jsou hardwarové kontroly nebo nainstalované certifikáty, nakolik zadání přihlašovacích údajů je z hlediska bezpečnosti nepostačující.
  • Pokud je to možné, určete přístupové hodiny VPN, abyste omezili přístup mimo povoleného času.
  • Aktivně kontrolujte a monitorujte intranetové a webové aplikace před neautorizovaným přístupem, úpravami a podezřelou aktivitou.
  • Využijte zásadu nejmenších privilegií – každý bude mít jen přístup do sekce, kterou ke práci nevyhnutně potřebuje.
  • Zvažte použití formalizovaného procesu ověřování pro komunikaci mezi zaměstnanci prostřednictvím veřejné telefonní sítě, kde se k ověření telefonního hovoru používá dvouúrovňová autentifikace, až pak bude možné diskutovat o citlivých informacích.

A tipy pro pracovníky:

  • Ověřte, zda webové odkazy neobsahují překlepy nebo nesprávnou doménu. Buďte podezíraví při nevyžádaných telefonních hovorech nebo e-mailových zprávách od neznámých osob, i když tvrdí, že jsou z legitimní organizace.
  • Neposkytujte osobní údaje nebo informace o vaší organizaci, včetně její struktury nebo sítě, pokud si nejste jisti oprávněním dané osoby tyto informace mít. Pokud je to možné, zkuste ověřit totožnost volajícího přímo u společnosti.
  • Pokud přijměte volání typu „vishing“, zdokumentujte telefonní číslo volajícího i doménu, na kterou se vás útočník pokusil poslat, a předejte tyto informace donucovacím orgánům.
  • Omezte množství osobních údajů, které zveřejňujete na sociálních sítích. Internet je veřejný zdroj – zveřejňujte pouze informace, které může kdokoli vidět.

Další doporučení i podrobné informace o vishingu naleznete v dokumentu uvedeném výše. Věříme, že vám tenhle článek pomůže být ostražitější při neznámých voláních, i celkově v poskytování důvěrných firemních údajů.

Bezpečnostní incidenty, Bezpečnostní nástroje a doporučení