eWAY s.r.o.

Neočakávaná interná hrozba: Severokórejský hacker ako IT inžinier v KnowBe4

kyberbezpečnosť cybersecurity interne hrozby

Neočakávaná interná hrozba: severokórejský hacker ako IT inžinier v KnowBe4

Prípad interných hrozieb aj priamo u výrobcu vzdelávacej platformy o kybernetickej bezpečnosti!
Spoločnosť Knowbe4 nedávno uverejnila informáciu, ktorou sa snaží verejnosť informovať o dôležitosti poriadnych kontrol a bezpečnostných nastavení vo vnútri spoločností.

Našťastie, vďaka rýchlej reakcii ich bezpečnostného tímu neboli stratené žiadne dáta, ukradnutý žiaden prístup ani nedošlo ku kompromitácii akýchkoľvek ich služieb. Spoločnosť túto informáciu ohlásila verejnosti pretože „ak sa to môže stať im, môže sa stať takmer komukoľvek“. Prípad ale zdôrazňuje pokračujúcu hrozbu severokórejských hackerov.

Na pozíciu IT inžiniera totiž spoločnosť, napriek previerke zamestnanca pred podpisom zmluvy a radom videopohovorov, prijala osobu, ktorá bola v skutočnosti severokórejským hackerom.  S ukradnutou identitou sa vydával za iného US občana, a jeho fotka a tvár na videopohovory boli sfalšované pomocou AI.  Ďalej to funguje to tak, že falošný pracovník požiada o zaslanie svojej pracovnej stanice (notebooku) na adresu, ktorá je v podstate „farma notebookov IT“. Potom sa cez VPN dostanú z miesta, kde sa skutočne fyzicky nachádzajú (Severná Kórea) a pracujú v nočných zmenách, takže sa zdá, že pracujú cez deň v USA.

V jeden deň ale došlo z jeho strany k podozrivej aktivite, ktorú tím SOC spoločnosti Knowbe4 hneď identifikoval a kontaktoval používateľa, aby aktivitu vysvetlil – ten sa najprv vyhovoril, že sa iba pokúšal postupovať podľa krokov v sprievodcovi smerovača na riešenie problému s rýchlosťou pripojenia, a že to mohlo spôsobiť podozrivú aktivitu. Pokračoval ale s rôznymi akciami na manipuláciu so súbormi histórie relácie a prenosom potenciálne škodlivých súborov na spustenie neoprávneného softvéru  – SOC tím sa vtedy pokúsil získať ďalšie informácie vrátane využitia telefonického hovoru, ale to už aktér prestal reagovať.

Šťastím a dobrou praktikou bolo, že Knowbe4 má nových zamestnancov vo veľmi obmedzenom pracovnom priestore IT systémov, keď začínajú, a nemajú prístup k produkčným systémom. Ich prísne kontroly a bezpečnostné procesy to veľmi rýchlo zachytili, ale bol to určite poučný moment, na ktorom sa ostatný môžu poučiť.

ODPORÚČANÉ ZLEPŠENIE PROCESOV:

  • Nespoliehajte sa len na e-mailové referencie – nemusia byť riadne preveriteľné.
  • Implementujte vylepšené monitorovanie akýchkoľvek pokusov o prístup k systémom.
  • Preskúmajte a posilnite kontroly prístupu a procesy autentifikácie.
  • Uskutočnite školenia pre zamestnancov v oblasti informovanosti o bezpečnosti s dôrazom na taktiku sociálneho inžinierstva

NA ČO SI DÁVAŤ POZOR:

  • Používanie čísel VOIP a nedostatok digitálnej stopy pre poskytnuté kontaktné informácie
  • Nezrovnalosti v adrese a dátume narodenia v rôznych zdrojoch
  • Konfliktné osobné údaje (rodinný stav, „mimoriadne udalosti v rodine“ vysvetľujúce nedostupnosť)
  • Sofistikované využitie sietí VPN alebo VM na prístup k podnikovým systémom
  • Pokus o spustenie malvéru a následné krytie sa

Subjekt preukázal vysokú úroveň sofistikovanosti pri vytváraní dôveryhodnej krycej identity, využívaní nedostatkov v procesoch prijímania zamestnancov a previerky pozadí.

V tomto prípade ide o dobre organizovaný, štátom podporovaný veľký zločinecký kruh s rozsiahlymi zdrojmi. Prípad poukazuje na kritickú potrebu robustnejších procesov preverovania, nepretržitého monitorovania bezpečnosti a zlepšenej koordinácie medzi tímami ľudských zdrojov, IT a bezpečnostných tímov pri ochrane pred pokročilými pretrvávajúcimi hrozbami.

Ako zabrániť falšovaniu e-mailov (spoofingu) pomocou DMARC

ako funguje DMARC

Ako zabrániť falšovaniu e-mailov (spoofingu) pomocou DMARC

Ako sme načrtli už v predchádzajúcom blogu: e-mailové útoky sú pre kyberzločincov vektorom útokov číslo jedna. Na uskutočnenie týchto útokov totiž nie je potrebná vysoká úroveň technickej vyspelosti. A keďže sa jednoducho spoliehajú na zlyhanie ľudského faktoru, niet pochýb, prečo je to taká obľúbená taktika. 

Jedným zo spôsobov, ako môžu kyberzločinci výrazne zvýšiť svoje šance na úspešný útok, je, keď môžu príjemcu presvedčiť, že komunikuje s osobou alebo značkou, ktorú poznajú alebo ktorej dôverujú. Pri vytváraní tejto ilúzie zohráva rozhodujúcu úlohu „spoofing e-mailov“. Dnes sa pozrieme ako funguje spoofing e-mailov, prečo spôsobuje zmätok a ako môže DMARC chrániť vašu firmu.

Ako kyberzločinci používajú e-mailový spoofing (sfalšovanie e-mailovej adresy)

Keď útočník používa e-mailové spoofing, sfalšuje odosielaciu adresu, takže správa vyzerá, že pochádza od legitímnej spoločnosti, inštitúcie alebo osoby. Kyberzločinci používajú sfalšované domény na iniciovanie útokov, ako je phishing, malvér a ransomware a ohrozenie zabezpečenia firemného e-mailu (BEC).

Negatívne dôsledky sfalšovaných (spoofed) e-mailov

Keď útočník sfalšuje legitímne domény a použije ich pri útokoch, negatívne dôsledky pre spoločnosti môžu byť značné. Predstavte si, že váš najlepší zákazník veril, že s vami komunikuje, no namiesto toho interagoval s útočníkom a utrpel značnú finančnú stratu. Bohužiaľ, podobné scenáre sa odohrávajú denne. A môžu viesť okrem iného k nasledujúcim problémom.

  • Strata dôvery

Ak útočníci uspejú vo svojom úsilí sfalšovať doménu spoločnosti a použiť ju na odosielanie phishingových e-mailov alebo inej škodlivej komunikácie, príjemcovia môžu stratiť dôveru v túto firmu. Keď používatelia dostanú falošné e-maily, ktoré vyzerajú, že pochádzajú od značky, ktorej dôverujú, môžu sa obávať budúcej komunikácie od tejto značky. Stratia dôveru v schopnosť spoločnosti chrániť svoje informácie. 

  • Poškodenie imidžu značky

Ako už bolo uvedené, falošná doména môže poškodiť imidž a povesť spoločnosti. Ak sa príjemcovia stanú obeťami phishingu alebo iných podvodov, ktoré zahŕňajú sfalšované domény, môžu spájať firmu alebo značku s podvodným alebo neetickým správaním. 

  • Finančné straty

Útoky na falošnú doménu môžu mať za následok finančné straty pre spoločnosti dvoma hlavnými spôsobmi.

  • Priame finančné straty. K takýmto stratám môže dôjsť, keď útočníci používajú sfalšované domény na vykonávanie podvodných činností, ako je krádež citlivých osobných údajov alebo neoprávnené transakcie.
  • Nepriame finančné straty. Tieto straty majú podobu nákladov spojených so zmiernením útoku. Môžu pochádzať z vyšetrovania incidentov, implementácie bezpečnostných vylepšení a úsilia, ktoré má pomôcť napraviť poškodenú povesť spoločnosti.

Implementujte DMARC, aby ste zabránili spoofingu

DMARC (Domain-based Message Authentication, Reporting and Conformance) je výkonný nástroj, ktorý pomáha predchádzať falšovaniu e-mailov. Tento protokol zabezpečenia e-mailov stavia na existujúcich mechanizmoch autentifikácie e-mailov a poskytuje pokyny na základe výsledkov autentifikácie. Tieto mechanizmy zahŕňajú:

  • SPF alebo Sender Policy Framework, ktorý umožňuje vlastníkom domén špecifikovať IP adresy oprávnené odosielať e-maily v mene ich domény.
  • DKIM alebo DomainKeys Identified Mail, ktorá pridáva digitálny podpis do každého odchádzajúceho e-mailu.

S DMARC môžu vlastníci domén špecifikovať pravidlá na spracovanie e-mailov, ktoré zlyhajú pri overovacích kontrolách. Tieto pravidlá zahŕňajú „žiadne“, „karanténa“ a „odmietnutie“. Stručne povedané, ak e-mail zlyhá pri autentifikácii, nastavená politika určuje, či môže byť doručený ako zvyčajne, označený ako spam alebo priamo odmietnutý.

DMARC poskytuje vlastníkom domén mechanizmus nahlasovania, aby získali spätnú väzbu o tom, ako prijímacie poštové servery spracúvajú ich e-maily. Patria sem informácie o výsledkoch overovania e-mailov, ktoré pomáhajú vlastníkom domén identifikovať potenciálne pokusy o spoofing alebo nesprávne konfigurácie.

Výhody DMARC

DMARC hrá kľúčovú úlohu v prevencii e-mailového spoofingu. Pomáha znižovať schopnosť útočníka spustiť úspešný kybernetický útok založený na falšovaných e-mailoch, ktorý sa spolieha na odcudzenie identity s cieľom získať dôveru používateľov. Keď vlastník domény implementuje DMARC, môže okrem iného očakávať tieto výhody:

  • Vylepšená prevencia spoofingu. DMARC pomáha zabrániť škodlivým aktérom vydávať sa za legitímne domény. Robí to prostredníctvom presadzovania kontrol e-mailovej autentifikácie.
  • Lepšia ochrana značky. Používanie DMARC na zabránenie neoprávnenému používaniu ich domén pri phishingových útokoch pomáha firmám chrániť si reputáciu svojej značky a udržiavať dôveru u zákazníkov.
  • Prístup k praktickým štatistikám. DMARC má funkcie na vytváranie prehľadov, ktoré poskytujú cenné informácie o tom, ako sa spracováva e-mailová návštevnosť. Vlastníci domén môžu zase použiť tieto informácie na efektívnejšiu identifikáciu a zmiernenie bezpečnostných hrozieb.
ako funguje DMARC
Ako funguje DMARC

Nezabudnime tiež, že spoločnosti ako Google, Yahoo a nedávno aj Apple oznámili nové požiadavky na overovanie e-mailov, ktoré by mohli ovplyvniť doručiteľnosť  Vašich e-mailov. Každá organizácia, ktorá posiela viac ako 5000 správ denne na účty Google, Yahoo alebo Apple, bude musieť mať zavedené prísne pravidlá overovania e-mailov DMARC.
V prípade, že si s nastavením DMARC pre Vašu spoločnosť neviete radi, naši odborní zamestnanci Vám sú k dispozícii.

Ako útočníci zneužívajú sfalšované e-mailové adresy na zneužitie vašej obchodnej komunikácie?

email compromise, BEC

Ako útočníci zneužívajú sfalšované e-mailové adresy na zneužitie Vašej obchodnej komunikácie? 4 rizikové scenáre.

email compromise, BEC

Keď počujete výraz „sfalšovaný“ alebo „spoofed“ e-mail, napadne vám hneď BEC útok? Platí to pre mnohých ľudí – najmä pre pracovníkov bezpečnosti IT. BEC je forma e-mailového podvodu a už roky je hlavným záujmom pracovníkov informačnej bezpečnosti.  Ohrozenie zabezpečenia firemného e-mailu (BEC) je typ počítačovej kriminality, v rámci ktorého podvodník využije e-mail na to, aby nalákal niekoho na posielanie peňazí alebo prezradenie dôverných informácií o spoločnosti.

BEC podvody sú nákladný problém. Najnovšia správa o internetovej kriminalite od FBI Internet Crime Complaint Center (IC3) uvádza, že STRATY  z BEC útokov boli minulý rok 2,9 miliardy dolárov. Od roku 2013 dosiahli akumulované finančné straty spôsobené BEC takmer 53 miliárd USD. 

„Spoofing“ je odcudzenie identity a je podstatou e-mailového podvodu. Je to tiež jedna z najbežnejších techník používaných pri iných typoch útokov, ako je phishing a ransomware. Bezpečnosť vašej spoločnosti, podobne ako mnohé iné, sa pravdepodobne zameriava na zastavenie falošných e-mailov skôr, ako sa vôbec dostanú do doručenej pošty zamestnancov.
Je tu však viac problémov. Sfalšovaný e-mail má potenciál poškodiť reputáciu Vašej značky a ohroziť aj Váš obchodný ekosystém.

Tu je niekoľko bežných metód, ktoré útočníci používajú na vydávanie sa za iných, aby mohli pokračovať vo svojich útokoch:

  • Spoofing zobrazovaných mien:
     Zobrazované meno sa zobrazí v poli „Od:“ e-mailu. Je to najjednoduchšie manipulovateľný e-mailový identifikátor. Útočníci falšujú hlavičky e-mailov, takže klientsky softvér (napr. Outlook) zobrazuje meno podvodného odosielateľa, čo väčšina neškolených používateľov považuje za nosnú informáciu.
  • Spoofing domény:
    Útočníci použijú presnú zhodu domény organizácie na spustenie tohto typu podvodného útoku. Útočníci, ktorí sa zapoja do spoofingu domény, sa pokúsia napodobniť odosielajúci server alebo odosielajúcu doménu. 
  •  Podobné domény:
    Tretie strany môžu zaregistrovať podobné domény a posielať e-maily, ktoré vyzerajú, že pochádzajú z dôveryhodného zdroja. Napr. g00gle.com miesto google.com a podobne.
  • Kompromitované dodávateľské účty:
    Pri niektorých pokročilých útokoch útočníci kompromitujú účet od dodávateľa, ktorý spolupracuje s firmou, na ktorú sa chcú zamerať. Napadnutý dodávateľský účet použijú na zneužitie e-mailovej komunikácie medzi ich cieľom a dodávateľom. Nakoniec sa útočníci dostanú ku svojmu cieľu: spustiť útok alebo vyžiadať podvodnú platbu alebo citlivé údaje od klienta.

Rôzne scenáre útokov:

Teraz sa pozrime na to, ako môžu útočníci použiť sfalšované e-maily na zneužitie dôveryhodných vzťahov, ktoré máte s vašimi zákazníkmi, obchodnými partnermi, dodávateľmi a zamestnancami: 

Scenár 1: Vydajú sa za vás, aby sa zamerali na vašich zamestnancov

Pravdepodobne najlepšie známy je prvý scenár, kde útočníci predstierajú, že sú niekým vo vašej spoločnosti, ako napríklad váš generálny riaditeľ alebo manažér. Podvod sa často začína jednoduchou návnadou, ktorá vyzerá ako neškodná správa, ako napríklad: Ako sa máte? Si pri svojom stole? Môžete mi súrne s niečím pomôcť? 

Akonáhle útočníci dostanú obeť, aby sa zapojili, konverzácia sa rozvinie. Útočník môže obeť požiadať, aby pre ňu kúpila darčekové karty, vykonala podvodnú platbu alebo zdieľala dôverné údaje. 

Útočníci sa môžu nielen vydávať za vedúcich pracovníkov, ale môžu tiež predstierať, že sú všeobecnými zamestnancami, ktorí žiadajú ľudské zdroje o presmerovanie ich výplatných pások a podobne. Skrátka, nezáleží na role obete v spoločnosti. Kohokoľvek e-mail môže byť odcudzený a zacielený na kohokoľvek v rámci organizácie.

mail spoofing
spoofing falšovanie emailu

Scenár 2: Využitie vašich dodávateľov alebo obchodných partnerov, aby ste sa zamerali na svojich zamestnancov

Najčastejšou témou v tomto scenári je podvod s fakturáciou dodávateľov. Útočníci využijú dodávateľov spoločnosti aby buď poslali falošnú faktúru, alebo požiadali obeť, aby presmerovala platbu na bankový účet, ktorý útočníci ovládajú.

Tento prístup sa zameriava na medzipodnikové subjekty a môže mať za následok značné finančné straty pre tieto spoločnosti. Nie je to nič neobvyklé, že podniky prídu o desiatky miliónov dolárov.

Kompromitované účty dodávateľov je ťažké odhaliť. Okrem toho môžu protivníci použiť túto taktiku pri iných útokoch ako BEC. Môžu napríklad zmeniť faktúru na malvér a oklamať obeť, aby si stiahla škodlivú prílohu. Alebo môžu získať citlivé údaje od obete, ktorá sa domnieva, že komunikuje s dôveryhodným dodávateľom. 

Bez ohľadu na ich cieľ musia útočníci iba zachytiť obchodnú komunikáciu medzi vami a vašimi dodávateľmi, aby dosiahli svoje ciele.

spoofing email falšovanie totožnosti

Scenár 3: Odcudzia Vašu identitu, aby ste zacielili na svojich obchodných partnerov

Útočníci môžu obrátiť vašich dodávateľov proti vám – a môžu tiež vás obrátiť proti vašim obchodným partnerom. Robia to tak, že spoofujú vaše dôveryhodné domény alebo registrujú domény, ktoré vyzerajú veľmi podobne ako vaše. Bez vhodných kontrol, ako je overenie e-mailu, sú vaše dôveryhodné domény náchylné na sfalšovanie.

Na rozdiel od spoofingu zobrazovaného mena je spoofing domény oveľa ťažšie rozpoznať, pretože sa zdá, že podvodný e-mail pochádza z legitímnej domény. V spoločnosti Proofpoint zistili, že v priemere asi 23 miliónov správ denne je od neautorizovaných odosielateľov, ktorí potenciálne sfalšujú dôveryhodné domény. A registrácia podvodných domén nemôže byť pre útočníkov jednoduchšia. Útočníci si napr. za jeden deň zaregistrovali až 300 domén na propagovanie phishingovej kampane.

Zoznam škodlivých podobných domén zaregistrovaných útočníkmi, aby sa vydávali za PayPal, spolu s dátumom ich registrácie.

Scenár 4: Odcudzia vašu identitu, aby ste zacielili na svojich zákazníkov 

Podobne ako v treťom scenári, útočníci sa môžu za vás vydávať, aby sa zamerali na vašich zákazníkov, čím by poškodili vašu značku alebo reputáciu. Je dôležité pochopiť, že útočníci sa môžu vydávať nielen za váš e-mail, ale aj e-mail aplikácie/služby, ktorú využívate – napríklad na automatické rozosielanie newsletterov.  

V porovnaní s počtom transakčných e-mailov, ktoré aplikácie generujú, je počet e-mailov používateľov ako špička ľadovca. Okrem toho môžete mať veľký počet aplikácií tretích strán, napríklad od partnerov softvéru ako služby (SaaS), ktoré posielajú transakčné e-maily ako „vy“ svojim zákazníkom (a dokonca aj vašim zamestnancom). Napríklad:

  • Spoločnosť môže použiť Salesforce na odosielanie letákov/noviniek zákazníkom
  • Poskytovatelia zdravotnej starostlivosti môžu spolupracovať s dodávateľom SaaS a posielať pripomienky schôdzok
  • Obchodníci môžu na odosielanie potvrdení objednávky alebo upozornení na dodanie použiť aplikácie tretích strán

Tieto e-maily sú vystavené riziku, ak nie sú chránené. Rovnako ako e-mail používateľa, e-mail aplikácie môže byť sfalšovaný. Tiež môže mať škodlivý obsah, ak útok kompromituje aplikáciu alebo poskytovateľa SaaS.

fake email spoofing
Príklad transakčného e-mailu vygenerovaného aplikáciou, ktorý bol sfalšovaný útočníkmi.

Tipy na zníženie rizika odcudzenia identity

Riziko odcudzenia identity je všadeprítomným problémom každého podniku. Viacvrstvový prístup k obrane vám môže pomôcť znížiť toto riziko. Robustné riešenie zabezpečenia e-mailov vám pomôže zastaviť väčšinu hrozieb skôr, ako sa dostanú do doručenej pošty vašich koncových používateľov. Dokáže tiež odhaliť a blokovať širokú škálu hrozieb, ktoré zahŕňajú taktiku odcudzenia identity, ako je phishing, malvér, ransomware a BEC.

Tu je niekoľko tipov, ako nájsť správne riešenie a znížiť riziko:

  • Hľadajte pokročilé technológie. Na efektívnejšiu detekciu a blokovanie nových hrozieb potrebujete moderné riešenie zabezpečenia e-mailov , ktoré využíva umelú inteligenciu a strojové učenie spolu s analýzou správania, inteligenciou hrozieb a dokonca aj veľkými jazykovými modelmi (LLM).
  • Podporte vedomosti svojich zamestnancov. Keďže neexistuje jediná technológia, ktorá by dokázala zastaviť    100 % hrozieb, je dôležité spárovať vaše riešenie na detekciu hrozieb s programom na zvyšovanie povedomia o bezpečnosti . Ak tak urobíte, vaši zamestnanci budú vedieť, že potrebujú identifikovať odosielateľa a bežné taktiky phishingu. Nezabudnite im tiež poskytnúť nástroje na nahlásenie akýchkoľvek podozrivých správ.
  • Overte svoje e-maily. Kritickým aspektom rizika odcudzenia identity sú útočníci, ktorí spoofujú vašu doménu a zneužívajú vašu značku a povesť. E-mailová autentifikácia je jedným z najúčinnejších spôsobov, ako zabrániť falšovaniu domény. Hľadajte teda riešenie, ktoré dokáže overiť všetky vaše e-maily vrátane e-mailov používateľov a aplikácií.
  • Hľadajte adaptívne ovládacie prvky. Aplikovanie adaptívnych kontrol, ako je izolácia adries URL od rizikových dodávateľov, vám umožňuje zmierniť vaše vystavenie ohrozeným účtom dodávateľov bez narušenia vášho podnikania.

Ako sa chrániť pred útokmi sociálneho inžinierstva?

ochrana phishing sociálne inžiniesrvto

Ako sa chrániť pred útokmi sociálneho inžinierstva?

ochrana phishing sociálne inžiniesrvto

Sociálne inžinierstvo existuje tak dlho, ako dlho existujú informácie, ktoré by niekto mohol chcieť ukradnúť. V digitálnej oblasti používajú kyberzločinci túto taktiku psychologickej manipulácie, aby prinútili ľudí porušiť bežné bezpečnostné postupy. Ide o druh podvodu, ktorý sa spolieha skôr na ľudskú chybu než na digitálny hacking.

Toto sú niektoré bežné formy sociálneho inžinierstva v digitálnej komunikácii:

  • Odcudzenie identity – V týchto útokoch sa kyberzločinci tvária ako dôveryhodné entity, vydávajú sa za niekoho koho by ste mali poznať alebo vzbudzuje dôveru.
  • Pretexting – Kyberzločinci používajú falošné príbehy, aby prinútili svoje ciele k odhaleniu citlivých informácií.
  • „Baiting“ / Vnadenie – Útočníci využívajú prísľuby odmien alebo výhod, aby prilákali svoje ciele.

V útokoch sociálneho inžinierstva zločinci využívajú psychologické princípy, ako je dôvera, strach z premeškania, autorita a túžba byť nápomocní. Keď sa Vy a Vaši používatelia naučíte rozpoznávať tieto hrozby, môžete si vybudovať silnú obranu. V tomto blogovom príspevku sa budeme zaoberať tromi hlavnými krokmi, ktoré môžete podniknúť na ochranu seba a svojej firmy.

1. Zostavte si „ ľudský firewall“

Ak chcete, aby vaši zamestnanci dokázali rozpoznať útoky sociálneho inžinierstva, musíte ich vzdelávať. Školenie by malo zahŕňať rôzne typy taktík sociálneho inžinierstva – ako napríklad: phishing, telefónne orientované doručenie útoku (TOAD), Pretexting, „Baiting“ / Vnadenie, „Quid pro quo“, „Tailgaiting“,…

Je dobré informovať svojich zamestnancov o najnovších trendoch útokov. Preto má kontinuálne vzdelávanie väčší vplyv ako jednorazové školenia. Pravidelné aktualizácie znalostí užívateľov Vám môžu pomôcť udržať Vašu pracovnú silu v strehu.

Svoje školiace úsilie môžete podporiť pomocou komplexnej platformy na zvyšovanie povedomia o bezpečnosti. Takáto platforma poskytuje obsah, ktorý je navrhnutý tak, aby zvýšil účasť používateľov a pomohol udržať lekcie, pomocou prostriedkov ako je gamifikácia a mikrolearning. Kvízy, interaktívne moduly a simulované phishingové scenáre môžu pomôcť Vašim používateľom naučiť sa, ako sa stať aktívnymi obrancami pred útokmi.

Akčné tipy:

  • Aspoň raz za mesiac otestujte svoj tím pomocou simulovaných phishingových e-mailov
  • Minimálne raz za štvrťrok uskutočňujte školenia na zvýšenie povedomia o bezpečnosti
  • Poskytujte aj ďalšie školiace informácie, ako sú rôzne intranetové obežníky či vytlačené plagáty

2. Spomaľte a pýtajte sa

Môžete predpokladať, že Váš bezpečnostný IT tím zaviedol technológiu na obranu proti sociálnemu inžinierstvu. Neexistuje však žiadna všestranná finta, ktorá by tieto útoky zastavila. Preto musíte k digitálnej komunikácii pristupovať kriticky, najmä ak zahŕňa žiadosti o citlivé informácie alebo výzvy na vykonanie naliehavých opatrení.
Samozrejme, že chcete dokončiť svoju prácu rýchlo a reagovať napríklad na Váš vedúci tím. Ale aktéri hrozieb počítajú s týmito princípmi správania.

Spomaľte
Ide o zásadný krok v boji proti sociálnemu inžinierstvu. Umožňuje Vám kritickým okom vyhodnotiť situáciu a rozpoznať potenciálne červené vlajky. Keď spomalíte, premeníte automatické, reflexívne reakcie na premyslené, premyslené činy.

Buďte skeptický
Keď sa pozastavíte nad otázkou, či je interakcia legitímna, môžete si všimnúť nezrovnalosti. Môžete položiť otázky ako: „Je táto žiadosť od osoby alebo subjektu, ktorému môžem dôverovať?“, „Môžem si overiť ich identitu?“ a “Je táto žiadosť skutočne naliehavá?”
Môžete sa poradiť s kolegami alebo manažérmi alebo sa obrátiť na pravidlá spoločnosti. Alebo môžete dokonca vykonať rýchle vyhľadávanie na internete na overenie tvrdení.

Akčné tipy:

  • Skontrolujte, či e-maily neobsahujú nezvyčajné výrazy alebo žiadosti
  • Dôkladne skontrolujte, či sú e-mailové adresy a názvy domén autentické
  • Overte požiadavky, ktoré prichádzajú cez alternatívne komunikačné kanály

3. Používajte viacvrstvovú obranu

Ak chcete mať náskok v boji proti sociálnemu inžinierstvu, musíte prijať viacvrstvový bezpečnostný prístup. Inými slovami, musíte skombinovať ľudský prvok ostražitosti používateľa s pokročilými nástrojmi.

Hlavnou súčasťou tejto stratégie je nasadenie pokročilého riešenia zabezpečenia e-mailov, ktoré dokáže zastaviť počiatočný útok. V ideálnom prípade by mal využívať kombináciu analytiky správania, strojového učenia (ML) a umelej inteligencie (AI). Spoločne pracujú na analýze vzorcov v komunikácii a identifikácii anomálií, ktoré môžu signalizovať pokus o sociálne inžinierstvo. Ešte lepšie: Môžu sa poučiť z prebiehajúcich hrozieb, aby časom zlepšili detekciu.

  • Analýza správania môže sledovať typické akcie používateľov a označovať odchýlky, ktoré môžu naznačovať napadnutie účtu alebo zlý úmysel.
  • Algoritmy ML dokážu spracovať obrovské množstvo údajov, aby rozpoznali a predpovedali taktiku útočníkov.
  • Umelá inteligencia sa dokáže rýchlo prispôsobiť novým stratégiám a poskytuje dynamickú obranu, ktorá sa vyvíja s prostredím hrozieb.

Technológia overovania odosielateľa je tiež dôležitá pre vašu obranu. Zastaví útoky založené na identite, kde aktéri hrozieb posielajú správy pomocou doménového spoofingu alebo podobných domén. V týchto útokoch sa aktéri hrozieb vydávajú za dôveryhodných partnerov a ľudí pracujúcich vo vašej spoločnosti. Toto je bežná technika, ktorá sa používa pri útokoch, ako je kompromitácia obchodných e-mailov (BEC) a podvody s dodávateľskými faktúrami. Môžete zabrániť tomu, aby sa správy od týchto podvodníkov dostávali cez Proofpoint Email Fraud Defense a nastavením DMARC na „odmietnutie“. Vyžaduje si to, aby systém overil identitu odosielateľa, čo znamená, že všetky e-maily, ktoré sa vydávajú za osobu, budú automaticky odmietnuté.

Keď skombinujete sofistikované nástroje na zabezpečenie e-mailov s neustálym školením zamestnancov a kultúrou povedomia o bezpečnosti, vaša firma môže výrazne znížiť svoje vystavenie útokom sociálneho inžinierstva.

Akčné tipy:

  • Použite pokročilé nástroje na zabezpečenie e-mailu na blokovanie podozrivých správ pred ich doručením
  • Nastavte DMARC na „odmietnutie“, aby ste zaistili, že sa nikto nebude môcť vydávať za vaše domény
  • Na okamžité odstránenie latentných útokov použite automatické nápravné riešenia, ako je napr. Proofpoint CLEAR

Zhrnutie

Ochrana pred sociálnym inžinierstvom je neustála výzva. Vyžaduje si to kombináciu uvedomelosti, skepticizmu a technologickej podpory. Ale môžete vytvoriť impozantnú obranu proti týmto útokom, keď:

  • Pochopíte psychologické aspekty týchto útokov
  • Budete vzdelávať seba a svoj tím
  • Uplatníte robustné bezpečnostné opatrenia
  • Budete opatrní na sociálnych sieťach
  • Používate pokročilé technológie

5 príznakov, že je Vaša firma ľahkým cieľom ransomvéru

ransomware , ransomvér

5 príznakov, že je Vaša firma ľahkým cieľom ransomvéru

ransomware , ransomvér

Cítiť sa zraniteľným je nepríjemné. Stačí sa opýtať miestneho bezpečnostného tímu vo firme. Podľa štúdie zameranej na verejné a internetové aktíva až v 471 spoločnostiach z rebríčka „Fortune 500“ (každoročný rebríček zostavený a vydaný časopisom Fortune, v ktorom je zoradených 500 amerických súkromných a verejných korporácií podľa ich hrubého obratu), bolo objavených viac ako 148 000 kritických zraniteľností, čo je v priemere 476 na jednu spoločnosť.

To znamená, že objem potenciálnych cieľov je tak veľký, že hackeri ani nemusia využiť všetky, aby prenikli do podnikových systémov. Namiesto toho majú k dispozícii ponuku ľahších cieľov, na ktoré sa môžu zamerať, pretože vedia, že bezpečnostný tím je príliš vyťažený na to, aby odhalil a vyriešil každú slabinu.

Táto neschopnosť pokryť všetky bezpečnostné požiadavky, robí organizácie zraniteľnejšími voči finančne náročným a deštruktívnym útokom, viac než kedykoľvek predtým. Podľa Bitdefender’s 2023 Cybersecurity Assessment Report viac ako polovica opýtaných podnikov utrpela v posledných 12 mesiacoch narušenie bezpečnosti – a väčšina týchto útokov boli pokusy ransomvéru, ktorý sa snaží prevziať kontrolu nad kritickými podnikovými systémami, a následne žiadať výkupné.

Nárast a vývoj ransomvérov núti organizácie prehodnotiť svoju pripravenosť na zabezpečenie z hľadiska obchodných rizík. Bezpečnostné tímy musia identifikovať zraniteľnosti, stanoviť priority najkritickejších dier, a lepšie riešiť zraniteľnosti, ktoré pre organizáciu predstavujú najväčšie riziko.

Odvetvie ransomvéru dospieva

Na základe skúseností nadnárodných korporácií si útočníci uvedomili, že na škálovateľnosti záleží. Namiesto toho, aby pracovali samostatne a vytvárali jednotlivé hrozby po jednom, spojili svoje zdroje a vytvorili globálne gangy ransomvérov. Tieto siete ransomvérov ako služby, zložené z prevádzkovateľov a pridružených spoločností, ktoré fungujú ako samostatne zárobkovo činní dodávatelia. Pracujú vo veľkom, aby mohli napádať viac obetí súčasne a reinvestovať svoje zárobky do rozsiahlych výskumných a vývojových centier, kde neúnavne pracujú na objavovaní a zneužívaní ďalších zraniteľností.

Toto ich úsilie je venované vývoju sád ransomvéru, ktoré sa predávajú na čiernom trhu podnikavým podvodníkom, ktorí často nemajú žiadne technické znalosti. Stačí, keď si zaplatia kreditnou kartou alebo internetovou menou, a môžu vyraziť – hrozba pre všetky organizácie – od spoločností „Fortune 500“ s armádou počítačových špecialistov, čítajúcich stovky špecialistov, až po malé organizácie, ako sú školy alebo neziskové organizácie s obmedzeným pokrytím kybernetickej bezpečnosti.

Boj proti tomuto priemyselnému komplexu ransomvéru je náročný – pre všetkých. Problém je v tom, že dnešné hrozby sú také rozsiahle, a rozširujú sa takým tempom, že je pre bezpečnostné tímy vo firmách takmer nemožné identifikovať a opraviť všetky zraniteľnosti v organizácii. Zaistenie že všetky patche sú aktuálne je nočnou morou, ktorá si vynucuje plánované odstávky, ktoré ovplyvňujú produktivitu užívateľov. Rozširujúce sa plochy hrozieb situáciu len sťažujú, vďaka digitálnej transformácii, integrácii partnerov, stále zložitejším dodávateľským reťazcom a hybridným pracovným modelom. Sledovanie každého koncového bodu, servera, aplikácie a ďalších entít, ktoré sa dotýkajú siete, je náročná úloha aj pre stovku administrátorov – nieto ešte pre menšie tímy.

Zavedenie stratégie riadenia zraniteľností založenej na rizikách

Môže sa to zdať absurdné, ale organizácie sa budú musieť zmieriť s tým, že útočníci budú aj naďalej prelamovať ich siete. Plochy hrozieb sa rozširujú príliš rýchlo na to, aby s nimi bolo možné držať krok, a vďaka tzv. shadow IT nebudú mať bezpečnostné tímy nikdy úplný prehľad o všetkých zákutiach siete. Ľudský faktor ransomvéru navyše znamená, že používatelia budú aj naďalej klikať na odkazy alebo sťahovať súbory, ktoré by nemali.

Namiesto toho, aby sa organizácie snažili zalepiť všetky diery (čo je nemožné), musia zmierniť dopad hrozieb kombináciou prevencie a detekcie. To umožňuje bezpečnostným tímom zastaviť väčšinu pokusov o narušenie, a sústrediť sa na zastavenie šírenia útokov, ktoré prejdú.

Táto stratégia zmierňovania by mala vychádzať z podnikateľského rizika. Bezpečnostné tímy potrebujú spoľahlivý a presný systém správy aktív, ktorý vyhľadá každý zraniteľný koncový bod v sieti a zaistí, aby bol aktualizovaný najnovším firmwarom a softvérom. Mal by sa tiež uplatňovať princíp prístupu čo najnižších privilégií (oprávnení), ktorý zabezpečí, že iba užívatelia, ktorí potrebujú určitý prístup, budú mať práve taký rozsah prístupu bez toho, aby ohrozili organizáciu.

Tu je päť varovných signálov, ktorých by si organizácie mali byť vedomé pri zavádzaní stratégie riadenia zraniteľností:

1. Zastaralý softvér

Softvér je nevyspytateľný. Opravy a aktualizácie môžu často narušiť zavedený proces, alebo zablokovať automatizované úlohy. Pri hľadaní miest, kde je organizácia zraniteľná, je rozhodujúca jasná predstava o tom, aký softvér sa používa, ako je prepojený s ostatnými podnikovými systémami, a aká verzia je nainštalovaná (a prečo). Napríklad systém riadenia dodávateľského reťazca môže bežať na nepodporovanej verzii systému Windows, ale jeho aktualizácia môže narušiť kľúčový podnikový proces. Správna znalosť toho, ako môže softvér ovplyvniť produktivitu, vám pomôže posúdiť riziko v správnom kontexte.

2. Nedostatok špecifických školení pre zamestnancov

Školenie by nemalo byť zaškrtávacím políčkom, ktoré si odškrtnete z dôvodu dodržiavania právnych predpisov. Malo by niečo znamenať. Rôzne úlohy majú rôzne rizikové faktory a je dôležité, aby zamestnanci boli adekvátne preškolení pre svoje konkrétne povinnosti. Používatelia, ktorí majú prístup k finančným informáciám alebo informáciám o zákazníkoch, by mali vedieť, čo sa od nich očakáva z hľadiska ochrany osobných údajov, a dodržiavať podrobné procesy, ktoré tieto kritické informácie chránia. Napríklad po e-maily, v ktorom je asistentka výkonného riaditeľa požiadaná o preplatenie šeku, by mal nasledovať nejaký spôsob overenia žiadosti. Vzhľadom na stále sofistikovanejšie útoky typu spear phishing a sociálne inžinierstvo, je to veľmi dôležité.

3. Nedostatočné zálohovacie systémy a procedúry

Spoľahlivé zálohy slúžia ako poistka proti útokom ransomvéru, ale je nepraktické ukladať všetko na špičkové disky v reálnom čase. Je dôležité, aby ste posúdili, čo treba zálohovať, akým spôsobom, aby k tomu bol opätovný prístup, a akou rýchlosťou je potrebné to obnoviť. Zasadenie do kontextu obchodných rizík umožňuje organizáciám spoliehať sa na rôzne úložné médiá – niektoré veľkokapacitné, rýchle a bezpečné, oproti lacnejším alternatívam pre menej kritické dáta. Dôležité je tiež zabezpečiť pravidelnú aktualizáciu kritických systémov, aby sa predišlo chybám a oneskoreniam v prípadoch, keď je rýchlosť životne dôležitá.

4. Zraniteľnosti otvorenej siete

Dnešné podnikanie je prepojené. Interní aj externí používatelia sa pri svojej práci spoliehajú na rôzne nástroje, procesy, aplikácie, platformu Software ako služba (SaaS), a ďalšie webové služby – a všetky vyžadujú všadeprítomný prístup. Bezpečnostné tímy nikdy nezískajú úplný prehľad o všetkých týchto prepojeniach, ale je dôležité, aby boli pokryté tie najdôležitejšie. Týždenné a mesačné skenovanie môže pomôcť odhaliť otvorené sieťové pripojenia a potenciálne zraniteľnosti, a pomôcť vám lepšie spravovať a chrániť rozširujúcu sa plochu hrozieb.

5. Nedodržiavanie osvedčených postupov v oblasti kybernetickej bezpečnosti

Takmer každá organizácia podlieha mnohým predpisom a požiadavkám na audit – najmä ak pôsobí vo viacerých krajinách a regiónoch po celom svete. Je dôležité, aby bezpečnostný tím pochopil, kde sa organizácia dopúšťa pochybenia, a či predpisy dodržiava, alebo nie. Viditeľnosť a informovanosť sú kľúčom k zaisteniu bezpečného a spoľahlivého plnenia požiadaviek na dodržiavanie predpisov.

Inteligentná a vyvážená stratégia správy zraniteľností

Stále sofistikovanejší ransomvéroví zločinci robia všetko pre to, aby využili rastúci počet zraniteľností a prenikli do podnikových sietí. Ani tie najväčšie a najefektívnejšie bezpečnostné tímy nemôžu pokryť celý, rýchlo sa rozširujúci povrch hrozieb. Organizácia musí vyhodnocovať zraniteľnosti tak, ako súvisia s obchodnými rizikami – zraniteľnosti, ktoré majú väčší vplyv na produktivitu alebo bezpečnosť, by mali byť riešené rýchlo. Lepšia a spoľahlivejšia správa aktív pomáha bezpečnostným tímom tento cieľ dosiahnuť – umožňuje im identifikovať zraniteľnosti v celej organizácii, stanoviť priority tých najkritickejších, a rýchlo pracovať na ich riešení. Plochy hrozieb sú príliš veľké a rozširujú sa príliš rýchlo na to, aby sa bezpečnostné tímy snažili zachytiť všetko naraz. Je potrebná inteligentnejšia a diferencovanejšia stratégia.

(Ne)bezpečné QR kódy

QR kód

(Ne)bezpečné QR kódy

QR kód
Image by Freepik

QR kódy sú všade okolo nás. Ponúkajú rýchly spôsob, ako sa zúčastniť prieskumov, sťahovať užitočné veci a navštevovať webové stránky, ktoré vás zaujímajú, či zaplatiť za služby. Koniec koncov, nasmerovanie kamery telefónu na obrázok je oveľa jednoduchšie ako písanie dlhej adresy URL.

Ich samotné pohodlie však skrýva významnú nevýhodu. S bežnými URL odkazmi je možné spozorovať možný podvod voľným okom. Červené vlajky URL adries sú dobre známe: preklepy alebo znaky navyše v adrese stránky, skryté presmerovanie, zvláštne zóny domény a podobne. Ale pokiaľ ide o QR kódy, kam Vás vlastne môže zaviesť spleť čiernych štvorcov?

Na príklade uvedenom nižšie Vám ukážeme, ako môžu tieto neškodne vyzerajúce štvorce predstavovať hrozbu a ako sa ľahko dá stať obeťou podvodníkov. Príkladom je príbeh ženy, ktorá stratila až 20 000 USD naskenovaním QR kódu pri kúpe bubble tea.

Bubble tea za 20 000 dolárov

Mnohí ste sa už určite a stretli s propagačnými akciami kaviarní, keď boli návštevníci pozvaní na krátky online prieskum výmenou za bezplatný nápoj alebo zľavu na nákup. Takýto prieskum si často vyžaduje naskenovanie QR kódu na pulte – známa, takmer rutinná akcia. Čo by sa mohlo pokaziť?

To si musela myslieť aj 60-ročná Singapurčanka. Aby dostala pohár bubble tea zadarmo, ako sľuboval nápis, naskenovala nálepku s QR kódom na skle dverí kaviarne. Ako sa neskôr ukázalo, nálepku nalepili kyberzločinci a nie samotná kaviareň. Podvodný kód obsahoval odkaz na stiahnutie aplikácie pre Android tretej strany, aby sa mohla zúčastniť prieskumu. Aplikácia bola samozrejme škodlivá.

Po nainštalovaní si program vyžiadal prístup ku kamere a mikrofónu a aktiváciu služieb Android Accessibility. Ľudia často pri inštalácii nekontrolujú, aké povolenia aplikácii potvrdzujú. Táto vstavaná služba pre Android umožňuje zločincom zobraziť a ovládať obrazovku obete, ako aj deaktivovať rozpoznávanie tváre a odtlačkov prstov – týmto spôsobom môžu útočníci prinútiť obeť, aby v prípade potreby manuálne zadala heslo napríklad svojej bankovej aplikácie. Podvodníci museli len čakať, kým sa do nej prihlási, zachytiť prihlasovacie údaje a neskôr ich použiť na prevod všetkých peňazí na svoje účty.

Ako sa nestať obeťou

Mnohí ste sa už určite a stretli s propagačnými akciami kaviarní, keď boli návštevníci pozvaní na krátky online prieskum výmenou za bezplatný nápoj alebo zľavu na nákup. Takýto prieskum si často vyžaduje naskenovanie QR kódu na pulte – známa, takmer rutinná akcia. Čo by sa mohlo pokaziť?

To si musela myslieť aj 60-ročná Singapurčanka. Aby dostala pohár bubble tea zadarmo, ako sľuboval nápis, naskenovala nálepku s QR kódom na skle dverí kaviarne. Ako sa neskôr ukázalo, nálepku nalepili kyberzločinci a nie samotná kaviareň. Podvodný kód obsahoval odkaz na stiahnutie aplikácie pre Android tretej strany, aby sa mohla zúčastniť prieskumu. Aplikácia bola samozrejme škodlivá.

Keďže je nepraktické (a nie je to naozaj nutné) úplne sa vyhýbať skenovaniu QR kódov, odporúčame nasledovné:

  • Starostlivo skontrolujte adresy stránok, ktoré sú prepojené v rámci QR kódov, a hľadajte typické červené vlajky.
  • Uistite sa, že sa očakávaný a skutočný obsah zhodujú. Ak mal kód napríklad viesť k prieskumu, logicky by tam mal byť nejaký formulár s možnosťami odpovede. Ak nie a vyžaduje od vás niečo iné, okamžite stránku zatvorte.
    Ale aj keď stránka nevzbudzuje žiadne podozrenie, mali by ste byť stále opatrní – môže ísť o vysokokvalitný falzifikát.
  • Nesťahujte aplikácie prostredníctvom QR kódov. Aplikácie možno spravidla vždy nájsť v službe Google Play, App Store alebo na akejkoľvek inej oficiálnej platforme. Aplikácie zo zdrojov tretích strán by sa v žiadnom prípade nemali inštalovať.
  • Chráňte svoje zariadenia spoľahlivým bezpečnostným riešením. Vstavaný QR skener vám umožní skontrolovať odkaz pochovaný v bludisku štvorcov. Takéto riešenia tiež blokujú pokusy o návštevu škodlivých stránok a chránia Vás pred množstvom iných hrozieb v kybernetickom priestore.

Kyberbezpečnosť aj na letných dovolenkách

kyberbezpečnosť na dovolenke

Kyberbezpečnosť aj na letných dovolenkách

kyberbezpečnosť na dovolenke
Image by Freepik

Chystáte sa na letnú dovolenku? Pravdepodobne dobre viete, že je dôležité poriadne si zabezpečiť domácnosť. Avšak, fyzická bezpečnosť vášho domova nie je jediná vec, o ktorú sa musíte starať.

Vaše prenosné elektronické zariadenia obsahujú veľké množstvo cenností – preto keď je čas odísť na cestu, bezpečnosť vašich zariadení a dát v nich je rovnako dôležitá ako zamknutie dverí na dome.

Pozrime sa dnes na základné kroky kybernetickej bezpečnosti, ktoré by ste mali dodržať aby ste ostali v bezpečí:

1. Nezdieľajte online informácie o tom, že cestuje na dovolenku pred svojim odchodom

Zdieľať fotky z cesty a krásnych destinácií je lákavé, avšak najbezpečnejšie je, ak tak urobíte, až keď sa zo svojho výletu vrátite. Informácia o tom, že ste mimo domov, alebo zdieľanie konkrétnej lokácie, ako je napríklad Váš hotel, výrazne zvyšuje nebezpečenstvo krádeží. Ideálne je vypnúť zdieľanie polohy na Vašom telefóne, aby Vašu polohu automaticky neoznačovalo napríklad na sociálnych sieťach.

2. Zapnite si funkciu „Nájsť zariadenie“

Zapnutím funkcie na „nájsť moje zariadenie“ na Vašich telefónoch zabezpečíte, že budete schopný vyhľadať polohu odcudzeného telefónu, prípadne vymazať citlivé dáta na diaľku či deaktivovať svoje zariadenia, ak sa náhodou dostane do zlých rúk.

3. Chráňte svoje zariadenia

Ak nechávate svoje zariadenia ako tablet, notebook či telefón v hoteli, najlepšia možnosť je zariadenia uzamknúť v trezore, prípadne ich dobre schovať do batožiny, tak, aby neboli ponechané v izbe len tak na očiach. Okrem fyzického  zabezpečenia myslite aj na to, že všetky Vaše zariadenia by mali byť chránené dostatočne silným heslom, prípadne odblokovaním len na Váš dotyk.

4. Používajte verejné počítače s rozumom

Ak potrebujete použiť na svojej dovolenke verejný počítač, pokúste sa pri surfovaní na internete udržať svoju aktivitu tak generickú a anonymnú ako je možné. Ideálne je neprihlasovať sa do žiadnych dôležitých účtov, ale ak už sa musíte prihlásiť napríklad do e-mailu, uistite sa, že sa odhlásite, keď skončíte. Vymazanie histórie Vášho prehliadania je tiež užitočný krok.

5. Nepoužívajte verejné siete wi-fi k transakciám alebo k prístupu k citlivým údajom

Ak ste pripojený k verejnej wi-fi sieti, premyslite si, či je nutné sa niekam prihlasovať. Verejné wi-fi sú skvelé na surfovanie po internete alebo sociálnej sieti, ak nemusíte nikde zadávať heslá a citlivé údaje. Online nakupovanie a zadávanie napríklad údajov z karty sa na nich však zásadne neodporúča, na tieto účely využite dátový prenos a pre Vašu rodinu či priateľov môžete vytvoriť osobný hot spot, aby prehliadali web bezpečnejšie.

6. Zálohujte si svoje dáta pred cestou

Akokoľvek svoje zariadenia chránite, malá šanca, že budú odcudzené alebo sa im stane nejaká nehoda existuje – než sa vyberiete na prázdniny, zálohujte svoje dáta na iné zariadenie alebo do cloudu, aby ste neprišli o cenné údaje, fotky a podobne.

Nebezpečné funkcie v Microsoft Teams

microsoft tems tabs

Nebezpečné funkcie v Microsoft Teams

Výskumníci zo spoločnosti Proofpoint odhalili niekoľko nových spôsobov zneužívania Microsoft Teams, vrátane:

  • Použitie odcudzenej identity na manipulačné techniky:
  1. Používanie Teams kariet pre phishing
  2. Používanie Teams kariet na okamžité stiahnutie škodlivého softvéru
  3. Zneužívanie pozvánok na stretnutia nahradením predvolených adries URL škodlivými odkazmi
  4. Zneužívanie správ nahradením existujúcich adries URL škodlivými odkazmi

Organizácie vo veľkej miere dôverujú balíku produktov Microsoft Office ako spoľahlivému základu pre ich každodenné potreby cloudového ekosystému. Táto migrácia do cloudu prináša aj nové druhy hrozieb.

Výskumníci hrozieb spoločnosti Proofpoint nedávno analyzovali viac ako 450 miliónov škodlivých relácií zistených v priebehu druhej polovice roku 2022  zameraných na užívateľov cloudu Microsoft 365. Podľa Proofpoint zistení je Microsoft Teams jednou z desiatich najcielenejších prihlasovacích aplikácií, pričom takmer 40 % cieľových organizácií má aspoň jeden pokus o neoprávnené prihlásenie a získanie prístupu.

microsoft ohrozene aplikacie

V tomto blogu Vám odhalíme viaceré spôsoby zneužitia jednej z najpopulárnejších (a najzacielovanejších) natívnych cloudových aplikácií: Microsoft Teams. Tieto techniky umožňujú zločincom efektívne vykonávať phishing s prístupmi Office 365, dodávať škodlivé spustiteľné súbory a rozširovať svoje postavenie v prostredí ohrozeného cloudu.

Zneužívanie predvoleného mechanizmu kariet

Platforma Microsoft Teams poskytuje mechanizmus osobných a skupinových správ prostredníctvom kanálov Teams alebo chatov. Každý kanál alebo chat môže obsahovať ďalšie karty vytvorené rôznymi aplikáciami. Príkladom predvolenej karty, ktorá sa zobrazuje v osobných a skupinových rozhovoroch, je karta „Súbory/Files“ priradená k SharePoint a OneDrive (obrázok 2). Zistili sme, že manipulácia s kartami môže byť súčasťou silného a do značnej miery automatizovaného vektora útoku po kompromitácii účtu.

Zvyčajne môžu používatelia premenovať karty podľa vlastného výberu, pokiaľ sa nový názov neprekrýva s názvom existujúcej karty (napríklad: „Súbory“). Okrem toho majú používatelia údajne zakázané premiestňovať karty spôsobom, ktorý ich umiestňuje pred predvolené karty (napr. „Súbory/Files“).

Zistilo sa však, že pomocou nezdokumentovaných volaní rozhrania Teams API je možné zmeniť poradie a premenovať karty, takže pôvodnú kartu možno vymeniť za novú vlastnú kartu.

microsoft teams karty
Obrázok 2 – Vytvorená falošná karta „Súbory/Files“ a umiestnená pred pôvodnú kartu

Jedným zo spôsobov, ako túto zdanlivo neškodnú „funkciu“ môžu aktéri hrozieb využiť, je použitie možnosti „Website“, ktorá používateľom umožňuje pripnúť vybranú webovú stránku ako kartu v hornej časti kanála alebo chatu v Teams (obrázky 3 a 4).

Po pripnutí „website“ ako karty môže útočník manipulovať s názvom karty, zmeniť ho na názov existujúcej karty a potom ju premiestniť. To útočníkom efektívne umožňuje vytlačiť natívnu kartu z dohľadu, a tým zvýšiť šance na použitie podvodnej karty.

microsoft tems tabs
Obrázok 3 – Pridanie novej karty do chatu Teams
microsoft teams website
Obrázok 4 - Informatívny popis karty „Website“

Túto novú kartu je možné použiť na nasmerovanie na škodlivú lokalitu, ako je napríklad webová stránka na neoprávnené získavanie údajov, ktorá sa vydáva za prihlasovaciu stránku Microsoft 365 (obrázok 5). To je pre útočníkov mimoriadne atraktívne, pretože sa adresa URL karty webových stránok používateľom nezobrazuje, pokiaľ zámerne nenavštívia ponuku „Nastavenia karty“.

Obrázok 5 – Nastavenie novej karty smerujúcej na škodlivú webovú stránku pomocou používateľského rozhrania Teams

Hoci osvedčené postupy vzdelávajú používateľov, aby dôkladne preskúmali kľúčové indikátory (napríklad panel s adresou URL) a neklikali na podozrivé odkazy, v tomto prípade sú všetky tieto pokyny irelevantné, pretože Teams neposkytuje viditeľný panel s adresou URL. Nič netušiace obete si preto pravdepodobne nevšimnú, že webová stránka, na ktorú pristupujú, je v skutočnosti škodlivá.

Ako ukazuje simulácia (obrázok 6), v kombinácii vyššie uvedené nebezpečné funkcie umožňujú aktérom hrozieb bezproblémovo umiestniť škodlivý obsah do kompromitovaných prostredí Microsoft 365 s minimálnym rizikom odhalenia.

tvorba škodlivej karty microsoft teams
Obrázok 6 – Manipulácia s kartami pomocou nezdokumentovaných volaní API: (1) Vytvorenie novej karty „Website“; (2) Zmena názvu karty z („Website“) na zosobnenie predvolenej karty („Súbory“); (3) Zmena pozície novej karty pred pôvodnou kartou; a (4) Zmena cieľovej adresy URL karty tak, aby odkazovala na škodlivú webovú stránku

Riziká nekončia: ďalším spôsobom, ako jednoducho zneužiť rovnaké mechanizmy, je použitie karty „Website“ na odkazovanie na súbor. To spôsobí, že Teams (desktop alebo webový klient) automaticky stiahne súbor do zariadenia používateľa, čo môže ľahko ohroziť Vaše zariadenia a siete (obrázok 7).

Ako ukazuje simulácia (obrázok 6 a 7), v kombinácii vyššie uvedené nebezpečné funkcie umožňujú aktérom hrozieb bezproblémovo umiestniť škodlivý obsah do kompromitovaných prostredí Microsoft 365 s minimálnym rizikom odhalenia.

tvorba škodlivej karty microsoft teams 2
Obrázok 7 – Simulácia manipulácie s kartami pomocou nezdokumentovaných volaní API: Automatické sťahovanie škodlivého súboru prepojeného s našou falošnou kartou „Súbory“. V tomto prípade naša nová karta odkazuje na benígnu adresu URL, aby sa skryl jej zlý zámer.

Zneužitie pozvánky na stretnutia

Karty nie sú jedinou funkciou Teams, ktorá je otvorená pre zneužitie a zneužitie zo strany škodlivých aktérov. Platforma Microsoft Teams sa môže tiež synchronizovať s kalendárom používateľa a zobrazovať, vytvárať a upravovať plánované stretnutia. V predvolenom nastavení sa pri vytváraní online stretnutia Teams vygeneruje a odošle niekoľko odkazov v rámci popisu stretnutia (obrázok 8). Tie umožňujú používateľom pripojiť sa k online schôdzi alebo si stiahnuť desktopového klienta Teams.

Obrázok 8 – Predvolené prepojenia zahrnuté v pozvánke na schôdzu Microsoft Teams

Zatiaľ čo útočník by zvyčajne potreboval prístup k programu Outlook alebo Microsoft Exchange, aby mohol manipulovať s obsahom pozvánky na schôdzu, akonáhle útočníci získajú prístup k používateľskému kontu Teams, môžu manipulovať s pozvánkami na schôdzu pomocou rozhrania Teams API, pričom vymieňajú neškodné predvolené odkazy za škodlivé.

Ako je znázornené v simulácii nižšie (obrázok 9), sofistikovaný útočník môže automaticky zmeniť predvolené odkazy v rámci pozvánky na schôdzu tak, aby používatelia mimo organizácie aj vnútri organizácie boli odkázaní na phishingové stránky alebo na stránky hosťujúce malvér, čo spôsobí okamžité stiahnutie malvéru, ktorý sa vydáva za inštalačné súbory Teams.

microsoft teams stretnutie
Obrázok 9 – Simulácia znázorňujúca vytvorenie pozvánky na schôdzu, ktorá obsahuje skryté škodlivé adresy URL, ktoré odkazujú na škodlivé webové stránky

Zneužitie hypertextových odkazov v správach

Iný postup, ktorý môžu útočníci využiť, ak majú prístup k Teams používateľa, je použitie rozhrania Teams API alebo používateľského rozhrania na využitie existujúcich odkazov v odoslaných správach. Dalo by sa to urobiť jednoduchým nahradením neškodných odkazov odkazmi smerujúcimi na škodlivé webové stránky alebo škodlivé zdroje. V tomto scenári by sa prezentovaný hypertextový odkaz nezmenil, aj keď bola upravená URL za ním (obrázok 10).

Vzhľadom na to, že Teams API umožňuje rýchlu a automatickú úpravu odkazov zahrnutých v súkromných alebo skupinových chatových správach, jednoduchý skript spustený útočníkmi by mohol v priebehu niekoľkých sekúnd zneužiť nespočetné množstvo adries URL. Následne môže sofistikovaný útočník využiť techniky sociálneho inžinierstva a posielať nové správy, povzbudzujúc nič netušiacich používateľov, aby klikli (alebo „znova navštívili“) upravený odkaz, ktorý je teraz škodlivým.

Teams linky v správach
Obrázok 10 – Simulácia zobrazujúca automatickú manipuláciu s existujúcimi odkazmi v rámci správ pomocou Teams API

Potenciálny vplyv

Je dôležité poznamenať, že vyššie uvedené spôsoby zneužitia vyžadujú už existujúci prístup k napadnutému používateľskému účtu Teams. Napriek tomu približne 60 % užívateľov Microsoft 365 utrpelo v roku 2022 aspoň jeden úspešný incident prevzatia účtu. V dôsledku toho by potenciálne rozšírenie týchto metód poskytlo aktérom hrozieb efektívne možnosti.

Analýza minulých útokov a pokračujúcich trendov v dynamickom prostredí cloudových hrozieb naznačuje, že útočníci sa postupne orientujú na pokročilejšie vektory útokov. Prijatie nových útočných techník a nástrojov v kombinácii so zjavnými bezpečnostnými chybami vrátane nebezpečných funkcií v aplikáciách prvej strany vystavuje organizácie rôznym kritickým rizikám.

Odporúčania na ochranu Vašej organizácie

Nižšie sú uvedené spôsoby, ako pomôcť vašej organizácii brániť sa proti phishingu a malvéru založenému na Microsoft Teams:

  • Povedomie o zabezpečení: Vzdelávajte používateľov, aby si boli vedomí týchto rizík pri používaní Microsoft Teams.
  • Cloudové zabezpečenie: Identifikujte útočníkov pristupujúcich k Teams vo Vašom cloudovom prostredí. Vyžaduje si to presné a včasné zistenie počiatočného ohrozenia účtu a viditeľnosť ovplyvnenej prihlasovacej aplikácie.
  • Zabezpečenie webu: Izolujte potenciálne škodlivé relácie iniciované prepojeniami vloženými do správ Teams.
  • Kontrolujte používanie Microsoft Teams: Ak pravidelne čelíte pokusom o zacielenie, zvážte obmedzenie používania Microsoft Teams vo vašom cloudovom prostredí.
  • Obmedzenie prístupu: Uistite sa, že Vaša služba Teams je interná, ak je to možné, a nie je vystavená komunikácii s inými organizáciami.

 

Pozvánka na webinár o možnostiach a pozitívnych vplyvoch simulovaných phishingov

eway webinar

Pozvánka na webinár:

Ako je možné dosiahnuť, aby menej ako 10 % ľudí kliklo na nebezpečné odkazy v-emailoch?

eway webinar

Radi by sme Vás pozvali na náš online webinár o možnostiach a pozitívnych vplyvoch simulovaných phishingov a aký prínos môžu mať pre Vašu spoločnosť!

Ako dosiahnuť aby menej ako 10 % zamestnancov bolo náchylných kliknúť na škodlivé odkazy v e-mailoch? 💡 

Skutočnosť, že kybernetickí útočníci cielia na najslabšie miesto každej technológie – a tým je človek – nie je pre IT tímy žiadnou novinkou. Ako ho však efektívne ochrániť? 

To a ešte viac sa dozviete na našom webinári už 27.4.2023 o 10:00 – registrujte sa na adrese: 
https://bit.ly/3K2fjEx 

Agenda:

• Privítanie, predstavenie agendy a spíkrov
Peter Csicsay, Sales Director, Exclusive Networks Slovakia

• Akým najčastejším výzvam čelia zamestnanci pred nasadením Proofpoint Security Awareness Training v rámci spoločnosti?
Peter Lukáč, CEO, eWAY s.r.o.

• Ako navýšiť slabé povedomie zamestnancov o kybernetickej bezpečnosti – ukážka simulovaných útokov v PSAT
Lucia Račkovičová, Asistent, eWAY s.r.o.

Ako špeciálny hosť sa zúčastní: CISO, náš zákazník z oblasti energetiky.

Pohľad na kybernetické hrozby dneška

kybernetické hrozby

Pohľad na kybernetické hrozby dneška – a čo znamenajú pre budúcnosť

Kybernetické hrozby môžeme predpovedať len vtedy, keď plne pochopíme dnešnú situáciu. Analýzou najnovších trendov, metód a cieľov môžeme predpovedať budúcnosť kybernetických hrozieb a spôsoby ako môžu útočníci  rozvíjať svoje útoky, aby zvýšili svoje šance na úspech.

#1: Útoky zamerané na ľudí

Kybernetickí útočníci sa už nejaký čas zameriavajú na ľudí. Ľudia sú kľúčom k prístupu, útočníci to vedia a podľa toho ich využívajú. Okrem toho, odborné technické schopnosti nie sú požiadavkou, pokiaľ ide o útoky na ľudí.

V ďalšom roku pravdepodobne uvidíme, že sa objavia ďalšie skupiny útočníkov so širokým spektrom zručností – od super pokročilých až po málo technologických. Spoločným znakom ale bude efektívne sociálne inžinierstvo – teda útoky proti ľuďom namiesto priameho zacielenia na dáta a stroje.

Efektívne sociálne inžinierstvo presviedča používateľov, aby sa zapojili do škodlivého obsahu, čo uľahčuje vstup do cieľového prostredia. Táto metóda počiatočného prístupu nevyžaduje ďalšie znalosti alebo schopnosti, ako je využívanie zraniteľností alebo služieb. Pre útočníkov je tiež jednoduchšie vykonávať širšie zacielenie, na množstvo ľudí naraz.

Po zdokonalení útoku na ľudský aspekt budú útočníci pridávať kódy, skripty, nástroje pracovného toku a ďalšie na sfunkčnenie hrozieb, čím sa zvýši ich účinnosť a efektívnosť. Samotné ochrany a kontroly nestačia na obranu pred týmito taktikami, preto musí byť prioritou povedomie o bezpečnosti.

#2: Zneužívanie dôvery

Útok SolarWinds zastihol mnohé organizácie úplne nepripravené a ako nikdy predtým uvrhol otázku dôvery do centra pozornosti. Podobné incidenty – a útok ransomvéru Kaseya – zvýšili povedomie o hrozbách pre dodávateľský reťazec softvéru. Útočníci môžu zneužiť dôveryhodné služby tretích strán, aby získali prístup k organizácii a ukradli informácie, znížili funkčnosť alebo narušili služby.

Keďže outsourcing narastá a technologické balíky sú stále zložitejšie, je takmer nemožné, aby vedúci pracovníci informačnej bezpečnosti (CISO) zaručili, že každý v dodávateľskom reťazci softvéru je v oblasti kybernetickej bezpečnosti taký usilovný, ako by mal byť. Musia dôverovať tomu, že tretie strany vykonávajú náležitú ochranu pred útokmi.

Bezpečnostné tímy budú určite musieť zdôvodniť svoju pozíciu úzkeho partnerstva s niekoľkými dodávateľmi, zatiaľ čo generálni riaditelia a finančné tímy budú presadzovať nižšie ceny a rozloženie rizika.

#3: Meniaca sa tvár vnútorných hrozieb

Hrozby zvnútra sa v posledných rokoch zvýšili takmer o 50 % s ročnými nákladmi presahujúcimi 15 miliónov USD. Napriek tomu bolo tradične ťažké získať riešenie pre riadenie vnútorných hrozieb na úrovni predstavenstva. Zamestnávatelia majú často pocit, že ich preverovací proces spojený s vonkajšou ochranou je dostatočný na to, aby udržali problém pod kontrolou.

Nárast krádeží prihlasovacích údajov a prístupov však zmenil spôsob, akým sa pozeráme na problém vnútorných hrozieb. Teraz je irelevantné, či Robovi z učtárne dôverujete alebo nie, pretože ak Robove údaje ukradnú alebo prezradia, už to s ním nemá čo do činenia. Opäť sa tu vyžaduje málo technických zručností, takže môžeme očakávať pokračujúci nárast tohto spôsobu útoku.

Pokiaľ ide o obranu, pravidelné, cielené školiace programy na zvýšenie povedomia o bezpečnosti a  viacfaktorová autentifikácia sú absolútnou nevyhnutnosťou.

Keďže outsourcing narastá a technologické balíky sú stále zložitejšie, je takmer nemožné, aby vedúci pracovníci informačnej bezpečnosti (CISO) zaručili, že každý v dodávateľskom reťazci softvéru je v oblasti kybernetickej bezpečnosti taký usilovný, ako by mal byť. Musia dôverovať tomu, že tretie strany vykonávajú náležitú ochranu pred útokmi.

Bezpečnostné tímy budú určite musieť zdôvodniť svoju pozíciu úzkeho partnerstva s niekoľkými dodávateľmi, zatiaľ čo generálni riaditelia a finančné tímy budú presadzovať nižšie ceny a rozloženie rizika.

#4: Ransomvér, strata údajov a viacnásobné vydieranie

Ransomvér, strata údajov a krádeže duševného vlastníctva boli kedysi samostatnými útokmi, pričom každý cieľ sa nakoniec dosiahol rôznymi metódami. Postupom času sa však tieto hrozby začali prekrývať. Teraz je bežné, že počítačoví zločinci nasadia ransomvér na šifrovanie údajov, ako aj na extrahovanie súborov na ďalšie vydieranie obetí.

Začíname tiež vidieť ďalšiu vrstvu tohto typu útoku. Výskumníci hrozieb Proofpoint pozorovali útočníkov, ktorí sa pokúšali získať si zamestnancov cieľových spoločností, aby uľahčili útoky založené na hrozbách.

Okrem toho je rastúci počet útočníkov  konfigurujúcich malvér tak, aby ich upozornil, keď objaví informácie, ktoré môžu byť cenné, či už na predaj alebo zverejnenie. Po upozornení sa útočníci manuálne zapoja, aby vyhodnotili vybrané údaje predtým, ako sa rozhodnú pre najziskovejšie ďalšie kroky.

V prostredí, kde jediným chybným kliknutím alebo opakovaným použitím hesla, ktoré potenciálne otvára organizácie reťazcu útokov, bude potreba zakorenenej kultúry zabezpečenia ešte naliehavejšia.

#5: Rastúca hrozba nepriateľských národov

Keď pomyslíte na útoky národného kalibru, hneď vám môžu prísť na um štyri krajiny – Čína, Rusko, Severná Kórea a Irán. Aj iné krajiny však rozširujú svoje národne podporované možnosti kyberšpionáže. A pravdepodobne na tomto zozname uvidíme Indiu, Pakistan a ďalšie krajiny, ktoré tiež pokračujú v budovaní a zlepšovaní svojich programov.

Geopolitické napätie a udalosti tiež zvýšili viditeľnosť hráčov ako Taiwan. Blízky východ je ďalším vznikajúcim ohniskom, keďže mnohé z veľkých mocností sa snažia diverzifikovať svoje ekonomiky a zohrávať významnejšiu úlohu na svetovej scéne.

Aj keď sa väčšina bežných organizácií nikdy nedostane do hľadáčika národného útoku, čím viac akcie je na tomto bojisku, tým väčší je rozsah vedľajších škôd – či už ide o výpadky systému a siete, alebo o zraniteľnosti prenesené od tretej strany. To vytvára ešte väčší tlak na CISO, aby mali prehľad o svojich organizáciách a úzko spolupracovali so svojimi výkonnými lídrami na implementácii spoľahlivého bezpečnostného programu.