W ostatnich miesiącach w mediach pojawiło się wiele doniesień o masowych cyberatakach, wymierzonych w instytucje publiczne i przedsiębiorstwa na całym świecie. Zagrożenia informatyczne oznaczają wielkie straty finansowe dla zaatakowanych organizacji, a ich ofiarami mogą padać również użytkownicy indywidualni. Jednym z sektorów rynkowych narażonych na cyberataki jest branża finansowa, w tym banki i ich klienci. Sprzyja temu duża ilość udostępnianych informacji znajdujących się w sieci, co pozwala cyberprzestępcom na dokładniejsze planowanie działań i wybieranie potencjalnych ofiar. Jedną z jego form jest spear phishing, polegający na monitorowaniu aktywności potencjalnej ofiary i czekaniu na właściwy, sprzyjający moment.

Wieland Alge, wiceprezes i dyrektor generalny na kraje EMEA w Barracuda Networks
Wieland Alge, wiceprezes i dyrektor generalny na kraje EMEA w Barracuda Networks

W atakach „spear phishing” wykorzystywane są wiadomości e-mail, które udają korespondencję wysłaną przez osobę lub firmę znaną ofiarom. Cyberprzestępcy wysyłający takie fałszywe e-maile chcą za ich pomocą dokonać kradzieży numerów kart kredytowych i kont bankowych haseł oraz informacji finansowych przechowywanych w komputerach. Jak wygląda scenariusz ich działania?

Załóżmy, że komputer osobisty osoby pracującej w instytucji finansowej np. w banku, zostanie zainfekowany złośliwym oprogramowaniem. Wykorzysta ono brak stosownych zabezpieczeń i zacznie tworzyć kopie maili korespondencji wymienianej pomiędzy klientem a instytucją. Stworzy to okazję to przeprowadzenia udanego ataku. Cyberprzestępca zazwyczaj poczeka na właściwy moment, obserwując konto e-mailowe. Dopiero po zauważeniu wystarczająco dużych transakcji rozpocznie działania, podszywając się pod pracownika firmy.

Taki atak jest całkiem prawdopodobny i nadal niestety stosunkowo łatwy do przeprowadzenia. Do jego realizacji wystarczą pozyskane schematy dokumentów, wykorzystywane przez zaatakowaną instytucję. Są one podstawą do rozpoczęcia nowej korespondencji lub włączenia się w już istniejącą, stopniowo przekierowywaną na fałszywy adres email, co pozwala na przeprowadzenie ataku. Przestępcy poświęcają sporo czasu potrzebnego na obserwację, co zwiększa szansę na powodzenie ich działań. Istnieje możliwość, że klient lub ktoś z pracowników natrafi na takie maile i zaalarmuje otoczenie o próbie wyłudzenia środków finansowych. Jednak niektóre ataki mogą pozostać niewykryte, narażając nieświadomych klientów na duże straty.

Do powstania takiego zagrożenia przyczynia się kilka czynników. Po pierwsze, zainfekowane urządzenie, wykorzystywane przez bank lub inną organizację finansową, otwiera furtkę umożliwiającą spersonalizowany atak. Przestępca otrzymuje niezbędne schematy oraz procedury pozwalające na dokonanie próby wyłudzenia środków finansowych. Drugim czynnikiem jest możliwość podszycia się pod pracownika, co pozwala na osiągnięcie postawionych celów, takich jak wyłudzenie pieniędzy lub danych personalnych. Dlatego kluczową kwestią po stronie organizacji jest stosowanie stosownych zabezpieczeń. Dotyczy to głownie sektorów finansowych i instytucji mających dostęp do wrażliwych danych klientów.

Poniżej przedstawiamy dwie podstawowe zasady, które pomogą uniknąć spear phishingu:

  • Jeśli pojawią się uzasadnione wątpliwości, czy wiadomość e-mail jest autentyczna, należy ją zweryfikować, kontaktując się z daną osobą lub firmą telefonicznie albo przez inne używane wcześniej kanały komunikacji.
  • Należy unikać ujawniania poufnych informacji osobistych lub służbowych w wiadomościach e-mail w korespondencji z osobami, której nie znamy.

Autor: Wieland Alge, wiceprezes i dyrektor generalny Barracuda Networks w regionie EMEA