eWAY s.r.o.

Ransomvér: ako sa k vám dostane a ako sa proti nemu včas ochrániť?

Data protection

Ransomvér: ako sa k vám dostane a ako sa proti nemu včas ochrániť?

Jeden z dôvodov, prečo je ransomvér taký zničujúci, je, že namiesto slabých miest v sieti sa často zameriava na slabé miesta u ľudí. Uznávajúc túto skutočnosť, denník The Washington Post nedávno urobil rozhovor s EVP spoločnosti Proofpoint pre stratégiu kybernetickej bezpečnosti Ryanom Kalemberom o kritickej úlohe, ktorú môžu zamestnanci hrať pri predchádzaní ransomvérovým útokom pri práci. Kalember ponúkol svoje postrehy o tom, prečo je útok ransomvéru úspešný, na koho je zameraný a čo sa s tým dá robiť:

Ako to funguje?

Ransomvér sa zvyčajne začína ako prispôsobený e-mail odoslaný konkrétnemu cieľu v spoločnosti. E-mail často odkazuje na určité záujmy alebo preferencie, ktoré môže mať zamestnanec podľa identifikačného prieskumu jeho sociálnych médií pred útokom. Pretože ľudia radi čítajú o svojich záujmoch alebo o nich počúvajú od podobne zmýšľajúcich ľudí, vždy sa tým zvyšuje „otvorenosť“ e-mailu a potenciálne poškodenie. E-maily však nie sú náhodne zamerané na ľudí.

Z denníka The Washington Post: „V závislosti od ich rolí v spoločnosti nájdu niektorí zamestnanci svoje schránky doručenej pošty zahltené stovkami phishingových e-mailov určených na ukradnutie prístupov príjemcu,“ hovorí Kalember. Proofpoint historicky spája pokusy o ransomvér zamerané na zamestnancov s titulmi ako účtovníci, CEO alebo podobne zameraných zamestnancov. Ak má niekto prístup k privilegovaným informáciám, budú na neho skôr či neskôr zamerané podvodné e-maily.

Pokazil som to, čo teraz?

Povedzme, že ste zamestnanec sediaci vo svojej kancelárii alebo doma na home-office a nadávate si, pretože ste práve zdieľali citlivé informácie s niekým, kto sa vydával za Vášho riaditeľa. Alebo ste možno boli podvedení kliknutím na podvodný odkaz, ktorý môže ale aj nemusí viesť k budúcemu poškodeniu organizácie. Mali by ste iba predstierať, že sa to nestalo a dúfať, že sa nepríde na to, že za to môžete práve vy?
Rýchla odpoveď je – určite nie.

“Toto je často prvá reakcia a nie je to ideálne,” hovorí Kalember. “Keď podľahnete nejakému podvodu, útočník má stále nejaké časové obdobie, v ktorom musí zistiť, čo za informácie práve dostali a či vôbec stojí za to to využiť.”

Tento časový interval, medzi Vašou chybou a útočníkmi, ktorí rozhodujú o tom, ako na tom zarobiť, je to, čo bezpečnostný priemysel nazýva „čas zotrvania“, čas, ktorý môže „podporiť“ alebo zneškodniť útok. Kalember hovorí, že najdôležitejšou vecou, ​​ktorú môžete počas tohto medzičasu urobiť, je informovať IT, čo sa práve stalo. To môže spoločnosti pomôcť nielen zmierniť škody, ale môže tiež chrániť Vás. Okamžitá správa o Vašom stretnutí s phishingovým e-mailom môže tiež pomôcť pri stanovení vzdialenosti medzi skutočným incidentom a budúcou škodlivou aktivitou vychádzajúcou z Vašich účtov.

Ako znížiť riziko, že sa niekto stane „vinníkom“

Mnoho pracovníkov sa pochopiteľne pýta: „Prečo by to mal byť môj problém?“ V ideálnom prípade by nemal byť. Kalember tvrdí, že by malo byť zodpovednosťou spoločnosti filtrovať škodlivé e-maily, ale to by 100% fungovalo iba v ideálnom svete. Kým sa tento ideál nedosiahne, musia sa zamestnanci podieľať na obrane svojej organizácie. Washington Post navrhuje, ako môžu organizácie znížiť pravdepodobnosť toho, že sa niekto stane vinníkom zodpovedným za ransomvérový útok:

  • Vyškoľte zamestnancov, aby odhalili pokusy o phishing. Znamená to praktické, interaktívne školenie s pravidelnými cvičeniami. Čím dlhšie sú zamestnanci bez zaškolenia / preškolenia, tým horšie výsledky dosahujú pri odhaľovaní phishingových útokov. Metódy sa neustále vyvíjajú a rovnako by sa malo vyvíjať aj učebné osnovy výcviku. Tiež by to malo byť povinné pre každého zamestnanca, ktorý pracuje s internetom.
  • Overte svoju podnikovú e-mailovú doménu. Mala by blokovať podvodníkov v doručovaní správ z falošných alebo podozrivých domén.
  • Ujasnite si, čo by mali zamestnanci robiť, keď kliknú na podozrivý odkaz alebo prílohu – ak si zamestnanci nie sú istí, ako niečo nahlásiť, neurobia to. Kalember odporúča automatizované hlásenie, ktoré umožňuje zamestnancom hlásiť škodlivý e-mail kliknutím na tlačidlo.
  • Ponechajte priestor pre ľudskú chybu. Chyby sa stávajú, preto zvážte technológiu zameranú proti phishingu, ako sú vzdialené prehliadače, v ktorých sa adresy URL otvárajú v špeciálnom prostredí v cloude. Bez ohľadu na to, čo adresa URL obsahuje, nemôže byť kompromitujúca pre zamestnanca ani pre jeho zamestnávateľa.
  • Vykonávajte neustále testovanie bezpečnosti. Zraniteľnosť softvéru je ďalším spôsobom, ako môžu narušitelia získať prístup. IT tím vašej spoločnosti – alebo tretia strana – by mal aktívne hľadať hrozby vo vašej sieti.

Pozor! Útočníci používajú obrázky vo phishingových e-mailoch

phishingový útok

Pozor! Útočníci používajú obrázky vo phishingových e-mailoch

Moderné riešenia proti phishingu a antispam čoraz viac využívajú rôzne technológie strojového učenia. Používanie pokročilých technológií na analýzu textu sťažuje ich oklamanie, a preto sa útočníci rozhodli pre jednoduchý, ale efektívny trik: umiestnenie textu do obrázka. Potom vložia obrázok do tela správy pomocou kódovania Base64 (obrázky v e-mailových správach sú zvyčajne hostované na externom webe a poštoví klienti nenačítajú obrázky v e-mailoch od spoločností mimo firmy). Veľa takýchto phishingových obrázkových e-mailov sa snaží napríklad o ukradnutie prístupových údajov do služieb Microsoft Office 365.

Phishingový obrázkový e-mail

Ide v podstate o obrázok na bielom pozadí (splýva tak s predvoleným rozhraním Outlooku a väčšiny e-mailových služieb). Tu je typický príklad phishingového e-mailu tohto druhu:

phishing ako obrazok

Ako vždy by mal používateľ zvážiť, či sú jednotlivé prvky správy vhodné, normálne a hodnoverné. Jedným z aspektov, ktorý vyskočí, je formát. Neexistuje žiadny riadny dôvod na to, aby tento (alebo takmer akýkoľvek) e-mail bol obrázkom. Najmä automaticky generované správy, ako napríklad overenia účtu, používajú zásadne text. Kontrola, či je e-mail obrázkom alebo textom, je jednoduchá: umiestnite kurzor myši na hypertextový odkaz alebo tlačidlo a sledujte, či sa kurzor myši zmení – pri normálnom texte to bude možné, pri obrázku nie. V takom prípade však kliknutím kamkoľvek na obrázok už otvoríte hypertextový odkaz, pretože cieľová adresa URL je pripojená k obrázku, takže v podstate celý obrázok predstavuje jedno tlačidlo / hypertextový odkaz.

Ak si stále nie ste istý, skúste zvýrazniť časť textu alebo zmeniť veľkosť okna poštového klienta. Ak je to obrázok, nebudete môcť v ňom zvýrazniť žiadne slová a zmena veľkosti okna nespôsobí zmenu dĺžky riadkov textu.

Všeobecný štýl e-mailu tiež len ťažko dodáva dôveryhodnosť – rôzne písma a medzery medzi riadkami, nesprávne používanie interpunkčných znamienok a nespisovný jazyk sú všetko znakom podvodu. Ľudia samozrejme robia chyby, ale šablóny spoločnosti Microsoft ich zvyčajne nemajú. Ak v niektorom e-maily uvidíte toľko očividných chýb, ide pravdepodobne o phishing.

Posledný detail: Tvrdenie, že účet musí byť overený do 48 hodín, by malo tiež byť varovným signálom. Podvodníci sa často snažia prinútiť používateľov, aby podnikli neopatrné kroky v časovom strese.

Phishingové stránky

Ak sa predsalen prekliknete cez phishingový e-mail na URL odkaz, vyzerá stránka, na ktorú tento konkrétny odkazuje, ešte menej presvedčivo. Legálna stránka patriaca spoločnosti Microsoft by bola hostovaná na doméne spoločnosti Microsoft, ale banner „Vytvorte si svoj web pomocou WordPress.com“ jasne oznamuje, že stránka bola vytvorená na bezplatnej hostiteľskej platforme WordPress.

phishingovy web

Celkovo stránka nevyzerá vôbec presvedčivo, použité písma, obrázky a štylizácia vôbec nepripomínajú oficiálne stránky.
Niekedy sú stránky na ukradnutie údajov urobené presvedčivejšie a je menej nápadné, že ide o podvod. Preto je dobré byť v strehu už pri prvom kroku – doručenom falošnom e-maily.

Ako zostať v bezpečí

Spoľahlivé riešenie ochrany e-mailu deteguje phishingové e-maily na základe niekoľkých faktorov, nielen na základe analýzy textu. Preto odporúčame používať moderné mechanizmy ochrany pošty, ako napríklad Kaspersky Security pre Microsoft Office 365.

Na záver nezabudnite na nami opakovanú radu: Neustále podporujte medzi zamestnancami povedomie o kybernetickej bezpečnosti prostredníctvom školení . Čím lepšie ľudia pochopia spôsoby moderných IT hrozieb, tým menšia je pravdepodobnosť, že sa stanú obeťami phishingu.

Najúspešnejšie phishingové šablóny za rok 2020

phishing šablony štatistiky

Najúspešnejšie phishingové šablóny za rok 2020

Vzdelávate svojich zamestnancov v oblasti kybernetickej bezpečnosti o phishingu? Ak áno, tento blog je pre Vás a Váš prehľad o tom, aké typy šablón sa najviac používajú a či sú v skutočnosti aj najefektívnejšie. A ak náhodou ešte nie, určite Vám odporúčame pozrieť sa na naše možnosti školení v tejto tematike.

Ako môžete vidieť na grafoch nižšie, najviac využívané sú phishingové šablóny obsahujúce URL odkazy, v menšom zastúpení sú šablóny so zadávaním dát (osobných údajov) a úplne najmenšie % tvoria šablóny s prílohami. V skutočnosti sú ale užívateľmi najviac otvárané typy phishingu práve šablóny obsahujúce prílohy!

phishing šablony štatistiky

Organizácie by si mali zvoliť šablóny simulovaného phishingu, ktoré sa týkajú hrozieb z reálneho prostredia, ktorým ich používatelia s najväčšou pravdepodobnosťou čelia. Nemali by však ignorovať prvky kreativity a prekvapenia pri testovaní používateľov. Veľmi často sú to práve „odľahlejšie“ témy, ktoré sú najlákavejšie pre používateľov aby ich otvorili.

Pozrime sa napríklad na 10 najpoužívanejších a 10 „najlepších“ tém phishingových kampaní v roku 2020. V oboch kategóriách boli odoslané šablóny s týmito témami najmenej 2 300 používateľom (a v niektorých prípadoch mnohým ďalším).

Najpoužívanejšie témy phishingových kampaní:

  1. Nové oznámenie z Microsoft Teams
  2. Zdravotné riziko a upozornenie ohľadom koronavírusu
  3. Oznámenie o vypršaní platnosti hesla pre Office 365
  4. Deaktivácia starého účtu OneDrive
  5. Oznámenie o zdieľanom dokumente OneDrive
  6. Zľava do Starbucks
  7. Koronavírus – bezpečnostné informácie od WHO
  8. Upozornenie na novú hlasovú správu
  9. Upozornenie na veľký počet odstránených súborov z OneDrive
  10. UPS oznámenie o dodaní zasielky

Témy phishingových kampaní, ktorým najviac používateľov podľahlo:

  1. 1 mesiac streamovacích služieb Netflix pre zamestnancov zadarmo
  2. Zajednanie dovolenkovej zmluvy
  3. Starbucks pumpkin-spice sezóna zahájená
  4. Predaj lístkov na Letné Olympijské hry 2020
  5. Pripomenutie faktúry po splatnosti
  6. Výzva na aktualizáciu hesla Spotify
  7. Zmenka
  8. Porušenie dresscode
  9. Dostupnosť rúšok proti Covid-u a platobné plány pre podnikanie
  10. Oznámenie o porušení pravidiel

Aká bola miera zlyhania na vyššie uvedených témach? Blízko 100%! A phishing na zajednanie dovolenkovej zmluvy sa ukázala rovnako úspešná naprieč viacero jazykmi. Na porovnanie najvyššia miera zlyhania medzi najčastejšie používanými šablónami bola 21%.
Je tiež potrebné uviesť, že 6 z najchúlostivejších šablón boli phishingy založené na škodlivých prílohách. Ďalšie 4 boli phishingy založené na URL odkazoch – do zoznamu „najúspešnejších“ sa nedostali žiadne phishingové simulácie s potrebou zadania osobných údajov.

50 štatistík o phishingu – časť II.

blog štatistiky

50 štatistík o phishingu,
ktoré by Vás v roku 2021 mali zaujímať – časť II.

Dnes Vám prinášame pokračovanie zaujímavých štatistík a faktov o phishingu, zozbieraných spoločnosťou Expert Insights, ktoré Vám môžu pomôcť udržať si aktuálny prehľad. V tejto časti sa bližšie pozrieme na to, akú sú pre spoločnosti najčastejšie dôsledky týchto útokov a aj ako sa proti nim brániť.

Dopady phishingového útoku

Phishingové útoky môžu byť pre organizácie, ktoré sa stanú ich obeťou, zničujúce, a to viacerými spôsobmi. Začnime skúmaním finančných dôsledkov pádu na návnadu.

Finančné náklady pri porušení ochrany údajov

Podľa IBM sú priemerné náklady na incident porušenia ochrany údajov 3,86 milióna dolárov. To je o niečo menej v porovnaní s predchádzajúcim rokom, nemalo by Vás to však viesť k domnienke, že narušenie ochrany údajov je finančne nenáročné. Realita je úplne opačná: štúdia IBM ukazuje rastúcu tendenciu, pokiaľ ide o náklady na narušenie v organizáciách s pokročilejšími bezpečnostnými procesmi a aj tých, ktoré majú zavedených menej procesov.

Ďalej spoločnosť IBM zistila, že osobné identifikačné údaje zákazníkov (PII) sú najčastejšie kompromitovaným typom údajov a sú aj najnákladnejšie. 80% organizácií, ktoré podľahli útoku, nahlásilo stratu PII zákazníkov v roku 2020 .

IC3 zistil, že phishingové podvody patria medzi najnákladnejšie kybernetické útoky, pričom americké podniky utrpeli straty vo výške viac ako 54 miliónov dolárov.

Toto sú dosť veľké čísla na predstavu – a tak to znížme na úroveň jednotlivých firiem: podľa APWG stál v Q2 2020 priemerný pokus o BEC útok s pokusom o prevod viac ako 80 000 dolárov – čo je obrovský nárast oproti 54 000 dolárov, nahlásených v 1. štvrťroku.

Záver? Phishingové útoky sú drahé a tieto náklady sa iba zvyšujú.

Dôsledky porušenia

Proofpoint vysvetľuje dôsledky úspešného phishingového útoku rozdelením do nasledujúcich kategórií:

  • Prestoje používateľov
  • Čas nápravy
  • Poškodenie dobrého mena
  • Strata duševného vlastníctva
  • Priame peňažné straty
  • Pokuty za dodržiavanie predpisov
  • Náklady na reakciu a nápravu
  • Strata výnosov a zákazníkov
  • Právne poplatky

Finančné straty však nie sú jediným dopadom, ktorý môže mať phishingový útok na Vašu organizáciu. Štúdia spoločnosti Proofpoint sa pýtala vedúcich pracovníkov na dôsledky úspešných phishingových útokov a iba 18% z nich uviedlo ako najhorší dopad finančnú stratu.
Ostatné hlavné  dôsledky boli tieto:

  • Stratené údaje (60%)
  • Napadnuté účty alebo poverenia (52%)
  • Ransomvérové ​​infekcie (47%)
  • Malvérové ​​infekcie (29%)

Takže 60% vedúcich pracovníkov považovalo stratu údajov za najväčší dôsledok pokusu o phishing, ale čo strata údajov konkrétne znamená? Podľa spoločnosti Verizon ide o najbežnejšie typy údajov, ktoré sú napádané, kradnuté a následne zneužívané:

  • Poverovacie údaje – napríklad používateľské mená a heslá.
  • Osobné údaje – ako sú adresy a telefónne čísla.
  • Interné údaje – napríklad údaje o predaji.
  • Lekárske údaje – ako napríklad informácie o poistných udalostiach.
  • Bankové údaje – napríklad informácie o kreditnej karte.

Dopady phishingového útoku

V minulom roku došlo k masívnym zmenám spôsobu našej práce – od migrácie z kancelárií a rýchlej digitálnej transformácie až po zvýšenie využívania technológií AI. Mnoho z týchto zmien bolo urýchlených pandémiou COVID-19 a je zrejmé, že koronavírus a následný globálny prechod na prácu na diaľku mali obrovský vplyv na útoky, ktorým čelíme.

Podľa organizácie Barracuda Networks medzi februárom a marcom 2020, keď sa organizácie počas prvej vlny pandémie usilovali umožniť svojim zamestnancom prácu z domu, počet phishingových e-mailov stúpol o ohromujúcich 667%.

Tento vrchol odzrkadľuje výskum spoločnosti Abnormal Security, ktorý hlási obrovský nárast útokov s tematikou COVID-19 od prvého štvrťroka, pričom týždenný objem kampaní sa medzi prvým a druhým štvrťrokom ďalej zvyšoval o 389%. Avšak v Q3 došlo k poklesu počtu kampaní spojených s COVID-19, podvodníci namiesto toho uprednostňovali útoky založené na podvodoch s faktúrami a platbami. Počas celého Q3 sa počet útokov BEC na faktúry a platby zvýšil o 81%.

IBM tiež hlási 11% nárast počtu útokov BEC v Q2, pretože hackeri využili v prospech scenáre vzdialenej práce. Okrem zvýšenia objemu útokov na pracovníkov aj práca na diaľku samotná zvýšila celkové priemerné náklady na porušenie ochrany údajov o takmer 137 000 dolárov, čo ich zvýšilo až na 4 milióny dolárov.

A tu štatistiky stále nekončia! V USA IC3 uvádza, že v roku 2020 prijali viac ako 28 500 sťažností týkajúcich sa témy COVID-19. Tieto sťažnosti hlásia útoky zamerané na zákony o pomoci, úľave a hospodárskej bezpečnosti počas pandémie (zákon CARES), ktorý sa počas pandémie usiloval o podporu malých podnikateľov. Tieto útoky sa konkrétne zameriavali na poistenie v nezamestnanosti, pôžičky na ochranu proti výplatám (PPP) a pôžičky na problémy súvisiace s ekonomickým zranením pre malé podniky.

Bohužiaľ, obrovské množstvo týchto útokov bolo úspešných. Viac ako štvrtina podnikateľov utrpela narušenie bezpečnosti spôsobené kybernetickým útokom, pretože sa viac obchodov uskutočňovalo online. Výsledkom je, že 76% vlastníkov firiem tvrdí, že sa od začiatku pandémie cítia viac vystavení podvodom, a 66% tvrdí, že majú obavy z toho, že budú terčom podvodníkov v priebehu roku 2021.

Správa spoločnosti Microsoft New Future work ukazuje podobné výsledky a uvádza, že 80% bezpečnostných profesionálov zaznamenalo od prechodu na prácu na diaľku nárast bezpečnostných hrozieb. Z týchto 80% až 62% uvádza, že phishingové kampane sa zvýšili viac ako akýkoľvek iný typ hrozby.

Tieto obavy a skúsenosti nie sú neopodstatnené ani neopodstatnené: Zscaler zistil, že len medzi januárom a marcom sa počet blokovaných podozrivých správ zameraných na vzdialených pracovníkov zvýšil o 30 000% – áno, to je tridsaťtisíc – a že počet COVID-19 zameraných phishingových útokov vzrástlo o 667%.

Ako môžete chrániť svoje podnikanie pred phishingovými útokmi?

Bohužiaľ neexistuje jednokroková nepriestrelná ochrana pred phishingom. Odporúčame k ochrane pred phishingom zaujať viacvrstvový prístup implementáciou rady technických riešení a aj riešení zameraných na zamestnancov. Vaša hlavná ochrana by mala pozostávať z:

Secure e-mail gateaway

Zabezpečené e-mailové brány (SEG) monitorujú prichádzajúce a odchádzajúce e-maily Vašich zamestnancov a skenujú ich, či neobsahujú škodlivý obsah. Ak SEG zistí akékoľvek spamové, phishingové alebo malvérové ​​hrozby, umiestni e-mail do karantény alebo blokuje tak, aby sa nikdy nedostal k určenému príjemcovi.

Aj keď sú však SEG veľmi účinné pri blokovaní spamu a tradičných pokusov o phishing, sofistikované útoky typu phishing sa im môžu vyhnúť tak, že sa vydávajú za známych, dôveryhodných odosielateľov. Na ochranu vašich údajov pred vnútornými hrozbami musíte implementovať riešenie, ktoré chráni každého používateľa na individuálnej úrovni.

Školenie o povedomí o kybernetickej bezpečnosti

Aj keď sú Vaši zamestnanci srdcom Vašej organizácie, sú zároveň Vašou najväčšou zraniteľnosťou. Školiace platformy na zvyšovanie povedomia o bezpečnosti a školiace a simulačné platformy na zvyšovanie povedomia o phishingu poskytujú programy pútavých materiálov v kombinácii so simulovanými phishingovými kampaňami, vďaka ktorým sa Vaši zamestnanci dostanú z potenciálnych cieľov útokov do silnej obrannej línie proti útokom.

Silný vzdelávací program môže mať obrovský vplyv na spôsob, akým vaši zamestnanci reagujú na pokusy o phishing. Nedávna správa spoločnosti Cofense  zistila, že zamestnanci, ktorí absolvovali školiaci program zameraný na zvyšovanie povedomia o bezpečnosti, oveľa pravdepodobnejšie nahlásia podozrivý e-mail ako tí, ktorí tak neurobili, čo výrazne skracuje dobu zdržania phishingového e-mailu – tj. čas na detekciu a nápravu útoku.

Štúdia spoločnosti Cofense, ktorá analyzovala milióny výsledkov z ich vlastných simulovaných phishingových kampaní, zistila, že 82% vyškolených zamestnancov nahlásilo simulovaný phishing do hodiny od jeho prijatia, 52% ho nahlásilo do 5 minút a 19% do 30 sekúnd.

Úspešnosť školení zameraných na zvyšovanie povedomia ďalej podporuje výskum spoločnosti KnowBe4, ktorý zistil, že po absolvovaní jedného roku školenia o zvýšení povedomia o phishingu bola priemerná miera zlepšenia vo všetkých odvetviach a veľkostiach organizácií 87%.

Zdroj článku (ENG): expertinsights.com

9 tipov ako identifikovať phishingové e-maily

phishing útok

9 tipov ako identifikovať phishingové e-maily

phishing

Útoky a kompromitovanie firemných e-mailov (BEC) stoja spoločnosti v súčasnosti aj milióny eur. A počet phishingových e-mailov na spotrebiteľov je na historickom maxime.
Pre organizácie by  prvou líniou obrany pred podvodmi s e-mailmi  mala byť vždy pokročilá bezpečnostná technológia. Zabezpečená e-mailová brána a ochrana proti autentifikácii e-mailov, ako napríklad DMARC (hlásenie a konfirmácia overenia na základe domény), sú najlepším spôsobom ochrany vašich zamestnancov a zákazníkov.

Bohužiaľ, bez ohľadu na to, aká sofistikovaná je e-mailová stratégia Vašej spoločnosti, niektoré phishingové e-maily sa dostanú do doručenej pošty. A tieto e-maily bývajú mimoriadne účinné. Verizon zistil, že až 30 % cieľových príjemcov otvorí phishingové správy a 12 % klikne na škodlivé e-mailové prílohy.
Kritickým prvkom Vašej stratégie zabezpečenia e-mailov teda okrem bezpečnostných technológií  musí byť aj vzdelávanie zamestnancov.

Tu je deväť najdôležitejších tipov na identifikáciu phishingového e-mailu:

Tip 1: Neverte zobrazovanému odosielateľovi

Obľúbenou taktikou phishingu medzi počítačovými zločincami je falšovanie zobrazovaného mena odosielateľa e-mailu. Funguje to takto: Ak by sa podvodník chcel vydávať za hypotetickú značku „My bank“, e-mail môže vyzerať napríklad takto:

phishing email priklad

Pretože My Bank nevlastní doménu „secure.com“, nebude ochrana e-mailovej autentifikácie tento e-mail v mene My bank blokovať.
Po doručení sa e-mail javí ako legitímny, pretože väčšina priečinkov doručenej pošty používateľov a hlavne na mobilných telefónoch bude uvádzať iba zobrazované meno (My Bank). Vždy skontrolujte celú e-mailovú adresu v hlavičke odosielateľa – ak vyzerá doména za “@” podozrivo, e-mail je veľmi pravdepodobne phishingový.

Tip 2: Pozerajte sa, ale neklikajte

Kybernetickí zločinci radi vkladajú škodlivé odkazy do legitímne znejúcich e-mailov. Umiestnite kurzor myši na odkazy, ktoré nájdete v tele svojho e-mailu. Na ľavom rohu obrazovky sa Vám zobrazí skutočná url adresa, kam Vás odkaz presmeruje – čo nemusí korešpondovať s názvom falošného linku. Ak adresa odkazu znie zvláštne, neklikajte na ňu. Ak máte voči odkazu nejaké výhrady, pošlite e-mail priamo Vášmu tímu IT zabezpečenia.

Tip 3: Skontrolujte pravopisné chyby

Značky to s e-mail marketingom väčšinou myslia dosť vážne. Legitímne správy zvyčajne nemajú väčšie pravopisné chyby alebo zlú gramatiku. Pozorne si prečítajte svoje e-maily a nahláste alebo vymažte všetko, čo sa Vám zdá podozrivé, od preklepov, cez zlú gramatiku či nesprávne skloňovanie, až po používanie náhodných cudzích slov.

Tip 4: Analyzujte pozdrav a oslovenie

Je e-mail adresovaný priamo Vám, alebo nejasnému „váženému zákazníkovi“? Ak je to tak, dávajte pozor – skutočné firmy väčšinou použijú osobný pozdrav s Vašim menom a priezviskom miesto všeobecnej formulky.

Tip 5: Nezdieľajte osobné ani firemné dôverné informácie

Väčšina spoločností nikdy nebude vyžadovať osobné údaje prostredníctvom e-mailu – najmä banky či pošta. Zastavte sa a zamyslite sa skôr, ako prezradíte akékoľvek dôverné informácie e-mailom. Ak od Vás e-mail takéto informácie požaduje, je veľmi pravdepodobné, že pôjde o podvod.

Tip 6: Dajte si pozor na urgujúci alebo výhražný jazyk v predmete predmetu

Vyvolávanie pocitu naliehavosti alebo strachu je bežnou phishingovou taktikou. Dávajte pozor e-maily, ktoré tvrdia, že váš „účet bol pozastavený“ alebo vás žiada, aby ste vykonali „urgentnú žiadosť o platbu“.

Tip 7: Skontrolujte podpis

Nedostatok podrobností o osobe, ktorá podpisuje e-mail alebo o tom, ako kontaktovať spoločnosť z ktorej Vás kontaktuje, výrazne naznačuje phishing. Legitímne podniky vždy poskytnú svoje kontaktné údaje. Skontrolujte ich.

Tip 8: Neklikajte na prílohy

Bežná taktika phishingu je zahrnutie škodlivých príloh, ktoré obsahujú vírusy alebo malvér. Malvér môže poškodiť súbory vo vašom počítači, ukradnúť Vaše heslá alebo Vás online špehovať bez vášho vedomia. Neotvárajte žiadne prílohy e-mailov, ktoré ste neočakávali, alebo sú súčasťou e-mailov s podozrivými prvkami spomenutými vyššie.

Tip 9: Neverte všetkému, čo vidíte

Phisheri sú v tom, čo robia, mimoriadne dobrí. Mnoho škodlivých e-mailov obsahuje presvedčivé logá značiek, jazyk a zdanlivo platnú e-mailovú adresu. Pri svojich e-mailových správach buďte skeptickí – ak sa vám zdajú byť nepovedomé a o danej spoločnosti ste ešte napríklad ani nepočuli, nevyplnili ste súhlas o kontaktovaní či odoberaní newslettera, prípadne Vám príde komunikácia známej značky niečím zvláštna, neotvárajte ich.

Útoky na OneDrive a SharePoint

Data protection

Útoky na OneDrive a SharePoint - ako vyzerajú a ako sa proti nim brániť?

Kybernetickí útočníci pozorne sledujú podnikovú migráciu do cloudového prostredia, či už z dôvodu pokroku alebo pandémie. Snažia sa preto kompromitovať a preberať používateľské účty, aby sa mohli voľne pohybovať v rámci organizácie, odcudziť jej údaje alebo komunikovať v jej mene s obchodnými partnermi či zákazníkmi a žiadať ich o rôzne podvodné bankové prevody.

Na hosťovanie a distribúciu škodlivého obsahu používajú práve cloudovú a e-mailovú infraštruktúru. Útočníci využívajú kontakty používateľov a po úspešnom útoku si môžu prechádzať ich e-maily, aby porozumeli vzťahom dôvery a mapovali si tak organizácie.

Len v prvej polovici roku 2020 Proofpoint identifikoval až 5,9 milióna e-mailových správ so škodlivými odkazmi na SharePoint Online a OneDrive. Aj keď tieto správy tvorili asi iba 1% z celkovej vzorky phishingových správ, predstavovali viac ako 13% kliknutí používateľov. Vyvodiť sa z toho dajú tieto tvrdenia:

  • 4-krát vyššia pravdepodobnosť, že užívatelia kliknú na škodlivé odkazy na SharePoint
  • 11-krát vyššia pravdepodobnosť, že užívatelia kliknú na škodlivé odkazy na OneDrive

Škodlivé odkazy na SharePoint / OneDrive a životný cyklus prevzatia účtu

Útoky môžu byť teraz častejšie a efektívnejšie ako kedykoľvek predtým, keďže využívajú spôsob, akým moderní zamestnanci pracujú, napríklad zdieľanie súborov. Výskum spoločnosti Proofpoint v skutočnosti ukazuje, že u používateľov je sedemkrát vyššia pravdepodobnosť, že kliknú na škodlivé odkazy na SharePoint Online alebo OneDrive, ktoré sú hostované na legitímnych doménach spoločnosti Microsoft.

Phishing na SharePoint sa zvyčajne začína kompromitáciou cloudového účtu. Keď už má útočník kontrolu nad účtom, nahrá škodlivý súbor a potom zmení povolenia na zdieľanie súboru na „Verejné“, aby bolo možné zdieľať nový anonymný odkaz s kýmkoľvek. Útočník pošle odkaz e-mailom alebo ho zdieľa s kontaktmi používateľa, ktorého účet kompromitoval alebo aj s inými zacielenými účtami, vrátane externých. Keď príjemcovia otvoria súbor a kliknú na vložený škodlivý odkaz, dôjde k phishingu, ktorý znova spustí celý cyklus. Tieto útoky môžu viesť k krádeži údajov alebo aj väčším podvodom.

Príklad PDF

V príklade nižšie dostal používateľ e-mail so zdieľaným odkazom na súbor PDF (INV_1100110.pdf), ktorý vyzerá ako faktúra. Keď používateľ klikne na odkaz v súbore pdf, bude presmerovaný na phishingový web, ktorý je falošnou prihlasovacou stránkou služby OneDrive.

Sharepoint phishing

Niekedy môže byť odkazom v zdieľanom dokumente jedinečná URL, a preto môže byť ťažké zistiť jej podvodnosť, pretože by sa nenašla v žiadnom archíve reputácie URL adries.

Príklad OneNote

Tu je príklad útoku, ktorý používa SharePoint na hosťovanie škodlivého súboru OneNote vydávajúceho sa za hlasovú poštu:

OneNote Voice príklad

Škodlivé súbory OneNote môžu byť tiež náročné na detekciu, pretože sa nedajú stiahnuť a izolovať na karanténe. Detekcia si vyžaduje ďalší krok – web-scraping pred tým ako môžu byť vložené odkazy analyzované.

Príklad formulára Microsoft 365 sady

OneDrive Document príklad
Onde drive portal phishing

V tomto príklade je zdieľaný dokument Word s odkazom na verejne zdieľaný súbor Microsoft Forms (falošná prihlasovacia stránka), ktorý sa používa na získavanie poverení služieb Office 365. Vzhľadom na to, že tento útok využíva legitímne služby spoločnosti Microsoft, predstavuje väčšiu výzvu pre detekciu a ešte ťažšie ho blokovať/zmierniť, ak vám chýba celkový prehľad Vášho e-mailového aj cloudového prostredia.

Napádané platformy

SharePoint Online a OneDrive samozrejme nie sú jedinými doménami služieb spolupráce, ktoré sú zneužívané útočníkmi. Nasledujúci graf zobrazuje zoznam 10. najnapádanejších domén, kliknutím na škodlivé odkazy hostovaných na týchto doménach, v prvej polovici roka. Zaujímavou je služba Sway, keďže je to nová aplikácia spoločnosti Microsoft na vytváranie a zdieľanie interaktívneho obsahu, ako sú správy a newsletters. Druhým je úložisko Googleapis, čo je služba hostovania súborov (napríklad softvérových opráv), ktorú útočníci používajú na podvody technickej podpory.

phishing sharepoints blog

Ochrana pred hybridnými e-mailovými a cloudovými hrozbami

Na obranu proti hybridným útokom, ako je phishing na SharePoint a OneDrive, musia organizácie získať prehľad naprieč e-mailovými a cloudovými hrozbami a holisticky riešiť takéto reťazce útokov. Musia pochopiť riziko napadnutia svojich zamestnancov a hrozby ktoré pre vašu organizáciu predstavujú. Základné otázky, ktoré by si mala každá spoločnosť klásť sú asi tieto:

  • Na koho sa hrozby zameriavajú najviac?
  • Aké techniky sa používajú na útok na používateľov?
  • Kto klikol na škodlivé odkazy?
  • Ktorí používatelia sú náchylní na klikanie?
  • Ktoré účty sú napadnuté?
  • Ktoré napadnuté účty vykazujú podozrivú aktivitu so súbormi?

Proofpoint Targeted Attack Protection a CASB prinášajú vhodný prístup zameraný na ohrozených ľudí k zabezpečeniu e-mailov a cloudov a bránia cloudové účty proti takýmto útokom pomocou pokročilých analýz, ako sú:

  • Prediktívne sandboxovanie e-mailových správ s odkazmi od služieb pre spoluprácu, ako sú SharePoint, OneDrive, Disk Google, Dropbox atď.
  • Adresy URL sú prepísané tak, aby chránili používateľov v akomkoľvek zariadení alebo sieti a tiež poskytovali karanténu v reálnom čase pri každom kliknutí
  • Odhalenie a náprava napadnutého účtu
  • Adaptívne kontroly prístupu, ktoré zabraňujú neoprávnenému prihláseniu alebo vynútia viacfaktorové overenie
  • Zistenie a zmiernenie aktivity po prevzatí súboru a aktivita poštovej schránky

Pomôcť Vám môže taktiež výcvik zvyšovania povedomia o kybernetickej bezpečnosti od Proofpointu, ktorý Vám navyše poskytuje cielené vzdelávanie, ktoré zaisťuje správne budúce reakcie  používateľov v prípade sofistikovaných útokov, ako sú phishing typu SharePoint a OneDrive.

Home-office pracovníci pod útokom ransomware

homeoffice ransomware problem

Home-office pracovníci pod útokom ransomvérových hrozieb

homeoffice ransomware problem

Súčasná situácia s koronavírusom spôsobila zásadnú zmenu v našich pracovných režimoch. V mnohých prípadoch už táto zmena môže ostať trvalou aj po skončení pandémie, nakoľko práca z domu sa ukázala vo viacerých odvetviach ako výhodná. Ale zároveň aj práca z domu má svoje vlastné riziká.
Jedným z nich je, že môžete naraziť na ransomvéry od počítačových zločincov, ktorý sa predtým zameriavali na podnikové siete. Prečo? Pretože ako vzdialený pracovník ste čoraz viac považovaní za ľahší cieľ – niečo ako otvorené dvere k vydieraniu zamestnávateľa.

Nové trendy v oblasti ransomvérov

Minulý rok spoločnosť Trend Micro zaznamenala viac ako 61 miliónov hrozieb súvisiacich s ransomvérom, čo je oproti roku 2018 nárast o 10%. Od tejto chvíle sa však všetko zhoršilo. V prvej polovici roku 2020 globálne zaznamenali 20% nárast počtu detekcií ransomvéru, a v samotnom USA sa zvýšil na 109%. A prečo je to tak?

Jednoducho povedané – ransomvér vyhľadáva a šifruje väčšinu súborov na cieľovom počítači, aby boli nepoužiteľné. Obete sú potom požiadané, aby v stanovenom čase zaplatili „výkupné“, aby dostali dešifrovací kľúč, ktorý potrebujú na odblokovanie svojich súborov a údajov. Ak to neurobia a nemali svoje údaje zálohované, tak by ich mohli kvôli takémuto ransomvér útoku navždy stratiť.
Trendom poslednej doby sa stalo zameranie sa na organizácie verejného aj súkromného sektora, ktorých zamestnanci pracujú z domu. Je pravdepodobné, že vzdialení pracovníci sú menej schopní brániť sa pred útokmi ransomvéru, zároveň však často pracujú s citlivými údajmi zo spoločnosti, v ktorej pracujú. Kybernetickí zločinci sa navyše čoraz viac usilujú ukradnúť citlivé údaje, ešte predtým ako ich zašifrujú.

Homeoffice pracovníci sú viac napádaní z mnohých dôvodov:

  • Môžu byť viac rozptýlení ako tí pracujúci z kancelárie
  • Zabezpečenie domácej siete a koncových bodov spravidla nie je na úrovni zabezpečenia spoločnosti
  • Domáce systémy (smerovače, inteligentné domáce zariadenia, počítače atď.) nemusia byť aktuálne, a preto sú ľahšie napadnuteľné
  • Vzdialení pracovníci s väčšou pravdepodobnosťou navštevujú nezabezpečené stránky, sťahujú rizikové aplikácie alebo zdieľajú svoje zariadenia / siete
  • Firemné IT tímy môžu byť zahltené inými úlohami a nemôžu poskytnúť rýchlu podporu vzdialenému pracovníkovi
  • Malé množstvo firiem investuje do vzdelávania v oblasti kybernetickej bezpečnosti, a preto sa zamestnanci pracujúci z domu nevedenia dostatočne chrániť a identifikovať hrozby

Ako zhruba môžu vyzerať útoky na home office pracovníkov?

Zločinci sa teraz snažia získať prístup do podnikovej siete, ku ktorej máte prístup z domova napríklad prostredníctvom siete VPN. Prípadne do Vašich cloudových systémov, ktoré používate na prácu, alebo cez zdieľanie súborov – aby najskôr ukradli a potom šifrovali firemné údaje pomocou ransomvéru v čo najširšej miere. Ale ich metódy útokov sú našťastie pomerne známe:

  • Skúsia Vás zacieliť pomocou phishingového e-mailu : klasická stratégia, ktorá vás núti kliknúť na podvodný odkaz, ktorý Vás dovedie na stránku vyžadujúcu Vaše údaje, stiahnutie nejakej (podvodnej) aplikácie alebo obsahujúcu malvér
  • Pokúsia sa ukradnúť alebo uhádnuť Vaše prihlasovacie údaje – do pracovného e-mailu alebo cloudových úložísk, a podobne. To sa môže stať teda tiež na základe phishingového e-mailu, alebo cez nástroje ktoré bežne používate (Teams, Skype, Microsoft Remote Desktop,…). Napríklad jeden nový ransomvér pre Mac s názvom EvilQuest má zabudovaný keylogger -ktorý si zapamätáva Vaše heslá bez toho aby ste to vedeli, a následne je možné tak ukradnúť a zašifrovať Vaše údaje
  • Zacielený malvér na Vašu VPN alebo na aplikácie vzdialeného prístupu (Teamviewer, etc.) ak sú dostatočne zraniteľné. Opäť sa k Vám môže dostať pomocou phishingu, alebo sťahovaním aplikácie cez torrenty
  • Zameranie sa na inteligentné domáce zariadenia/internetové routre – riziko najmä ak používate jednoduché alebo všeobecné heslá pre viacero zariadení, ktoré sa dajú uhádnuť alebo prelomiť. A Vašu domácu sieť použijú ako odrazový mostík pre vniknutie k dátam Vašej organizácie.

Ako môžem pri práci z domu zabrániť ransomvéru?

Dobrou správou je, že Vy, ako vzdialený pracovník, môžete vopred podniknúť pomerne jednoduché kroky, ktoré vám pomôžu zmierniť zvyšujúce sa riziko, ktoré pre Vás a Vašu spoločnosť predstavujú ransomvéry:

  • Pri phishingových e-mailoch buďte opatrní. Využite výhody firemných školení a kurzov zvyšovania povedomia
  • Udržujte firmvér domáceho routeru, počítačov, mobilných zariadení, softvéri, prehľadávače a operačné systémy vždy aktualizované na najnovšie verzie – vrátane nástrojov na vzdialený prístup a sietí VPN
  • Zaistite, aby bola vaša domáca sieť, počítače a mobilné zariadenia chránené pomocou kvalitného antivírusového programu od renomovaného dodávateľa. (Antivírusové riešenia by mali obsahovať funkcie proti vniknutiu, anti-spamu, phishingu a samozrejme anti-ransomwarové funkcie.)
  • Zaistite, aby boli nástroje vzdialeného prístupu a používateľské účty chránené pomocou viac-faktorovej autentifikácie (MFA), ak sa používajú, a zakážte vzdialený prístup k domácemu smerovaču.
  • Zakážte makrá spoločnosti Microsoft, kde je to možné. Sú typickým útočným vektorom.
  • Pravidelne zálohujte dôležité súbory

Zdroj: blog Trend Micro (ENG)

Proofpoint prináša novú funkciu pre Microsoft Teams

Proofpoint Content Capture

Proofpoint prináša novú funkciu pre Microsoft Teams so zameraním na dodržiavanie bezpečnostných predpisov

ProofPoint logo

Spoločnosť Proofpoint spustila funkciu snímania a archivácie pre Microsoft Teams, ktorá pomáha pri  práci na diaľku, pričom si stále zachováva potrebnú úroveň zabezpečenia.

Content Capture pre Microsoft Teams je najnovšie bezpečnostné riešenie, ktoré:

  • Zachytáva a normalizuje údaje
  • Mapuje údaje konkrétnym používateľom
  • Doručuje obsah do vášho dátového úložiska
  • Zahŕňa kontextové podrobnosti

Toto všetko umožňuje v reálnom čase cez najobľúbenejšie komunikačné kanály, vrátane Microsoft Teams.

Keďže veľa alebo väčšina zamestnancov momentálne pracuje z domu, tak musia organizácie hľadať efektívny spôsob, ako môžu zamestnanci komunikovať a zároveň dodržiavať vysokú úroveň zabezpečenia svojej komunikácie.

Firmy musia zachytávať, uchovávať a kontrolovať komunikáciu zamestnancov s cieľom dodržiavať pravidlá stanovené regulačnými orgánmi. Pre spoločnosti je tiež dôležité, aby boli schopné rýchlo vyhľadať a preskúmať právne záležitosti v komunikácii, najmä pokiaľ ide o včasné posúdenie alebo vyšetrovanie incidentov. Preto sa spoločnosť Proofpoint zaviazala inovovať svoje funkcie v úzkom partnerstve s produktívnymi dodávateľmi, s ktorými spolupracuje.

Spoločnosť Proofpoint poskytuje platformu Capture, ktorá obsahuje aj Content Capture pre Teams, a umožňuje organizáciám zaznamenávať, spravovať a monitorovať najrôznejšie súbory najpopulárnejších digitálnych komunikačných kanálov. Vďaka Proofpoint môžu organizácie dodržiavať nariadenia, ako sú napríklad tie, ktoré stanovujú FCA, FINRA, IIROC, SEC a ďalšie.

Proofpoint Capture platforma pre Teams poskytuje: schopnosť zachytávať správy a obsah v natívnom formáte vrátane textu, obrázkov a ďalších; zachovať pôvodný kontext správ a obsahu v okamihu zaslania; zaznamenávať úpravy a mazania zachyteného obsahu; a zaistiť, aby sa zachytené veci ukladali s úplnou presnosťou.

Proofpoint Capture sa tiež môže integrovať ako súčasť  do širšieho Proofpoint portfólia, s produktmi ako Enterprise Archive, Intelligent Supervision a eDiscovery Analytics.

Výkonný viceprezident spoločnosti Proofpoint a generálny manažér pre Compliance and Digital Risk, Darren Lee, povedal: Podpora Microsoft Teams je pre mnohé odvetvia zásadná – najmä preto, že teraz pracujú v novej situácii – z domu –  takže musia myslieť na to aby vyvážili produktivitu zamestnancov a tiež vyriešili potrebu zachytávať a dohliadať na obsah kvôli regulatívnym účelom.“

„Milióny používateľov sa pri úspešnej práci na diaľku spoliehajú na platformy digitálnej spolupráce, ako sú Microsoft Teams. Program Proofpoint Content Capture uľahčuje organizáciám dodržanie potrebnej úrovne zabezpečenia, zatiaľ čo si zamestnanci osvojujú tieto nástroje. A s vývojom komunikačného trhu budeme určite pokračovať v inováciách v tejto oblasti, aby sme podporili meniace sa potreby zákazníkov.“

Riaditeľ spoločnosti Microsoft Corp pre Microsoft 365, Mike Ammerlaan, sa vyjadril: „V dnešnom distribuovanom pracovnom prostredí umožňuje Microsoft Teams zamestnancom zostať v spojení a produktívni. Integrácia s Proofpointom zaisťuje, že spoločnosti sú schopné riešiť dodržiavanie predpisov a posilňujú zamestnancov v tejto novej paradigme práce.“

 
 

Ako doteraz fungoval Proofpoint Content Capture pre iné aplikácie si môžete pozrieť vo videu:

 

 

Autor zdrojového ENG článku: Catherine Knowles

Aplikácia Microsoft Teams pod útokom phishingových kampaní

microsoft teams

Aplikácia Microsoft Teams pod útokom phishingových kampaní

Až 50 000 používateľov služieb Office 365 je zacielených phisingovou kampaňou, ktorá sa tvári,
že ich má informovať o „zmeškanom hovore“ od spoločnosti Microsoft Teams.

IT výskumníci momentálne varujú pred prebiehajúcou phishingovou kampaňou, ktorá sa vydáva za automatickú správu od spoločnosti Microsoft Teams. Cieľom útoku je odcudzenie prihlasovacích údajov od používateľov služieb Microsoft Office 365.

Teams je populárny nástroj spoločnosti Microsoft na spoluprácu, ktorý si počas pandémie získal  veľkú obľúbenosť, nakoľko uľahčuje prácu na diaľku, ale zároveň to z neho robí atraktívnu platformu pre kybernetických útočníkov.
Táto konkrétna phishingová kampaň bola podľa vedcov v Abnormal Security ku dňu 22.10.2020 zaslaná medzi 15 000 až 50 000 používateľom služieb Microsoft 365.

“Pretože Microsoft Teams je služba okamžitých správ, príjemcovia tohto oznámenia sú  náchylní na phishingové oznámenie kliknúť, aby mohli na jeho základe mohli rýchlo odpovedať na správu, o ktorej si myslia, že by im ušla,” uviedli vedci v minulotýždňovej analýze.

Počiatočný phishingový e-mail zobrazuje názov „V aplikácii Teams je nová správa.“ („There is new activity in Teams“) , vďaka čomu vyzerá ako automatické upozornenie od spoločnosti Microsoft Teams.

Ako je vidieť na obrázku nižšie, e-mail informuje príjemcu, že sa ich spolupracovníci snažili kontaktovať a varuje ich, že zmeškali rozhovory v Microsoft Teams, a zobrazuje aj ukážku z chatu od spolupracovníka, ktorý ich žiada, aby niečo odoslali do stredy budúceho týždňa.

Phishingový útok na Teams

V správe e-mail vyzýva príjemcu, aby klikol na tlačidlo „Odpovedať v službe Teams“ – to však vedie na phishing stránku neoprávneného získavania údajov.

V tele e-mailu sú tri odkazy, ktoré sa podľa výskumníkov zobrazujú ako “Microsoft Teams “, “(kontakt) posiela správu “ a  “Odpovedať v službe Teams “ – kliknutím na niektorý z týchto odkazov sa dostanete na falošný web, ktorý sa vydáva za prihlasovaciu stránku spoločnosti Microsoft. Phishingová stránka už klasicky žiada príjemcu, aby zadal svoj e-mail a heslo.

Samotná phishingová stránka tiež vyzerá presvedčivo, podobne ako prihlasovacia stránka spoločnosti Microsoft so začiatkom adresy URL, ktorá obsahuje „microsftteams“. To môže príjemcov presvedčiť, aby na stránku zadali svoje prihlasovacie údaje spoločnosti Microsoft, a nechtiac ich tak odovzdajú útočníkom, ktorí ich potom môžu použiť na rôzne škodlivé účely – vrátane prevzatia účtu.

Phishingové útoky na Teams

S pokračujúcou pandémiou sa právom zvýšili obavy z kybernetických útočníkov, ktoré využívajú platformy vhodné na prácu a komunikáciu z domu, ako sú Microsoft Teams, Zoom a Skype. Aj v máji kolovala presvedčivá phishingová kampaň, ktorá sa vydávala za oznámenia od Microsoft Teams s cieľom ukradnúť prihlasovacie údaje zamestnancov pracujúcich s  Office 365, a to hneď s dvoma samostatnými útokmi, ktoré boli zamerané na 50 000 rôznych používateľov Teams.

Spoločnosť Microsoft je jedna z najviac zasiahnutých, pokiaľ ide o pokusy odcudzenia identity od hackerov – so svojimi produktmi a službami spoločnosti Microsoft, ktoré  v 3. štvrťroku tohto roka tvoria takmer pätinu všetkých útokov typu phishingu z globálnych značiek a služieb. Útočníci tiež používajú čoraz sofistikovanú taktiku – vrátane vizuálnych CAPTCHA na zacielenie používateľov služieb Office 365 a rôznych iných autorizačných metód.

Z tohto dôvodu je dôležité, aby ste čo najlepšie chránili svoje účty Microsoft 365 – s čím Vám veľmi radi pomôžeme. V prípade potreby ochrany Microfost 365 nás neváhajte kontaktovať, alebo si pozrite našu ponuku.

Útoky na účty Microsoft 365

phishingový útok

Útoky na účty Microsoft 365:

alebo najbežnejšie prípady pokus o ukradnutie prihlasovacích údajov do účtov Microsoft 365.

Aktuálny nárast práce na diaľku zvýšil zároveň aj záujem hackerov o napádanie účtov Microsfot 365, čo je jedna z najbežnejších cloudových platforiem pre online spoluprácu.

Základná schéma takéhoto zločinu je jednoduchá: Kyberzločinci nalákajú zamestnanca spoločnosti na falošnú prihlasovaciu stránku služieb Office 365 a presvedčia ho, aby zadal prihlasovacie údaje. Inými slovami: ide o phishing.

Konkrétne metódy, pomocou ktorých sa útočníci pokúšajú získať používateľské mená a heslá, sú rôzne a môžu sa líšiť. Spolu sa pozrieme na tie najčastejšie:

Falošné správy na službe Teams

Spravidla platí, že keď útočníci pošlú e-mailovú správu, ktorá má vyzerať ako upozornenie spoločnosti Microsoft Teams, zdôrazňujú jej naliehavosť. Naliehavosť správy má spôsobiť, že si príjemca nestihne všimnúť žiadnu nezrovnalosť, ktorá by odhalila, že ide o falošnú správu. Môže ísť napríklad o urgentný termín, vymáhanie rýchlej odpovede – teda čokoľvek, čo obeť navedie k tomu, aby rýchlo stlačila tlačidlo Odpovedať na službe Teams, a ocitla sa na falošnej prihlasovacej stránke.

phishing útok na microsfot 365 - teams podvod

Aby stránka vyzerala dôveryhodne,  vo falošnom oznámení bude meno aj fotka skutočnej osoby ktorá bude vyzerať ako reálny zamestnanec, prípadne ako zamestnanec inej firmy – počítačoví zločinci sa spoliehajú aj na fakt, že stres z urgentnej správy od niekoho neznámeho, vyžadujúceho rýchlu odpoveď, vynúti kliknutie na odkaz podvodného linku.

Oznámenie o zlyhaní doručenia

Ďalším falošným problémom vytvoreným na vyvolanie pocitu naliehavosti u príjemcu je údajné zlyhanie doručenia, napríklad kvôli chybe autentifikácie. V tomto prípade mala obeť kliknúť na odkaz aby sa jej zobrazil deklarovaný nedoručený e-mail. (Avšak na obrázku vidíme nepodarený pokus, kedy si útočníci nedali záležať na dôveryhodnej Office 365 prihlasovacej stránke).

útok na micrútok na microsfot 365 - nedoručenieosfot 365 - plný email

Samozrejme, takýto pokus môže byť nabudúce už dôveryhodnejšie vyzerajúci, a príjemca sa môže stať obeťou phishingu identity, po tom čo zadá svoje prihlasovacie údaje na falošnej stránke. Za zmienku stojí, že oznámenie o zlyhaní doručenia reálne dostáva odosielateľ – nie prijímateľ – ak server identifikuje, komu je správa určená, tak mu ju aj doručí. Preto je táto metóda nedokonalá, ale množstvo ľudí to nevie.

Oznámenie o plnej e-mailovej schránke

Oznámenie o plnej e-mailovej schránke varuje obeť pred dôsledkami, ktoré nechce aby nastali – nedoručovanie nových e-mailov. Takéto oznámenie v človeku vyvolá strach a tendenciu rýchlo situáciu riešiť. V tomto prípade dostali na výber z dvoch možností – odstrániť správy, alebo správy stiahnuť – väčšina ľudí sa rozhodne pre druhú možnosť a klikne na návnadu.

útok na microsfot 365 - plný email

Ako môžete vidieť, útočníci sa síce pohrali s paragrafom, ktorý hovorí o sociálnej zodpovednosti spoločnosti kvôli pandemickej situácii, avšak napríklad sa nenamáhali s presvedčivou biznis angličtinou. Avšak panika obete môže spôsobiť práve fakt, že prehliadne takáto varovný príznak podvodnej komunikácie.

Vypršanie platnosti hesla/ žiadosť o zmenu hesla

Zmenenie hesla je pomerne bežný postup pri kradnutí údajov. Politika vašej spoločnosti by zmenu hesiel mala vyžadovať pravidelne kvôli bezpečnosti účtov. Preto takéto oznámenie môže vyzerať ako preventívne opatrenie proti možnému úniku vašich dát – a samozrejme, aby ste si heslo zmenili, musíte najprv zadať heslo pôvodné. Práve kvôli tejto jednoduchosti a logike sú žiadosti o zmenu hesla základom pre phishingové e-maily.

útok na microsfot 365 - stare heslo

V tomto prípade ale nejde o príliš vydarený pokus – aj ak by vám nejako unikol zvláštna gramatika a formulácia, tak prihlasovacia stránka nevyzerá vôbec dôveryhodne.

 

Ako sa nenechať oklamať

Pamätajte, že vaše prihlasovacie údaje odomknú nielen možnosť odosielať e-maily z vášho účtu, ale aj prístup ku všetkým informáciám zhromaždených v e-mailovej schránke. Každá stránka požadujúca vaše prihlasovacie údaje do Office 365 účtu účtu si zaslúži preskúmanie, a to najmä ak čelíte tlaku, aby ste túto akciu zvládli rýchlo.

Dve základné rady na záver:

  • Vždy skontrolujte adresu ktorejkoľvek stránky požadujúcej prihlasovacie údaje. V závislosti od služby môžu legitímne prihlasovacie stránky obsahovať domény ako: microsoftonline.com, outlook.office.com, onmicrosoft.com alebo názov domény vašej spoločnosti.
  • Nasadiť bezpečnostné riešenie pre celú spoločnosť, ktoré bude blokovať takéto phishingové e-maily (Napríklad Kaspersky Security for Microsoft 365).

Autor originálneho článku (ENG): Roman Dedenok
Zdroj obrázkov a originálny článok: TU