W minionym roku CERT Polska odnotował prawie 30 tysięcy unikalnych incydentów cyberbezpieczeństwa. Trzy czwarte z nich dotyczyło ataków phishingowych, które stanowią najpopularniejsze cyberzagrożenie w kraju. Podczas trwającego właśnie Europejskiego Miesiąca Cyberbezpieczeństwa, eksperci F5 wyjaśniają istotę ataków phishingowych i podpowiadają jak się przed nimi chronić.
Cyberprzestępcy są jak włamywacze, działają po cichu i w ukryciu, unikając hałasu i rozgłosu. Dlatego cierpliwie obserwują i namawiają nas do wpuszczenia ich do naszego domu. Krótko mówiąc, chcą abyśmy sami ich wpuścili i nieświadomie zgodzili się na kradzież. Właśnie takim działaniem jest phishing. To sposób w jaki włamywacze (cyberprzestępcy) dostają się do Twojego domu (Twoich krytycznych systemów i wrażliwych danych). Skuteczne ataki phishingowe dostarczają napastnikom skradzione dane uwierzytelniające, które pozwalają im po prostu „wejść” do Twojej firmy, czy prywatnych materiałów i uzyskać dostęp do celów, które sobie upatrzyli.
– Istotą ataku phishingowego jest samodzielne przekazanie cyberprzestępcy danych uwierzytelniających, które umożliwiają dostęp do konta bankowego, w mediach społecznościowych i do innych miejsc wrażliwych. Za pomocą podrobionej strony, kontaktu telefonicznego czy formularza internetowego zdobywane są dane logowania lub udostępniany w trybie live ekran. W ten sposób de facto otwieramy drzwi złodziejowi. Witryny phishingowe wyglądają również bardzo podobnie do tych prawdziwych, które mają imitować. Nic dziwnego, że tak wielu użytkowników daje się nabrać na te działania i przekazuje samodzielnie dane dostępowe. – tłumaczy Ireneusz Wiśniewski, dyrektor zarządzający F5 w Polsce.
Nieoczywiste podejście do zwalczania zagrożenia
Ponieważ wiele firm nadal przechodzi przez cyfrową transformację, wykorzystanie tej metody ataku znacznie przyspieszyło, a wynikające z niej szkody są coraz bardziej widoczne. Atakujący nie muszą dziś opracowywać skomplikowanych schematów, aby wymusić wejście do firm – mogą po prostu zainwestować w przekonanie niczego niepodejrzewających użytkowników do przekazania swoich danych uwierzytelniających.
Co zatem mogą zrobić przedsiębiorstwa, aby chronić swoje wirtualne procesy przed incydentami związanymi z bezpieczeństwem i oszustwami?
Samo usunięcie z sieci stron phishingowych nie wystarczy, aby zwalczyć kradzieże danych. Atakujący mogą z łatwością tworzyć nowe witryny. Gdy usuniemy jedną, w innym miejscu pojawia się kolejna. Może to często przerodzić się w niekończącą się bitwę na śmierć i życie, która wcale nie prowadzi do większego bezpieczeństwa aplikacji i naszych danych.
– Naszym zdaniem, warto rozważyć alternatywne podejście. Załóżmy, że pewien procent naszych legalnych użytkowników padnie ofiarą ataków phishingowych i ich dane uwierzytelniające zostaną skradzione. Wówczas możemy odpowiednio zabezpieczyć nasze systemy przed infiltracją. Kiedy zmienimy perspektywę, zdamy sobie sprawę, że identyfikacja i łagodzenie ataków na bezpieczeństwo i oszustwa, które wynikają z kradzieży danych uwierzytelniających, stają się jednym z naszych głównych celów. Dostosowanie naszego podejścia pomaga nam chronić nasze aplikacje online przed szeregiem ataków phishingowych, które prawdopodobnie są regularnie przeprowadzane przeciwko nim – wyjaśnia Josh Goldfarb, ekspert rozwiązań anty-fraudowych w F5.
Sprawdzone w boju metody ochrony przed phishingiem
Istnieje szereg strategii, które możemy zastosować w celu zmniejszenia ryzyka związanego z kradzieżą danych uwierzytelniających. Dlatego wyróżniliśmy trzy kluczowe metody, które pozwolą podnieść poziom bezpieczeństwa w Twojej firmie.
- Wyeliminowanie automatyzacji – Atakujący budują bazy danych skradzionych poświadczeń, które gromadzą z różnych źródeł, między innymi z phishingu. Te skradzione informacje są często masowo testowane za pomocą botów. Poświadczenia, które są ważne, są następnie często wykorzystywane do popełniania oszustw polegających na przejęciu konta (ATO – ang. Account Takeover) i oszustw ręcznych. Eliminacja tych automatycznych ataków nie tylko zmniejsza to ryzyko, ale również redukuje koszty infrastruktury związane z niepożądanym ruchem niezwiązanym z człowiekiem (botami).
- Zatrzymanie przejęcia konta (ang. Stop Account Takeover) – Atakujący mogą wykorzystać skradzione dane uwierzytelniające do zalogowania się na skradzione konta. Dzięki temu zyskują możliwość podszycia się pod prawowitych użytkowników i mogą wykorzystać ten dostęp do popełnienia przestępstwa. Takie „ręczne” oszustwa powodują oczywiście straty ponoszone przez firmy, które padają ofiarą takich incydentów. Dlatego kluczowe jest sprawne i szybkie wykrywanie skutków przejęcia konta (ATO), co zapobiega potencjalnym szkodom i stratom.
- Monitorowanie ruchu użytkowników – Zwiększone ryzyko oszustwa często powoduje, że firmy wprowadzają bardziej rygorystyczne wymogi dotyczące potwierdzenia swojej tożsamości, stosując metodę uwierzytelniania wielopoziomowego – MFA (ang. multi-factor authentication). Niestety, takie podejście jest uciążliwe dla zwykłych klientów, bowiem wymaga od nich dokonania większej liczby czynności w trakcie logowania. Jednocześnie atakujący mają metody automatycznego obchodzenia zabezpieczeń MFA. I tutaj kluczowe staje się monitorowanie ruchu użytkowników. Gdy wiemy, jaki ruch jest pożądany, mamy mniejsze szanse utrudnień dla realnych klientów i możemy skupić się na powstrzymaniu napastników.
– Ataki phishingowe pozostaną i prawdopodobnie będą się nasilać. Na szczęście mamy środki do ich zwalczania. Koncentrując się na ryzyku kradzieży danych uwierzytelniających, firmy mogą skupić swoje wysiłki na ograniczeniu strat wynikających z incydentów związanych z bezpieczeństwem i oszustwami. Chociaż nie ma sposobu na złagodzenie całego ryzyka, podjęcie kroków w celu wyeliminowania automatyzacji, zatrzymania ATO i zmniejszenia tarcia może zapewnić firmom stały strumień przychodów od legalnych klientów, przy jednoczesnym zmniejszeniu strat spowodowanych przez boty i oszustwa – podsumowuje Ireneusz Wiśniewski.