statystyki

E-mail, który może zabić kancelarię

autor: Adam Wódz23.09.2015, 07:21; Aktualizacja: 23.09.2015, 08:14
spam-poczta-internet

Aby obronić się skutecznie przed socjotechniką, musimy jednak przede wszystkim być jej świadomi.źródło: ShutterStock

Hakerzy wykorzystują pocztę elektroniczną do wysyłania wiadomości, w których mogą się podawać za partnera zarządzającego kancelarią czy pracownika administracji sądowej. Hacking opiera się nie tylko na wiedzy o nowoczesnych technologiach, lecz także bazuje na wykorzystaniu słabości natury ludzkiej.

Reklama


Reklama


Dużo łatwiej jest sprowokować człowieka do popełnienia błędu (zazwyczaj w całkowitej jego nieświadomości), niż przełamać skomplikowane zabezpieczenia systemów.

Problem ten coraz bardziej zaczyna dotyczyć polskich kancelarii prawnych. Przetwarzane są w nich dane szczególnie wrażliwe, stanowiące łakomy kąsek dla hakerów. Jak pokazał ostatni głośny atak na jedną z kancelarii, za tymi działaniami potrafią stać konkretne pieniądze. I to zarówno te, których haker zażądał od kancelarii za nieujawnianie wykradzionych danych, jak i te, które kancelaria jest gotowa zapłacić za wskazanie tożsamości hakera i przedstawienie dowodów jego winy. Nie wiemy, czy atak ten był przypadkowy, czy też kancelaria została świadomie wybrana jako cel.

Z obserwacji aktywności hakerów można jednak wywnioskować, że w ostatnich latach nastąpił zdecydowany wzrost ataków celowanych, bazujących na połączeniu prostych metod technicznych i socjotechnicznych. Najczęściej są to próby podszycia się pod inne osoby i wyłudzenia cennych informacji za pośrednictwem wiadomości e-mail czy podczas rozmowy telefonicznej. Bardziej zaawansowane ataki bazują na skłonieniu użytkownika do wejścia na podstawioną stronę WWW lub otworzenia zawirusowanego pliku załącznika. Znane są też próby zastosowania prostej socjotechniki bezpośredniej, np. wejścia na teren kancelarii pod pozorem dostarczenia pizzy lub udawania osoby poszukującej innej firmy z tego samego budynku, a to tylko po to, aby porozglądać się po kancelarii, sprawdzić rozmieszczenie kamer i systemów alarmowych czy przetestować zachowanie pracowników. A czasem po prostu wykorzystać chwilę nieuwagi i ukraść niezabezpieczonego laptopa.

Wygląda jednak na to, że w dobie coraz skuteczniejszych systemów zabezpieczających najlepszą metodą ataku pozostaje stary poczciwy e-mail. Należy tutaj wyjaśnić, że format i protokoły przesyłania wiadomości poczty elektronicznej zostały stworzone kilkadziesiąt lat temu i praktycznie do dzisiaj pozostają niezmienione. A ponieważ wiadomości są wysyłane zwykłym nieszyfrowanym tekstem, a protokół ich dostarczania nie daje możliwości jednoznacznego autoryzowania nadawcy, stąd możliwości sfałszowania wiadomości e-mail i podszycia się pod dowolnego nadawcę są dużo większe, niżby się to nam mogło wydawać.

Hakerzy wykorzystują zatem pocztę elektroniczną do wysyłania wiadomości, w których mogą podawać się nawet za kolegę z biurka obok. W treści e-maila będą prosić zazwyczaj o podesłanie konkretnych danych poufnych na swój „adres domowy” lub też odwiedzenie wskazanej strony WWW, zalogowanie się na niej i zweryfikowanie „czy aby nie pojawiły się tam informacje istotne dla prowadzonej aktualnie sprawy”. Z reguły odwiedzana strona WWW jest wierną kopią tej faktycznie wykorzystywanej przez pracowników kancelarii, z tym że w rzeczywistości służy jedynie do przechwycenia loginu i hasła. Użytkownik nie zauważy różnicy, bo zaraz po zalogowaniu na stronie fałszywej zostanie przekierowany automatycznie już na tę właściwą, gdzie będzie mógł kontynuować swoje standardowe działania. Tak przygotowane fałszywe strony oraz proces zachęcania użytkowników do ich odwiedzenia określa się jako phishing.

Jeżeli dane uzyskane w ten sposób nie są wystarczające dla atakującego, to może rozszerzyć swoją fałszywą wiadomość o równie fałszywy załącznik, udający np. dokument lub zdjęcie, a będący w rzeczywistości rodzajem wirusa. Uruchomienie wirusa – czyli pierwsza próba otworzenia załącznika – może skutkować nawet przejęciem przez hakera zdalnej kontroli nad komputerem. Najbardziej podatne na taki atak są komputery mające stary nieaktualizowany system operacyjny (np. Windows XP) oraz niechronione aktualnym oprogramowaniem antywirusowym.

Czy mamy jakieś możliwości obrony? Dobrze podrobiona wiadomość e-mail może nie różnić się od prawdziwej – nasz program pocztowy wyświetli ją tak samo, jakby pochodziła od rzeczywistego nadawcy. Jedyną obroną w takiej sytuacji może być więc tylko zdrowy rozsądek. Jeżeli w treści wiadomości odnajdziemy niecodzienną prośbę lub naszą uwagę zwróci inny niż zazwyczaj styl odnoszenia się do adresata, to nie bójmy się potwierdzić treści e-maila bezpośrednio z domniemanym nadawcą, np. telefonicznie.

Aby obronić się skutecznie przed socjotechniką, musimy jednak przede wszystkim być jej świadomi. Szkolenia teoretyczne mogą nie być wystarczające. Dobrą praktyką jest sporadyczne przeprowadzanie próbnych ataków socjotechnicznych, zwłaszcza takich z wykorzystaniem fałszywej wiadomości e-mail. Bo tutaj akurat znajomość natury ludzkiej przyjdzie nam z pomocą: człowiek najlepiej uczy się na własnych błędach i istnieje duża szansa, że nie powtórzy ich podczas rzeczywistego ataku. 

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Zapoznaj się z regulaminem i kup licencję

Reklama


Źródło:Dziennik Gazeta Prawna

Polecane

Reklama

  • noja(2015-09-23 08:55) Odpowiedz 00

    lanie wody o niczym.

  • lib(2015-09-24 08:43) Odpowiedz 00

    szkoda, że autor artykułu nie pokusił się o lekturę nt zabezpieczeń poczty elektronicznej. Możliwe jest bardzo dobre zabezpieczenie mimo wiekowości standardu za pomocą certyfikatów nadawcy, szyfrowania wiadomości, weryfikacja serwera nadawcy przez serwer odbiorcy. Poza konfiguracją rozwiązania trzeba wyedukować użytkowników.

  • Al(2015-09-23 13:07) Odpowiedz 00

    Powiedz to mecenasowi Drzewieckiemu - dla niego to też zapewne było lanie wody, jeszcze 3 tyg temu;)

  • Kevin David Mitnick second(2015-09-23 23:14) Odpowiedz 00

    to nie jest tak, jak usiłujecie dowieść. to nie jest słabość ludzka, tylko głupota. w każdej firmie, która posiada dane wrażliwe powinno się pracownikom wbijać do głowy młotkiem kto to jest Kevin David Mitnick. A także polecić jego trzy, wydane także po polsku, ksiażki, w których opisuje swobodę swoich działań. Czasami aż boli, w jak prosty, a nawet głupi sposób uzyskiwał hasło dostępu do sieci firmowej. i od tej chwili niewiele się zmieniło. Pisanie o stosowaniu socjotechniki to bzdura. Cały czas polega to na tym, by złapać idiotę posługującego się kompem. Lubiącego głupe teksty, wygrane, obrazki i pornosy. I to wszystko. I niech mi ktoś powie, po jaką cholerę, ktoś mający coś takiego na kompie służbowym to otwiera? Wróżka mu to przysłała albo dobry mikołaj? Gdy dostaje tekst z banku by coś potwierdzić, albo od kontrahenta, to zamiast wziąć w garść swojego super smartfona i zadzwonić z zapytaniem o co chodzi, to robi to co według niego jest łatwiej. Wali w linkę i nagle odkrywa, że ma zablokowany ekran. Albo coś innego. Sorry ale nie mam szacunku dla tych ludzi, bo to oni sami stawiają swoje firmy w niebezpieczeństwie. ale co tam! Niech żyje wolny (jakoby) świat netu.

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!

Redakcja poleca

Prawo na co dzień

Galerie

Wyszukiwarka kancelarii

SzukajDodaj kancelarię

Polecane

Reklama