Ataki socjotechniczne na dostawców usług

    Cyberprzestępcy podszywają się pod kogoś znanego lub też zaufanego – współpracownika, przedstawiciela banku lub nawet Twojego szefa aby uzyskać cenne dla nich informacje. Ataki socjotechniczne są znane od wielu lat. Od wielu lat poszerzamy swoją świadomość o rosnących zagrożeniach oraz próbujemy wdrażać różne procedury w swoich organizacjach a i tak do końca nam to nie wychodzi. Z drugiej jednak strony ochrona przez socjotechniką nie jest zadaniem trywialnym – przeprowadzane ataki na firmy potrafią niekiedy być dość złożone. Cyberprzestępcy również się edukują, testując na nas co chwilę nowe formy tego typu ataków.

    ataki socjotechniczne
    ataki socjotechniczne

    To doprawdy niezwykłe w ilu procesach biznesowych każdego dnia wspomaga nas technologia, którą ciągle jako ludzie rozwijamy i jest przez nas (jeszcze) kontrolowana. Wszyscy oczywiście zdajemy sobie sprawę, że systemy informatyczne, używane w codziennym “biznesowym ekosystemie” powinny być odpowiednio monitorowane oraz zabezpieczane no bo nikt z nas przecież nie chce doświadczyć wycieku firmowych danych, kompromitacji naszej marki czy utraty środków finansowych.

    A co z nadzorcą, czyli Tobą?

    Atak socjotechniczny

    Weźmy sobie na warsztat przykład takiego ataku socjotechnicznego, który został przeprowadzony jakiś czas temu. W styczniu firma MailChimp, jeden z liderów w branży e-mail marketingu doświadczyła ataku, w którym z przejętych kont pracowników zostały wysyłane scam mailingi do klientów firmy.

    11 stycznia nasz zespół ds. bezpieczeństwa zidentyfikował nieautoryzowany podmiot uzyskujący dostęp do jednego z naszych narzędzi używanych przez zespoły do obsługi klienta i administrowania kontami. Nieautoryzowany aktor przeprowadził atak socjotechniczny na pracowników i kontrahentów Mailchimp i uzyskał dostęp przy użyciu danych uwierzytelniających pracowników naruszonych w tym ataku.

    mailchimp.com

    To oczywiście jeden z wielu takich incydentów na przestrzeni ostatnich miesięcy. Cyberprzestępcy wykorzystali do komunikacji z klientami wiadomości email. Czy można przeprowadzić z powodzeniem podobny atak za pomocą rozmowy telefonicznej? Jak najbardziej. Przejdźmy do kolejnych przykładów, które gdzieś kiedyś może się wydarzyły.

    Dostawcy usług

    Wyobraźmy sobie pewien hipotetyczny przykład. Firma, w której pracujesz co chwile staje się celem ataków różnych zaawansowanych grup cyberprzestępców z uwagi na fakt, że jest ona częścią infrastruktury krytycznej kraju. Ponadto w Twojej firmie działa dość “specyficzny” sprzęt, który jest odpowiedzialny za kontrolę pewnych kluczowych procesów przemysłowych, przetwarza on również pewne bardzo “wrażliwe” dane.

    Z racji podejmowania tak wielu prób ataków Twoja firma od strony infrastruktury IT, pracowników oraz samego obiektu została dość dobrze zabezpieczona chociaż cyberprzestępcy ustalili, że pewne urządzenia firmowe są widoczne w wyszukiwarkach takich jak Shodan czy Censys. Z racji tego, że dane urządzenia są dość unikalne – zakup sprzętu pod kątem badań w poszukiwaniu krytycznych podatności nie wchodzi w grę.

    Cyberprzestępcy się nie poddają i przeprowadzają dwa ataki socjotechniczne przez telefon na dostawcę znalezionego sprzętu. Atakujący podszywając się pod Twoją firmę prosi o przesłanie dokumentacji oraz nowy firmware urządzenia. Pracownik firmy dostawczej reaguje prawidłowo pytając o podanie szczegółów dotyczących umowy pomiędzy firmami. Atakujący nie zna wymaganych danych, atak kończy się niepowodzeniem. Drugi atak zostaje przeprowadzony analogicznie do pierwszego kilka dni później co skutkuje tym, że atakujący przeprowadza rozmowę już z innym pracownikiem firmy trzeciej. Pracownik ten nie prosi o “dane autoryzacyjne” atakującego i spełniając jego prośbę przekazuje mu firmware oraz dokumentację do wybranego urządzenia.

    W tej krótkiej historii warte uwagi są tutaj trzy zdarzenia, które miały miejsce:

    • Pierwszy atak na pracownika firmy trzeciej nie doszedł do skutku natomiast pracownik ten nie poinformował odpowiednich osób o wystąpieniu takiego incydentu. Warto w tym miejscu zaznaczyć, że firma dostarczająca urządzenia do Twojej firmy, ma maksymalnie dwóch klientów,
    • Drugi atak został przeprowadzony z sukcesem gdyż inny pracownik firmy słysząc pytanie o konkretną nazwę urządzenia miał na uwadze to, że rozmawia z prawdziwym klientem swojej firmy.

    Podsumowanie – ataki socjotechniczne

    W dzisiejszych czasach polityka bezpieczeństwa firm nie powinna skupiać się tylko i wyłącznie na zabezpieczeniu infrastruktury technicznej organizacji. Przede wszystkim musimy pamiętać o tym, że ochrona infrastruktury IT jest tak mocna jak najsłabsze ogniwo w tym procesie czyli my, ludzie.