eWAY s.r.o.

eWAY s.r.o. logo
Linkedin Facebook

News

5 tipov ako sa brániť proti ransomware hrozbám

od autora:
interne hrozby ransomware

5 tipov ako sa brániť proti ransomware hrozbám

V posledných rokoch ransomware prerástol do vážneho problému, s ktorým sa môže stretnúť každý – a s ktorým sa potýka už státisíce ľudí.

V posledných rokoch sa výkupcovia stále viac zameriavajú na organizácie, ale to neznamená, že bežní používatelia nie sú ohrození – ľudia sú stále zasiahnuteľní aj v domácnostiach, niekedy dokonca iba náhodou. Ak nechcete prísť o svoje fotografie, dokumenty a ďalšie súbory, mali by ste nevyhnutne získať niekoľko zručností a návykov v oblasti anti-ransomwaru.

Čo je vlastne ransomware?

Ransomware je škodlivý softvér, ktorý na pevnom disku vyhľadáva informácie cenné pre používateľov (napríklad dokumenty, tabuľky, obrázky a databázy) a šifruje všetko, čo nájde a uzamkne Vaše súbory. Následne ransomware zobrazí správu požadujúcu platbu za obnovu údajov.

Ak obeť zaplatí, môže sa odohrať jeden z niekoľkých scenárov:

  • Niekedy útočníci skutočne pošlú dešifrovací kľúč s pokynmi.
  • Niekedy útočníci skutočne pošlú dešifrovací kľúč s pokynmi, súbory obnovíte a vzápätí vám útočník dáta znovu zašifruje.
  • Niektorí útočníci jednoducho vezmú peniaze obete a zmiznú.
  • V niektorých prípadoch počítačoví zločinci nedokážu obnoviť údaje, aj keď chcú – niektoré ransomware poškodzujú súbory neodvolateľne.

Ransomware sa môže dostať do vášho počítača rôznymi spôsobmi. Môžete napríklad zapojiť infikovaný USB disk alebo si niečo stiahnuť z podozrivého webu. Najčastejším zdrojom nákazy sú e-maily s nebezpečnými prílohami alebo odkazy na škodlivé stránky. Asi najnepríjemnejším aspektom mnohých ransomwarov je ich schopnosť šíriť sa cez zariadenia v tej istej sieti. To znamená, že ak Váš osobný počítač zachytí škodlivý softvér, môžete očakávať útok aj na ďalšie počítače zapojené na rovnakú sieť. Jeden ransomware na pracovnom zariadení môže zastaviť všetku firemnú komunikáciu.

Čo robiť, ak sú už Vaše údaje zašifrované

Ak sú vaše údaje zašifrované, neprepadajte panike. Je to zlá situácia, ale stále budete môcť obnoviť svoje súbory:

  • Neplaťte. Každá platba výkupného predstavuje finančný príspevok k vývoju škodlivého softvéru a signál počítačovým zločincom, že ich schéma je zisková. A nemusí to fungovať – možno nič nedostanete späť, aj keď zaplatíte.
  • Pomocou služby Crypto Sheriff na webe No More Ransom zistíte, akým škodlivým softvérom sa nakazil váš disk. Decryptor už pre neho môže existovať, v takom prípade ho môžete použiť na obnovu údajov bez toho, aby ste museli minúť cent. (prelinky)
  • No More Ransom, ktorú podporuje Europol a rôzne spoločnosti zaoberajúce sa zločinom proti kriminalite, ponúka desiatky dešifrátorov.
  • Ak nemôžete nájsť decryptor pre ransomware, ktorý Vás napadol, nezúfajte, každým dňom môže pribudnúť nový decryptor práve pre Váš problém.

Ako sa chrániť pred ransomware

Teraz, keď poznáte základ problému, je načase si osvojiť niekoľko pravidiel IT hygieny, ktoré vám môžu pomôcť vyhnúť sa ransomwaru:

  1. Vykonávajte zálohy

Pravidelne ukladajte dôležité súbory a dokumenty do cloudového úložiska alebo na externý pevný disk. Zálohovanie fotografií môžete obmedziť na raz týždenne alebo dokonca každý mesiac, ale dôležité aktuálne dokumenty zálohujte každých pár dní alebo dokonca denne. Zálohovanie súborov nemusí byť práca navyše: existuje aj  automatické zálohovanie.

Ak sa však rozhodnete zálohovať údaje, neváhajte s tým pridlho. Zálohovanie v prípade útoku ransomware – alebo aj ak Vám mačka prejde klávesnicou a odstráni vašu správu – znamená, že nemusíte prísť o svoju prácu a dôležité súbory.

Pre úspešné zálohovanie nezabudnite na niekoľko dôležitých pravidiel:

  • Pripojte záložný pevný disk iba vtedy, keď naň píšete alebo z neho čítate. Šifrovaný bude aj akýkoľvek disk pripojený k počítaču v čase útoku ransomwaru.
  • Chráňte prístup k cloudovému úložisku pomocou silného hesla a dvojfaktorovej autentifikácie.
  1. Buďte opatrní na svoje e-maily a správy

E-mailové prílohy a infikované webové stránky sú najčastejším úkrytom trójskych koní ransomware, preto s každou neočakávanou poštou a správou zaobchádzajte ako s potenciálnym zdrojom nebezpečenstva. Čo však robí správu podozrivou? To je oblasť, ktorá vyžaduje zvýšenú pozornosť a dobrý úsudok. V minulosti sme už tomu venovali pozornosť v našom blogu.

  • Uistite sa, že poznáte odosielateľa. K obsahu, prílohám a odkazom v e -mailoch od neznámych ľudí pristupujte maximálne skepticky. To platí aj pre správy v aplikáciách, sociálnych sieťach a fórach. Ak máte obavy, pošlite správu do priečinka so spamom, najmä ak ide o neočakávané platby.
  • Ak sa chcete s takýmito správami stretávať menej často, nakonfigurujte v bezpečnostnom riešení filtrovanie nevyžiadanej pošty a kontrolu poštovej prevádzky.
  • Ak dostanete podozrivý odkaz alebo súbor, ktorý ste nečakali, od niekoho známeho, kontaktujte ho telefonicky alebo v inom formáte; Ich účet alebo schránka mohli byť napadnuté.
  1. Vyhýbajte sa podozrivým webovým stránkam

Kyberzločinci, ktorí sa neobmedzujú iba na odkazy v e-mailoch, používajú impozantnú škálu trikov, ako podviesť obete pri sťahovaní škodlivého softvéru. Ak sa po kliknutí na banner objaví neočakávaný webový zdroj alebo sa na obrazovke zobrazí výzva na stiahnutie niečoho, stránku ihneď zatvorte. Je veľmi pravdepodobné, že vidíte pokus o infekciu ransomware.

  1. Aktualizujte softvéry včas

Kybernetickí zločinci často používajú na prenikanie do zariadení známe zraniteľnosti softvérov – ktoré vývojári už možno opravili v ďalšej aktualizácii. Každý, kto pravidelne neaktualizuje svoj softvér, je obzvlášť ohrozený. Zapnite automatické aktualizácie, kedykoľvek je to možné, a pravidelne kontrolujte aktualizácie aplikácií, ktoré sa neaktualizujú automaticky.

  1. Nainštalujte bezpečnostné riešenie

Moderné bezpečnostné riešenia dokážu identifikovať a blokovať malware v reálnom čase. Napríklad aplikácia Kaspersky antivírus obsahuje množstvo nástrojov na ochranu používateľov pred ransomvérom. Dokonca aj v nepravdepodobnom prípade, že obzvlášť prefíkaný kus škodlivého softvéru prekoná antivírusovú ochranu súborov, toho veľa nezmôže: Kaspersky analyzuje činnosti spustených aplikácií a blokuje pokusy o šifrovanie súborov.

V prípade, že chcete pomôcť vybrať vhodnú ochranu proti ransomware pre Vašu spoločnosť, neváhajte nás kontaktovať – radi Vám poradíme.

Zdroj: Kaspersky blog [ENG]

Inštalácia Kaspersky Security Center 13 a MariaDB

od autora:
maria db inštalácia

Inštalácia Kaspersky Security Center 13 a MariaDB

Ak používate staršie verzie Kaspersky Security Center a premýšľali ste nad updatom ale sami si na to netrúfate – radi Vám pomôžeme.
Minulý mesiac sme vykonali migráciu KSC u jedného z našich zákazníkov hneď o niekoľko verzií vyššie, s použitím bezplatnej databázy ‚Maria DB‘ a najmä aj so zachovaním všetkých bezpečnostných politík a aktuálnych konfigurácií softvéru, ktoré táto spoločnosť mala nastavené na ich staršej verzii.

Bezplatná databáza ‚Maria DB‘ je pre Kaspersky novinkou, nakoľko doteraz sa využívala najmä platená MS SQL databáza. KSC síce podporuje aj bezplatnú MS SQL, tá má ale výrazné limity a nedá sa použiť  ak používate KSC na náročnejšie úlohy ako napr. distribúciu SW opráv (patch management) . Upgrade Vášho Kaspersky Security Center Vám teda môže pomôcť ušetriť niekoľko stoviek eur a tiež Vám poskytne sofistikovanejšiu ochranu ako jeho staršie verzie.
Update KSC však môže pre neskúseného člena IT tímu pôsobiť náročne a obnáša so sebou riziko straty dát pri pokuse o migráciu, najmä ak v minulosti ešte podobný úkon nevykonával. Tento problém vyriešime za Vás a bezpečne Vám upgradujeme KSC na Vami zvolenú verziu so zachovaním všetkých dôležitých informácií.

Ako na inštaláciu KSC s Maria DB?

Sú situácie keď potrebujete základnú databázu bez obmedzenia veľkostného limitu a nevyžadujete nasadenie komerčnej verzie. Ako inštalačný scenár je vhodné použiť prepojenie KSC s databázou MariaDB .

Databázu nájdete na: https://mariadb.com/kb/en/installing-mariadb-msi-packages-on-windows/
(ku dátumu vzniku článku Kaspersky podporuje verziu MariaDB 10.3.x.)

Inštalácia databázy je veľmi jednoduchá a pozostáva z nasledovných krokov:

maria db inštalácia
maria db inštalácia
maria db inštalácia
maria db inštalácia

Pri inštalácii KSC zakliknete voľbu MySQL a následovne nastavenia ktoré sú platné pre prípad, že máte KSC a MariaDB na jednom server a použili ste default porty. Heslo root-a použijete to, ktoré ste nastavili pri inštalácii MariaDB.

maria db inštalácia
maria db inštalácia
maria db inštalácia

V prípade ak ste pri inštalácii MariaDB použili vyššiu verziu ako 10.3.x dostanete nasledovné chybové hlásenie:

mariadb error

Inštaláciu KSC dokončíte štandardným spôsobom. Následne konfiguráciu MariaDB pre KSC13 nastavíte podľa nasledovných parametrov:

https://support.kaspersky.com/KSC/13/en-US/210277.htm

*Do konfigurácie ini súboru sme ešte pridali: table_definition_cache=4000

V prípade otázok alebo konzultácii pri inštalácii a konfigurácii KSC, či pre jeho celkové nasadenie aj s Maria DB nás môžete kontaktovať.

 

Ransomvér: ako sa k vám dostane a ako sa proti nemu včas ochrániť?

od autora:
Data protection

Ransomvér: ako sa k vám dostane a ako sa proti nemu včas ochrániť?

Jeden z dôvodov, prečo je ransomvér taký zničujúci, je, že namiesto slabých miest v sieti sa často zameriava na slabé miesta u ľudí. Uznávajúc túto skutočnosť, denník The Washington Post nedávno urobil rozhovor s EVP spoločnosti Proofpoint pre stratégiu kybernetickej bezpečnosti Ryanom Kalemberom o kritickej úlohe, ktorú môžu zamestnanci hrať pri predchádzaní ransomvérovým útokom pri práci. Kalember ponúkol svoje postrehy o tom, prečo je útok ransomvéru úspešný, na koho je zameraný a čo sa s tým dá robiť:

Ako to funguje?

Ransomvér sa zvyčajne začína ako prispôsobený e-mail odoslaný konkrétnemu cieľu v spoločnosti. E-mail často odkazuje na určité záujmy alebo preferencie, ktoré môže mať zamestnanec podľa identifikačného prieskumu jeho sociálnych médií pred útokom. Pretože ľudia radi čítajú o svojich záujmoch alebo o nich počúvajú od podobne zmýšľajúcich ľudí, vždy sa tým zvyšuje „otvorenosť“ e-mailu a potenciálne poškodenie. E-maily však nie sú náhodne zamerané na ľudí.

Z denníka The Washington Post: „V závislosti od ich rolí v spoločnosti nájdu niektorí zamestnanci svoje schránky doručenej pošty zahltené stovkami phishingových e-mailov určených na ukradnutie prístupov príjemcu,“ hovorí Kalember. Proofpoint historicky spája pokusy o ransomvér zamerané na zamestnancov s titulmi ako účtovníci, CEO alebo podobne zameraných zamestnancov. Ak má niekto prístup k privilegovaným informáciám, budú na neho skôr či neskôr zamerané podvodné e-maily.

Pokazil som to, čo teraz?

Povedzme, že ste zamestnanec sediaci vo svojej kancelárii alebo doma na home-office a nadávate si, pretože ste práve zdieľali citlivé informácie s niekým, kto sa vydával za Vášho riaditeľa. Alebo ste možno boli podvedení kliknutím na podvodný odkaz, ktorý môže ale aj nemusí viesť k budúcemu poškodeniu organizácie. Mali by ste iba predstierať, že sa to nestalo a dúfať, že sa nepríde na to, že za to môžete práve vy?
Rýchla odpoveď je – určite nie.

“Toto je často prvá reakcia a nie je to ideálne,” hovorí Kalember. “Keď podľahnete nejakému podvodu, útočník má stále nejaké časové obdobie, v ktorom musí zistiť, čo za informácie práve dostali a či vôbec stojí za to to využiť.”

Tento časový interval, medzi Vašou chybou a útočníkmi, ktorí rozhodujú o tom, ako na tom zarobiť, je to, čo bezpečnostný priemysel nazýva „čas zotrvania“, čas, ktorý môže „podporiť“ alebo zneškodniť útok. Kalember hovorí, že najdôležitejšou vecou, ​​ktorú môžete počas tohto medzičasu urobiť, je informovať IT, čo sa práve stalo. To môže spoločnosti pomôcť nielen zmierniť škody, ale môže tiež chrániť Vás. Okamžitá správa o Vašom stretnutí s phishingovým e-mailom môže tiež pomôcť pri stanovení vzdialenosti medzi skutočným incidentom a budúcou škodlivou aktivitou vychádzajúcou z Vašich účtov.

Ako znížiť riziko, že sa niekto stane „vinníkom“

Mnoho pracovníkov sa pochopiteľne pýta: „Prečo by to mal byť môj problém?“ V ideálnom prípade by nemal byť. Kalember tvrdí, že by malo byť zodpovednosťou spoločnosti filtrovať škodlivé e-maily, ale to by 100% fungovalo iba v ideálnom svete. Kým sa tento ideál nedosiahne, musia sa zamestnanci podieľať na obrane svojej organizácie. Washington Post navrhuje, ako môžu organizácie znížiť pravdepodobnosť toho, že sa niekto stane vinníkom zodpovedným za ransomvérový útok:

  • Vyškoľte zamestnancov, aby odhalili pokusy o phishing. Znamená to praktické, interaktívne školenie s pravidelnými cvičeniami. Čím dlhšie sú zamestnanci bez zaškolenia / preškolenia, tým horšie výsledky dosahujú pri odhaľovaní phishingových útokov. Metódy sa neustále vyvíjajú a rovnako by sa malo vyvíjať aj učebné osnovy výcviku. Tiež by to malo byť povinné pre každého zamestnanca, ktorý pracuje s internetom.
  • Overte svoju podnikovú e-mailovú doménu. Mala by blokovať podvodníkov v doručovaní správ z falošných alebo podozrivých domén.
  • Ujasnite si, čo by mali zamestnanci robiť, keď kliknú na podozrivý odkaz alebo prílohu – ak si zamestnanci nie sú istí, ako niečo nahlásiť, neurobia to. Kalember odporúča automatizované hlásenie, ktoré umožňuje zamestnancom hlásiť škodlivý e-mail kliknutím na tlačidlo.
  • Ponechajte priestor pre ľudskú chybu. Chyby sa stávajú, preto zvážte technológiu zameranú proti phishingu, ako sú vzdialené prehliadače, v ktorých sa adresy URL otvárajú v špeciálnom prostredí v cloude. Bez ohľadu na to, čo adresa URL obsahuje, nemôže byť kompromitujúca pre zamestnanca ani pre jeho zamestnávateľa.
  • Vykonávajte neustále testovanie bezpečnosti. Zraniteľnosť softvéru je ďalším spôsobom, ako môžu narušitelia získať prístup. IT tím vašej spoločnosti – alebo tretia strana – by mal aktívne hľadať hrozby vo vašej sieti.

Zdroj: Blog Proofpoint (ENG)

Pozor! Útočníci používajú obrázky vo phishingových e-mailoch

od autora:
phishingový útok

Pozor! Útočníci používajú obrázky vo phishingových e-mailoch

Moderné riešenia proti phishingu a antispam čoraz viac využívajú rôzne technológie strojového učenia. Používanie pokročilých technológií na analýzu textu sťažuje ich oklamanie, a preto sa útočníci rozhodli pre jednoduchý, ale efektívny trik: umiestnenie textu do obrázka. Potom vložia obrázok do tela správy pomocou kódovania Base64 (obrázky v e-mailových správach sú zvyčajne hostované na externom webe a poštoví klienti nenačítajú obrázky v e-mailoch od spoločností mimo firmy). Veľa takýchto phishingových obrázkových e-mailov sa snaží napríklad o ukradnutie prístupových údajov do služieb Microsoft Office 365.

Phishingový obrázkový e-mail

Ide v podstate o obrázok na bielom pozadí (splýva tak s predvoleným rozhraním Outlooku a väčšiny e-mailových služieb). Tu je typický príklad phishingového e-mailu tohto druhu:

phishing ako obrazok

Ako vždy by mal používateľ zvážiť, či sú jednotlivé prvky správy vhodné, normálne a hodnoverné. Jedným z aspektov, ktorý vyskočí, je formát. Neexistuje žiadny riadny dôvod na to, aby tento (alebo takmer akýkoľvek) e-mail bol obrázkom. Najmä automaticky generované správy, ako napríklad overenia účtu, používajú zásadne text. Kontrola, či je e-mail obrázkom alebo textom, je jednoduchá: umiestnite kurzor myši na hypertextový odkaz alebo tlačidlo a sledujte, či sa kurzor myši zmení – pri normálnom texte to bude možné, pri obrázku nie. V takom prípade však kliknutím kamkoľvek na obrázok už otvoríte hypertextový odkaz, pretože cieľová adresa URL je pripojená k obrázku, takže v podstate celý obrázok predstavuje jedno tlačidlo / hypertextový odkaz.

Ak si stále nie ste istý, skúste zvýrazniť časť textu alebo zmeniť veľkosť okna poštového klienta. Ak je to obrázok, nebudete môcť v ňom zvýrazniť žiadne slová a zmena veľkosti okna nespôsobí zmenu dĺžky riadkov textu.

Všeobecný štýl e-mailu tiež len ťažko dodáva dôveryhodnosť – rôzne písma a medzery medzi riadkami, nesprávne používanie interpunkčných znamienok a nespisovný jazyk sú všetko znakom podvodu. Ľudia samozrejme robia chyby, ale šablóny spoločnosti Microsoft ich zvyčajne nemajú. Ak v niektorom e-maily uvidíte toľko očividných chýb, ide pravdepodobne o phishing.

Posledný detail: Tvrdenie, že účet musí byť overený do 48 hodín, by malo tiež byť varovným signálom. Podvodníci sa často snažia prinútiť používateľov, aby podnikli neopatrné kroky v časovom strese.

Phishingové stránky

Ak sa predsalen prekliknete cez phishingový e-mail na URL odkaz, vyzerá stránka, na ktorú tento konkrétny odkazuje, ešte menej presvedčivo. Legálna stránka patriaca spoločnosti Microsoft by bola hostovaná na doméne spoločnosti Microsoft, ale banner „Vytvorte si svoj web pomocou WordPress.com“ jasne oznamuje, že stránka bola vytvorená na bezplatnej hostiteľskej platforme WordPress.

phishingovy web

Celkovo stránka nevyzerá vôbec presvedčivo, použité písma, obrázky a štylizácia vôbec nepripomínajú oficiálne stránky.
Niekedy sú stránky na ukradnutie údajov urobené presvedčivejšie a je menej nápadné, že ide o podvod. Preto je dobré byť v strehu už pri prvom kroku – doručenom falošnom e-maily.

Ako zostať v bezpečí

Spoľahlivé riešenie ochrany e-mailu deteguje phishingové e-maily na základe niekoľkých faktorov, nielen na základe analýzy textu. Preto odporúčame používať moderné mechanizmy ochrany pošty, ako napríklad Kaspersky Security pre Microsoft Office 365.

Na záver nezabudnite na nami opakovanú radu: Neustále podporujte medzi zamestnancami povedomie o kybernetickej bezpečnosti prostredníctvom školení . Čím lepšie ľudia pochopia spôsoby moderných IT hrozieb, tým menšia je pravdepodobnosť, že sa stanú obeťami phishingu.

Zdroj: Kaspersky blog

Najúspešnejšie phishingové šablóny za rok 2020

od autora:
phishing šablony štatistiky

Najúspešnejšie phishingové šablóny za rok 2020

Vzdelávate svojich zamestnancov v oblasti kybernetickej bezpečnosti o phishingu? Ak áno, tento blog je pre Vás a Váš prehľad o tom, aké typy šablón sa najviac používajú a či sú v skutočnosti aj najefektívnejšie. A ak náhodou ešte nie, určite Vám odporúčame pozrieť sa na naše možnosti školení v tejto tematike.

Ako môžete vidieť na grafoch nižšie, najviac využívané sú phishingové šablóny obsahujúce URL odkazy, v menšom zastúpení sú šablóny so zadávaním dát (osobných údajov) a úplne najmenšie % tvoria šablóny s prílohami. V skutočnosti sú ale užívateľmi najviac otvárané typy phishingu práve šablóny obsahujúce prílohy!

phishing šablony štatistiky

Organizácie by si mali zvoliť šablóny simulovaného phishingu, ktoré sa týkajú hrozieb z reálneho prostredia, ktorým ich používatelia s najväčšou pravdepodobnosťou čelia. Nemali by však ignorovať prvky kreativity a prekvapenia pri testovaní používateľov. Veľmi často sú to práve „odľahlejšie“ témy, ktoré sú najlákavejšie pre používateľov aby ich otvorili.

Pozrime sa napríklad na 10 najpoužívanejších a 10 „najlepších“ tém phishingových kampaní v roku 2020. V oboch kategóriách boli odoslané šablóny s týmito témami najmenej 2 300 používateľom (a v niektorých prípadoch mnohým ďalším).

Najpoužívanejšie témy phishingových kampaní:

  1. Nové oznámenie z Microsoft Teams
  2. Zdravotné riziko a upozornenie ohľadom koronavírusu
  3. Oznámenie o vypršaní platnosti hesla pre Office 365
  4. Deaktivácia starého účtu OneDrive
  5. Oznámenie o zdieľanom dokumente OneDrive
  6. Zľava do Starbucks
  7. Koronavírus – bezpečnostné informácie od WHO
  8. Upozornenie na novú hlasovú správu
  9. Upozornenie na veľký počet odstránených súborov z OneDrive
  10. UPS oznámenie o dodaní zasielky

Témy phishingových kampaní, ktorým najviac používateľov podľahlo:

  1. 1 mesiac streamovacích služieb Netflix pre zamestnancov zadarmo
  2. Zajednanie dovolenkovej zmluvy
  3. Starbucks pumpkin-spice sezóna zahájená
  4. Predaj lístkov na Letné Olympijské hry 2020
  5. Pripomenutie faktúry po splatnosti
  6. Výzva na aktualizáciu hesla Spotify
  7. Zmenka
  8. Porušenie dresscode
  9. Dostupnosť rúšok proti Covid-u a platobné plány pre podnikanie
  10. Oznámenie o porušení pravidiel

Aká bola miera zlyhania na vyššie uvedených témach? Blízko 100%! A phishing na zajednanie dovolenkovej zmluvy sa ukázala rovnako úspešná naprieč viacero jazykmi. Na porovnanie najvyššia miera zlyhania medzi najčastejšie používanými šablónami bola 21%.
Je tiež potrebné uviesť, že 6 z najchúlostivejších šablón boli phishingy založené na škodlivých prílohách. Ďalšie 4 boli phishingy založené na URL odkazoch – do zoznamu „najúspešnejších“ sa nedostali žiadne phishingové simulácie s potrebou zadania osobných údajov.

Zdroj: State of the Phish 2021 Report (Proofpoint)

Ako efektívne zabrániť interným hrozbám

od autora:
interne hrozby blog

Interné hrozby: ako sa efektívne brániť?

Problémom interných hrozieb  sme vás previedli už dávnejšie, dnes  Vám prinášame záverečnú časť tejto problematiky – riadene rizika vnútorných hrozieb. V poslednom blogu  sme sa zaoberali tým, či je Vaša spoločnosť na tieto hrozby pripravená – teraz sa pozrieme na to, čo by pre účinnú obranu proti tomuto problému mala robiť.

Interné hrozby sú čoraz väčším problémom zameraným na ľudí – Vašich zamestnancov. V minulom roku tieto hrozby stáli organizácie 11,45 milióna dolárov – čo je nárast o 31% za iba dva roky. Zistenie incidentov vnútorných hrozieb  môže byť náročné, pretože môžu zahŕňať zamestnancov, dodávateľov alebo partnerov. Nehovoriac o tom, že tri štvrtiny týchto incidentov sa stali náhodou.

Každý dobrý program na ochranu proti vnútorným hrozbám by  mal obsahovať kombináciu správnych politík,  postupov a procesov. Tu sú štyri základné súčasti, ktoré spadajú do týchto dvoch kategórií:

1. Vyšetrovanie a zmierňovanie hrozieb

Dôležitým aspektom každého programu na riadenie vnútorných hrozieb je schopnosť proaktívne zmierňovať vnútorné riziká. Organizácie najčastejšie reagujú na incidenty, ku ktorým už došlo, bez toho aby mali nejaký prehľad o možných rizikách predtým. Preto môže byť ťažké zistiť hlavnú príčinu incidentu – vyšetrovanie incidentov vnútorných hrozieb môže niekedy trvať týždne, mesiace alebo dokonca dlhšie.

Čím dlhšie vyšetrovanie trvá, tým je incident nákladnejší. Keďže interné hrozby zahŕňajú všetok personál, okrem IT tímov sú v týchto vyšetrovaniach zapojení všetci kľúčoví aktéri okrem iných aj personalisti, právni a riadiaci pracovníci.

Aktívne zníženie rizika vnútorných hrozieb znamená prehľad o používateľskej aj dátovej aktivite. Mnoho starších bezpečnostných nástrojov sa zameriava iba na dátovú časť problému. V skutočnosti sú to ľudia, čo presúvajú údaje. Jasné dôkazy o tom, kto čo kedy, kde a prečo mohol urobiť, môžu výrazne pomôcť pri vyšetrovaní. Ak je incident výsledkom chyby používateľa, tieto dôkazy môžu rovnako očistiť nevinných ľudí, ktorí sa len snažili vykonávať svoju prácu a žiadny únik informácií neplánovali.

2. Správa a politika

Dôkladný program začína jasne definovanou firemnou politikou. Je nevyhnutné zabezpečiť, aby tejto politike mohol ľahko porozumieť ktokoľvek v organizácii – vrátane externých dodávateľov alebo partnerov, ktorí pracujú s citlivými údajmi. Pravidelné školenie o zvyšovaní povedomia o bezpečnosti môže pomôcť posilniť túto politiku u používateľov (o tom si však ešte povieme neskôr).

Ďalšou vrstvou riadenia je interný plán, ktorý určuje reťazec velenia pri vyšetrovaní incidentov. Tieto zásady a postupy by mali zjednocovať aspekty bezpečnosti pri porušení/úniku dôverných informácií zo strany interných osôb s personálnymi povinnosťami organizácie. Mali by tiež všade, kde je to možné, brať do úvahy súkromie používateľov.

3. Preverenia zamestnancov

Preverenia potenciálnych zamestnancov minulosti boli štandardným operačným postupom pre mnoho organizácií v procese prijímania nových kolegov. Komplexná kontrola predchádzajúcich pracovných skúseností so zamestnancom môže odhaliť mnoho potenciálnych predchodcov vnútornej hrozby. Takéto kontroly môžu tiež pomôcť tímom ľudských zdrojov lepšie sa rozhodnúť o prijatí do zamestnania v súlade s právnymi protokolmi. Rozsah takýchto previerok je však obmedzený, a nie je jednoduché sa dostať k správnym informáciám.

V skutočnosti môžu byť ešte účinnejšie pravidelné kontroly na základe správania a sentimentu zamestnancov. Potenciálnymi indikátormi vnútorných hrozieb môžu byť napríklad finančný stres, nespokojnosť s prácou a podobné problémy s pracoviskom.

4. Školenia pre zvyšovanie povedomia

Vaši ľudia sú prvou líniou obrany proti vnútorným rizikám. Aj keď sa určité typy základného povedomia o bezpečnosť vzťahujú na všetkých zasvätených (zamestnancov, partnerov a dodávateľov), mali by ste sa usilovať aj o prispôsobenie svojho školenia. Napríklad privilegovaní používatelia IT by mali dostať inú úroveň školenia ako priemerný zamestnanec na základe samotnej úrovne prístupu.

Cieľom školenia by malo byť, aby sa Vaši používatelia dostali ďalej, než len do povedomia o bezpečnostných politikách a problémoch, ale aby ste ich skutočne vzdelávali. Používatelia by mali dostať pokyny, prečo a ako hodnotiť riziká a bezpečnostné dôsledky rôznych situácií. Bezpečnostný tím by mal tiež overiť, či pracovníci vedia, ako pri každodennom výkone používať osvedčené postupy v oblasti zabezpečenia.

Zdroj: Proofpoint blog (ENG)

50 štatistík o phishingu – časť II.

od autora:
blog štatistiky

50 štatistík o phishingu, ktoré by Vás v roku 2021 mali zaujímať - časť II.

Dnes Vám prinášame pokračovanie zaujímavých štatistík a faktov o phishingu, zozbieraných spoločnosťou Expert Insights, ktoré Vám môžu pomôcť udržať si aktuálny prehľad. V tejto časti sa bližšie pozrieme na to, akú sú pre spoločnosti najčastejšie dôsledky týchto útokov a aj ako sa proti nim brániť.

Dopady phishingového útoku

Phishingové útoky môžu byť pre organizácie, ktoré sa stanú ich obeťou, zničujúce, a to viacerými spôsobmi. Začnime skúmaním finančných dôsledkov pádu na návnadu.

Finančné náklady pri porušení ochrany údajov

Podľa IBM sú priemerné náklady na incident porušenia ochrany údajov 3,86 milióna dolárov. To je o niečo menej v porovnaní s predchádzajúcim rokom, nemalo by Vás to však viesť k domnienke, že narušenie ochrany údajov je finančne nenáročné. Realita je úplne opačná: štúdia IBM ukazuje rastúcu tendenciu, pokiaľ ide o náklady na narušenie v organizáciách s pokročilejšími bezpečnostnými procesmi a aj tých, ktoré majú zavedených menej procesov.

Ďalej spoločnosť IBM zistila, že osobné identifikačné údaje zákazníkov (PII) sú najčastejšie kompromitovaným typom údajov a sú aj najnákladnejšie. 80% organizácií, ktoré podľahli útoku, nahlásilo stratu PII zákazníkov v roku 2020 .

IC3 zistil, že phishingové podvody patria medzi najnákladnejšie kybernetické útoky, pričom americké podniky utrpeli straty vo výške viac ako 54 miliónov dolárov.

Toto sú dosť veľké čísla na predstavu – a tak to znížme na úroveň jednotlivých firiem: podľa APWG stál v Q2 2020 priemerný pokus o BEC útok s pokusom o prevod viac ako 80 000 dolárov – čo je obrovský nárast oproti 54 000 dolárov, nahlásených v 1. štvrťroku.

Záver? Phishingové útoky sú drahé a tieto náklady sa iba zvyšujú.

Dôsledky porušenia

Proofpoint vysvetľuje dôsledky úspešného phishingového útoku rozdelením do nasledujúcich kategórií:

  • Prestoje používateľov
  • Čas nápravy
  • Poškodenie dobrého mena
  • Strata duševného vlastníctva
  • Priame peňažné straty
  • Pokuty za dodržiavanie predpisov
  • Náklady na reakciu a nápravu
  • Strata výnosov a zákazníkov
  • Právne poplatky

Finančné straty však nie sú jediným dopadom, ktorý môže mať phishingový útok na Vašu organizáciu. Štúdia spoločnosti Proofpoint sa pýtala vedúcich pracovníkov na dôsledky úspešných phishingových útokov a iba 18% z nich uviedlo ako najhorší dopad finančnú stratu.
Ostatné hlavné  dôsledky boli tieto:

  • Stratené údaje (60%)
  • Napadnuté účty alebo poverenia (52%)
  • Ransomvérové ​​infekcie (47%)
  • Malvérové ​​infekcie (29%)

Takže 60% vedúcich pracovníkov považovalo stratu údajov za najväčší dôsledok pokusu o phishing, ale čo strata údajov konkrétne znamená? Podľa spoločnosti Verizon ide o najbežnejšie typy údajov, ktoré sú napádané, kradnuté a následne zneužívané:

  • Poverovacie údaje – napríklad používateľské mená a heslá.
  • Osobné údaje – ako sú adresy a telefónne čísla.
  • Interné údaje – napríklad údaje o predaji.
  • Lekárske údaje – ako napríklad informácie o poistných udalostiach.
  • Bankové údaje – napríklad informácie o kreditnej karte.

Dopady phishingového útoku

V minulom roku došlo k masívnym zmenám spôsobu našej práce – od migrácie z kancelárií a rýchlej digitálnej transformácie až po zvýšenie využívania technológií AI. Mnoho z týchto zmien bolo urýchlených pandémiou COVID-19 a je zrejmé, že koronavírus a následný globálny prechod na prácu na diaľku mali obrovský vplyv na útoky, ktorým čelíme.

Podľa organizácie Barracuda Networks medzi februárom a marcom 2020, keď sa organizácie počas prvej vlny pandémie usilovali umožniť svojim zamestnancom prácu z domu, počet phishingových e-mailov stúpol o ohromujúcich 667%.

Tento vrchol odzrkadľuje výskum spoločnosti Abnormal Security, ktorý hlási obrovský nárast útokov s tematikou COVID-19 od prvého štvrťroka, pričom týždenný objem kampaní sa medzi prvým a druhým štvrťrokom ďalej zvyšoval o 389%. Avšak v Q3 došlo k poklesu počtu kampaní spojených s COVID-19, podvodníci namiesto toho uprednostňovali útoky založené na podvodoch s faktúrami a platbami. Počas celého Q3 sa počet útokov BEC na faktúry a platby zvýšil o 81%.

IBM tiež hlási 11% nárast počtu útokov BEC v Q2, pretože hackeri využili v prospech scenáre vzdialenej práce. Okrem zvýšenia objemu útokov na pracovníkov aj práca na diaľku samotná zvýšila celkové priemerné náklady na porušenie ochrany údajov o takmer 137 000 dolárov, čo ich zvýšilo až na 4 milióny dolárov.

A tu štatistiky stále nekončia! V USA IC3 uvádza, že v roku 2020 prijali viac ako 28 500 sťažností týkajúcich sa témy COVID-19. Tieto sťažnosti hlásia útoky zamerané na zákony o pomoci, úľave a hospodárskej bezpečnosti počas pandémie (zákon CARES), ktorý sa počas pandémie usiloval o podporu malých podnikateľov. Tieto útoky sa konkrétne zameriavali na poistenie v nezamestnanosti, pôžičky na ochranu proti výplatám (PPP) a pôžičky na problémy súvisiace s ekonomickým zranením pre malé podniky.

Bohužiaľ, obrovské množstvo týchto útokov bolo úspešných. Viac ako štvrtina podnikateľov utrpela narušenie bezpečnosti spôsobené kybernetickým útokom, pretože sa viac obchodov uskutočňovalo online. Výsledkom je, že 76% vlastníkov firiem tvrdí, že sa od začiatku pandémie cítia viac vystavení podvodom, a 66% tvrdí, že majú obavy z toho, že budú terčom podvodníkov v priebehu roku 2021.

Správa spoločnosti Microsoft New Future work ukazuje podobné výsledky a uvádza, že 80% bezpečnostných profesionálov zaznamenalo od prechodu na prácu na diaľku nárast bezpečnostných hrozieb. Z týchto 80% až 62% uvádza, že phishingové kampane sa zvýšili viac ako akýkoľvek iný typ hrozby.

Tieto obavy a skúsenosti nie sú neopodstatnené ani neopodstatnené: Zscaler zistil, že len medzi januárom a marcom sa počet blokovaných podozrivých správ zameraných na vzdialených pracovníkov zvýšil o 30 000% – áno, to je tridsaťtisíc – a že počet COVID-19 zameraných phishingových útokov vzrástlo o 667%.

Ako môžete chrániť svoje podnikanie pred phishingovými útokmi?

Bohužiaľ neexistuje jednokroková nepriestrelná ochrana pred phishingom. Odporúčame k ochrane pred phishingom zaujať viacvrstvový prístup implementáciou rady technických riešení a aj riešení zameraných na zamestnancov. Vaša hlavná ochrana by mala pozostávať z:

Secure e-mail gateaway

Zabezpečené e-mailové brány (SEG) monitorujú prichádzajúce a odchádzajúce e-maily Vašich zamestnancov a skenujú ich, či neobsahujú škodlivý obsah. Ak SEG zistí akékoľvek spamové, phishingové alebo malvérové ​​hrozby, umiestni e-mail do karantény alebo blokuje tak, aby sa nikdy nedostal k určenému príjemcovi.

Aj keď sú však SEG veľmi účinné pri blokovaní spamu a tradičných pokusov o phishing, sofistikované útoky typu phishing sa im môžu vyhnúť tak, že sa vydávajú za známych, dôveryhodných odosielateľov. Na ochranu vašich údajov pred vnútornými hrozbami musíte implementovať riešenie, ktoré chráni každého používateľa na individuálnej úrovni.

Školenie o povedomí o kybernetickej bezpečnosti

Aj keď sú Vaši zamestnanci srdcom Vašej organizácie, sú zároveň Vašou najväčšou zraniteľnosťou. Školiace platformy na zvyšovanie povedomia o bezpečnosti a školiace a simulačné platformy na zvyšovanie povedomia o phishingu poskytujú programy pútavých materiálov v kombinácii so simulovanými phishingovými kampaňami, vďaka ktorým sa Vaši zamestnanci dostanú z potenciálnych cieľov útokov do silnej obrannej línie proti útokom.

Silný vzdelávací program môže mať obrovský vplyv na spôsob, akým vaši zamestnanci reagujú na pokusy o phishing. Nedávna správa spoločnosti Cofense  zistila, že zamestnanci, ktorí absolvovali školiaci program zameraný na zvyšovanie povedomia o bezpečnosti, oveľa pravdepodobnejšie nahlásia podozrivý e-mail ako tí, ktorí tak neurobili, čo výrazne skracuje dobu zdržania phishingového e-mailu – tj. čas na detekciu a nápravu útoku.

Štúdia spoločnosti Cofense, ktorá analyzovala milióny výsledkov z ich vlastných simulovaných phishingových kampaní, zistila, že 82% vyškolených zamestnancov nahlásilo simulovaný phishing do hodiny od jeho prijatia, 52% ho nahlásilo do 5 minút a 19% do 30 sekúnd.

Úspešnosť školení zameraných na zvyšovanie povedomia ďalej podporuje výskum spoločnosti KnowBe4, ktorý zistil, že po absolvovaní jedného roku školenia o zvýšení povedomia o phishingu bola priemerná miera zlepšenia vo všetkých odvetviach a veľkostiach organizácií 87%.

Zdroj článku (ENG): expertinsights.com

Kubesploit – nový efektívny nástroj na testovanie kontajnerových prostredí

od autora:
blog kyberneticka bezpecnost

Kubesploit - nový efektívny nástroj na testovanie kontajnerových prostredí

Dnes by sme Vám radi predstavili nový open-source nástroj Kubesploit na testovanie prostredí Kubernetes. Ide o full framework  určený pre Kubernetes, ktorý má pomáhať pentesterom a členom Red Team-u pri vykonávaní komplexných a hĺbkových testov, ktoré napodobňujú scenáre útokov v reálnom svete, ktoré ohrozujú mnoho organizácií na celom svete.

Pretože čoraz viac organizácií používa vo svojej architektúre mikroslužby a kontajnery  , Kubernetes je stále populárnejší. Podľa prieskumu Cloud Native Computing Foundation (CNCF) viac ako 84% organizácií prevádzkuje kontajnery vo sovojom produkčnom prostredí a viac ako 78% sa spolieha na Kubernetes pri orchestrácií kontajnerov. Popularita tejto technológie vyžaduje, aby útočníci zdokonalili svoje schopnosti Kubernetes.

Aby sa dali chrániť klastre Kubernetes pred útokmi, museli vývojári čeliť výzvam cieľovej technológie a organizáciám, ktoré bývajú napadané. Väčšina nástrojov, ktoré sú dnes k dispozícii, je zameraná na pasívne skenovanie zraniteľností v klastri a chýba komplexnejšie pokrytie vektormi útokov. Tieto nástroje Vám môžu umožniť vidieť problém, ale ďalej ho hlbšie neskúmajú.
Je dôležité spustiť exploit na simuláciu útoku v reálnom čase, aby ste vedeli určili odolnosť proti takémuto útoku v celej Vašej sieti. Pri využívaní testovacie útoku si precvičíte manažovanie kybernetických udalostí organizácie, čo sa nestane len pri skenovaní problémov. A práve to môže pomôcť organizácii naučiť sa, ako pracovať, keď dôjde k skutočným útokom, zistiť, či jej ďalšie detekčné systémy fungujú podľa očakávaní, a pochopiť, aké zmeny by sa mali vo svojom systéme vykonať. Preto bol vytváraný nástroj, ktorý by spĺňal tieto požiadavky.

Boli ale aj ďalšie dôvody na vytvorenie takéhoto nástroja. Tím CyberArk Labs už má dva nástroje typu open-source (KubiScan a kubeletctl) súvisiace s Kubernetes, a chceli vytvoriť ešte ďalšie nástroje pre tieto prostredia. Namiesto vytvorenia projektu pre každý z nich ale usúdili, že by bolo lepšie vytvoriť jediný centralizovaný nástroj, ktorý vznikol pre spoločnosť Kubesploit.

Kubesploit je framework vytvorený v Golangu a postavený na projekte Merlin (od Russel Van Tuyl), multiplatformového post-exploitačného servera a agenta HTTP / 2 Command & Control. Merlin má tiež spôsob, ako dynamicky pridávať nové moduly, čo nám umožňuje vytvárať príslušné moduly pre Kubernetes.

Čo je nové

Spoločnosť CyberArc chcela, aby sa dali dynamicky načítať nové moduly, ktoré bežia v agentovi, a stále udržať agenta nenáročným a flexibilným. Preto do Kubesploit pridali „Go Interpeter“  s názvom „Yaegi“. Vďaka tejto schopnosti je možné zapísať nové moduly Golang za chodu a spúšťať ich, kým je agent stále v prevádzke. Podpora kódu Golang môže umožniť písanie zložitých kódov a integrovať výhody už zapísané v Go. To tiež uľahčuje open-source komunite prispievať novými modulmi a skutočnosť, že Kubernetes bol tiež napísaný v Golangu, môže umožniť ľahšiu integráciu súvisiacich častí kódu.

Vyvinuli aj nové moduly súvisiace s vektormi útoku v kontajnerizovanom prostredí, ako je napríklad únik z kontajneru na hostiteľa, útok kubelet, skenovanie známych chýb zabezpečenia v klastri a skenovanie služieb a portov. V budúcnosti plánujú pridať ďalšie moduly a podporiť príspevky pre nové moduly týkajúce sa Kubernetes a kontajnerizovaného prostredia všeobecne.

Kubesploit prostredie

CVE scan module output

Udržiavanie bezpečnosti

Hlavným cieľom je prispieť k zvýšeniu povedomia o bezpečnosti kontajnerizovaného prostredia a zlepšeniu opatrení implementovaných v rôznych sieťach. Cieľom je dosiahnuť toto všetko prostredníctvom frameworku, ktorý poskytuje príslušné nástroje pre tímy penetračného testovania a Red Team-y počas ich aktivít v týchto prostrediach.
Ako to urobiť  spočíva v zaujatí veľmi jasného a zodpovedného pohľadu na používanie týchto nástrojov v bezpečnostnej komunite. Preto bolo pre CyberArc dôležité udržiavať ho v maximálnej možnej miere bezpečný. Preto (tu máme 2.x preto) zverejnili nástroj s 3-krokovou ochranou, ktorý má pomôcť zaistiť legitímne použitie Kubesploit.

Prvým krokom z nej sú techniky zmierňovania a tipy pripojené ku každému modulu na ochranu pred vektormi útoku, ktorý je demonštrovaný.
Druhým krokom sú pravidlá YARA na zachytávanie binárnych súborov, ktoré súvisia s Kubesploit. To by malo pomôcť nájsť akékoľvek použitie binárnych súborov Kubesploit pri skutočnom útoku, a nie ako súčasť legitímneho penetračného testovania.
Tretím krokom je integrácia IoC do kódu, ktorý zaznamenáva aktivitu. Agent zapisuje svoju činnosť do stroja, z ktorého beží. Akékoľvek pokyny odoslané serverom zaznamenáva agent a ukladajú sa lokálne, čo by malo pomôcť pri ďalšom vyšetrovaní.

Rýchly štart

Dúfame, že ste z tohto nástroja rovnako nadšení ako my! A neexistuje lepší spôsob, ako sa naučiť niečo nové, ako si to trochu vyskúšať.

CyberArk vytvorili sme vyhradené prostredie Kubernetes v Katacode, kde môžete experimentovať s Kubesploit. Je to úplná simulácia s kompletnou sadou automatizovaných pokynov na používanie Kubesploit.
Odporúčame vám, aby ste to vyskúšali!

Viac informácií nájdete na stránke Kubesploit GitHub.

Zdroj: CyberArk Blog (ENG)

Ukončenie podpory ESET produktov ochrany e-mailu

od autora:
email ochrana blog

Ukončenie podpory ESET ochrany e-mailu/gateway pre Linux servery

Prevádzkujete svoj poštový server na Linuxe a boli ste do tohto momentu používateľmi e-mail/gateaway ochrany od spoločnosti ESET? Z dôvodu ukončenia podpory týchto produktov budete zrejme musieť siahnuť po inej kvalitnej alternatíve – a my Vám ju radi pomôžeme vybrať!

Spoločnosť ESET v marci oznámila, že ku koncu roka 2021 prestane predávať a poskytovať podporu produktov ESET Mail Security pre Linux/ BSD a ESET Gateway Security pre Linux/ BSD a momentálne žiaľ neponúka žiadnu inú vhodnú alternatívu.

E-mailové účty sú najlákavejším a najčastejším cieľom kybernetických útokov. Ochrana Vášho e-mailu je dôležitá, nakoľko e-mailová komunikácia môže byť zneužitá na niekoľko účelov, od bezohľadného marketingu založeného na nevyžiadanej pošte až po finančný podvod alebo distribúciu škodlivého softvéru. Vďaka implementovaniu ochrany Vášho poštového serveru môžete chrániť svojich ľudí, dáta a dobré meno vašej firmy pred dnešnými kybernetickými hrozbami, ako napríklad: phishing, malware, spam či hromadné maily.

Našťastie existujú overení výrobcovia podobných riešení pre ochranu e-mailových serverov podporujúcich aj poštové servery Linux, ktorých kvalitné produkty máme u nás v ponuke:

Proofpoint Email Protection

Proofpoint ochrana e-mailu

Robustná antispamová a viacvrstvová antivírusová ochrana od spoločnosti Proofpoint Vám pomôže zabezpečiť a kontrolovať prichádzajúce a odchádzajúce e-maily prostredníctvom ľahko použiteľného cloudového riešenia. Spoločnosť Gartner (už 7 rokov) a spoločnosť Frost & Sullivan (už 5 rokov) v rade uznávajú spoločnosť Proofpoint ako lídra na globálnom trhu s bezpečnosťou e-mailov.

Kaspersky Security for Mail Server

ochrana emailu

Kvalitné riešenie od spoločnosti Kaspersky, ktoré zabezpečuje filtrovanie nevyžiadanej prichádzajúcej pošty a blokovania škodlivých e-mailov všetkých typov. Server Kaspersky Security for Mail Server obsahuje neustále obohacovaný balík technológií podporovaných umelou inteligenciou a vynikajúcu úroveň ochrany, ktorá sa neustále potvrdzuje v nezávislých výsledkoch testov a oceneniach.

Útoky na OneDrive a SharePoint

od autora:
Data protection

Útoky na OneDrive a SharePoint - ako vyzerajú a ako sa proti nim brániť?

Kybernetickí útočníci pozorne sledujú podnikovú migráciu do cloudového prostredia, či už z dôvodu pokroku alebo pandémie. Snažia sa preto kompromitovať a preberať používateľské účty, aby sa mohli voľne pohybovať v rámci organizácie, odcudziť jej údaje alebo komunikovať v jej mene s obchodnými partnermi či zákazníkmi a žiadať ich o rôzne podvodné bankové prevody.

Na hosťovanie a distribúciu škodlivého obsahu používajú práve cloudovú a e-mailovú infraštruktúru. Útočníci využívajú kontakty používateľov a po úspešnom útoku si môžu prechádzať ich e-maily, aby porozumeli vzťahom dôvery a mapovali si tak organizácie.

Len v prvej polovici roku 2020 Proofpoint identifikoval až 5,9 milióna e-mailových správ so škodlivými odkazmi na SharePoint Online a OneDrive. Aj keď tieto správy tvorili asi iba 1% z celkovej vzorky phishingových správ, predstavovali viac ako 13% kliknutí používateľov. Vyvodiť sa z toho dajú tieto tvrdenia:

  • 4-krát vyššia pravdepodobnosť, že užívatelia kliknú na škodlivé odkazy na SharePoint
  • 11-krát vyššia pravdepodobnosť, že užívatelia kliknú na škodlivé odkazy na OneDrive

Škodlivé odkazy na SharePoint / OneDrive a životný cyklus prevzatia účtu

Útoky môžu byť teraz častejšie a efektívnejšie ako kedykoľvek predtým, keďže využívajú spôsob, akým moderní zamestnanci pracujú, napríklad zdieľanie súborov. Výskum spoločnosti Proofpoint v skutočnosti ukazuje, že u používateľov je sedemkrát vyššia pravdepodobnosť, že kliknú na škodlivé odkazy na SharePoint Online alebo OneDrive, ktoré sú hostované na legitímnych doménach spoločnosti Microsoft.

Phishing na SharePoint sa zvyčajne začína kompromitáciou cloudového účtu. Keď už má útočník kontrolu nad účtom, nahrá škodlivý súbor a potom zmení povolenia na zdieľanie súboru na „Verejné“, aby bolo možné zdieľať nový anonymný odkaz s kýmkoľvek. Útočník pošle odkaz e-mailom alebo ho zdieľa s kontaktmi používateľa, ktorého účet kompromitoval alebo aj s inými zacielenými účtami, vrátane externých. Keď príjemcovia otvoria súbor a kliknú na vložený škodlivý odkaz, dôjde k phishingu, ktorý znova spustí celý cyklus. Tieto útoky môžu viesť k krádeži údajov alebo aj väčším podvodom.

Príklad PDF

V príklade nižšie dostal používateľ e-mail so zdieľaným odkazom na súbor PDF (INV_1100110.pdf), ktorý vyzerá ako faktúra. Keď používateľ klikne na odkaz v súbore pdf, bude presmerovaný na phishingový web, ktorý je falošnou prihlasovacou stránkou služby OneDrive.

Sharepoint phishing

Niekedy môže byť odkazom v zdieľanom dokumente jedinečná URL, a preto môže byť ťažké zistiť jej podvodnosť, pretože by sa nenašla v žiadnom archíve reputácie URL adries.

Príklad OneNote

Tu je príklad útoku, ktorý používa SharePoint na hosťovanie škodlivého súboru OneNote vydávajúceho sa za hlasovú poštu:

OneNote Voice príklad

Škodlivé súbory OneNote môžu byť tiež náročné na detekciu, pretože sa nedajú stiahnuť a izolovať na karanténe. Detekcia si vyžaduje ďalší krok – web-scraping pred tým ako môžu byť vložené odkazy analyzované.

Príklad formulára Microsoft 365 sady

OneDrive Document príklad
Onde drive portal phishing

V tomto príklade je zdieľaný dokument Word s odkazom na verejne zdieľaný súbor Microsoft Forms (falošná prihlasovacia stránka), ktorý sa používa na získavanie poverení služieb Office 365. Vzhľadom na to, že tento útok využíva legitímne služby spoločnosti Microsoft, predstavuje väčšiu výzvu pre detekciu a ešte ťažšie ho blokovať/zmierniť, ak vám chýba celkový prehľad Vášho e-mailového aj cloudového prostredia.

Napádané platformy

SharePoint Online a OneDrive samozrejme nie sú jedinými doménami služieb spolupráce, ktoré sú zneužívané útočníkmi. Nasledujúci graf zobrazuje zoznam 10. najnapádanejších domén, kliknutím na škodlivé odkazy hostovaných na týchto doménach, v prvej polovici roka. Zaujímavou je služba Sway, keďže je to nová aplikácia spoločnosti Microsoft na vytváranie a zdieľanie interaktívneho obsahu, ako sú správy a newsletters. Druhým je úložisko Googleapis, čo je služba hostovania súborov (napríklad softvérových opráv), ktorú útočníci používajú na podvody technickej podpory.

phishing sharepoints blog

Ochrana pred hybridnými e-mailovými a cloudovými hrozbami

Na obranu proti hybridným útokom, ako je phishing na SharePoint a OneDrive, musia organizácie získať prehľad naprieč e-mailovými a cloudovými hrozbami a holisticky riešiť takéto reťazce útokov. Musia pochopiť riziko napadnutia svojich zamestnancov a hrozby ktoré pre vašu organizáciu predstavujú. Základné otázky, ktoré by si mala každá spoločnosť klásť sú asi tieto:

  • Na koho sa hrozby zameriavajú najviac?
  • Aké techniky sa používajú na útok na používateľov?
  • Kto klikol na škodlivé odkazy?
  • Ktorí používatelia sú náchylní na klikanie?
  • Ktoré účty sú napadnuté?
  • Ktoré napadnuté účty vykazujú podozrivú aktivitu so súbormi?

Proofpoint Targeted Attack Protection a CASB prinášajú vhodný prístup zameraný na ohrozených ľudí k zabezpečeniu e-mailov a cloudov a bránia cloudové účty proti takýmto útokom pomocou pokročilých analýz, ako sú:

  • Prediktívne sandboxovanie e-mailových správ s odkazmi od služieb pre spoluprácu, ako sú SharePoint, OneDrive, Disk Google, Dropbox atď.
  • Adresy URL sú prepísané tak, aby chránili používateľov v akomkoľvek zariadení alebo sieti a tiež poskytovali karanténu v reálnom čase pri každom kliknutí
  • Odhalenie a náprava napadnutého účtu
  • Adaptívne kontroly prístupu, ktoré zabraňujú neoprávnenému prihláseniu alebo vynútia viacfaktorové overenie
  • Zistenie a zmiernenie aktivity po prevzatí súboru a aktivita poštovej schránky

Pomôcť Vám môže taktiež výcvik zvyšovania povedomia o kybernetickej bezpečnosti od Proofpointu, ktorý Vám navyše poskytuje cielené vzdelávanie, ktoré zaisťuje správne budúce reakcie  používateľov v prípade sofistikovaných útokov, ako sú phishing typu SharePoint a OneDrive.

Zdroj: Proofpoint blog (ENG)