Pod koniec 2016 r., na przestrzeni zaledwie dwóch tygodni, jeden z klientów Barracuda Networks otrzymał pięć CV, które zawierały zagrożenia typu Advanced Persistent Threat (APT). Mogłoby się wydawać, że pięć to niedużo, dopóki nie uświadomimy sobie, że cyberprzestępcy wystarczy jedno zagrożenie APT, żeby wystawić na szwank wiarygodność firmy, którą atakuje, sparaliżować jej sieć, a nawet ukraść miliardy dolarów.
Nadesłane życiorysy miały postać plików .doc ze złośliwym makrem. Po otwarciu pliku makro przystępowało do złośliwych działań. Pobierało i wykonywało skrypt Visual Basica, importowało z sieci i wykonywało zewnętrzne funkcje, uruchamiało powłokę, łączyło się ze zdalnym serwerem i aktywnie próbowało uniknąć wykrycia przez antywirus działający w komputerze.
Za każdym razem źródłem ataku był inny adres e-mail, a celem – inny pracownik. Dwóch odbiorców było asystentami administracyjnymi, jeden pracował w dziale księgowości, a dwóch kolejnych w ogólnej administracji. Ilustruje to pewien wzorzec: hakerzy wcale nie muszą infiltrować wrażliwych kont, na przykład tych należących do starszej kadry kierowniczej albo pracowników działu IT. Zamiast tego szukają „najsłabszego ogniwa” w zabezpieczeniach systemu, a nieświadomi użytkownicy zwykle idealnie spełniają ten warunek. Po zainfekowaniu konta lub urządzenia końcowego hakerzy przystępują do infiltrowania organizacji od wewnątrz, po cichu, zanim ktokolwiek zauważy ich obecność.
Oto dwa typowe sposoby działania cyberprzestępców:
- Po zainfekowaniu jednego konta (na przykład za pomocą ataku „życiorysowego”) hakerzy wysyłają nowe zagrożenie na inne konto, używając adresu e-mail pierwotnie zainfekowanego pracownika.
- Hakerzy infekują konto i śledzą, kto w firmie zajmuje się przelewami, fakturami itd. Następnie wykorzystują te informacje, aby przypuścić ukierunkowany atak phishingowy w celu wyłudzenia określonych informacji lub nakłonienia ofiary do określonych działań.
Wiadomości e-mail były napisane potocznym językiem, a ich autorzy podszywali się pod pracownika pytającego kolegę o opinię na temat dossier potencjalnego kandydata. Wydaje się to nieszkodliwe, prawda?
We wszystkich przypadkach pracownicy otworzyli wiadomość e-mail, ponieważ mylnie sądzili, że przesłano im prawdziwe życiorysy.
Rosnąca popularności zagrożeń tego typu skłania do przestrzegania zalecanych praktyk podczas pracy z pocztą e-mail. Co możemy zrobić, żeby być bezpiecznymi? Oto kilka porad:
- Nie klikaj żadnych łączy w wiadomości e-mail. Wpisz adres bezpośrednio w przeglądarce.
- Nie otwieraj podejrzanych załączników, nawet jeśli wydaje się, że przesłał je ktoś, komu ufasz.
- Regularnie aktualizuj antywirusy, system i inne oprogramowanie.
- Nie ujawniaj poufnych informacji osobistych lub firmowych w wiadomości e-mail.
- Jeśli nie jesteś pewien, czy wiadomość e-mail jest autentyczna, sprawdź to, kontaktując się z daną osobą lub firmą telefonicznie albo przez inne używane wcześniej kanały komunikacji.
Autor: Wieland Alge
Wiceprezes i dyrektor generalny na kraje EMEA
Barracuda Networks