Cyberprzestępcy coraz częściej skupiają się na firmach, które pokładają zbyt duże nadzieje w zautomatyzowanych rozwiązaniach chroniących ich sieci. Przestrzegają przed tym zjawiskiem pentesterzy z F-Secure, czyli etyczni hakerzy przeprowadzający kontrolowane ataki na swoich klientów (najczęściej duże przedsiębiorstwa), w celu wykazania słabych punktów w ich zabezpieczeniach.
– Technologia nie zawsze jest w stanie ustrzec nas przed niebezpieczeństwem i powinna raczej pełnić funkcję wspomagającą ochronę – mówi Leszek Tasiemski, lider specjalnej jednostki RDC w firmie F-Secure. – Cyberprzestępcy ciągle doskonalą umiejętności socjotechniczne, aby przechytrzyć osoby zatrudnione w firmach. Zapewnianie pracowników o tym, że są bezpieczni, jest działaniem na niekorzyść, bo może prowadzić do uśpienia ich czujności, a na to właśnie liczą hakerzy – wyjaśnia Tasiemski.
Przykładem zastosowania socjotechnik w ataku jest phishing, czyli wysyłanie sfałszowanych wiadomości i podszywanie się pod osobę lub instytucję, w celu wyłudzenia określonych informacji. Według ostatniego badania przeprowadzonego przez PwC w 2016 roku phishing znalazł się na 1. miejscu wśród najpopularniejszych metod ataku stosowanych wobec instytucji finansowych. Niepokojąca jest również coraz większa dostępność do gotowych „pakietów” umożliwiających przeprowadzenie kampanii phishingowej, które krążą po tzw. darknecie (ciemnej stronie Internetu, z której często korzystają cyberprzestępcy). W tych gotowych paczkach znajdują się przygotowane już treści sfałszowanych maili, listy adresów e-mail czy nazwy serwerów, do których hakerzy uzyskali dostęp.
– Phishing cieszy się bardzo wysoką skutecznością podczas kontrolowanych ataków, które przeprowadzamy w przedsiębiorstwach. Pracownicy najczęściej nie spodziewają się, że e-mail, który dostają lub witryna, z której powszechnie korzystają, mogą być sfałszowane – mówi Leszek Tasiemski.
Podczas przeprowadzania jednego z ostatnich kontrolowanych ataków, eksperci z F-Secure rozesłali sfałszowany mail udający wiadomość z serwisu LinkedIn, żeby sprawdzić, ilu pracowników kliknie w link podany w mailu. Wynik był zatrważający, bo kliknęło aż 52% osób. W innym eksperymencie grupa CSS stworzyła mail prowadzący do sfałszowanego portalu. W tym przypadku w przekierowujący link kliknęło 26% osób, a 13% osób zalogowało się na sfałszowanej stronie, używając swoich danych logowania.
Kontrolowane ataki opierają się na serii testów zaprojektowanych, by wykazać, co dana firma robi dobrze, a co źle w zakresie bezpieczeństwa. Działania sprawdzają, czy przedsiębiorstwo odpowiednio wykrywa i odpowiada na symulowane ataki, których celem jest wykradanie danych finansowych, własności intelektualnej czy przejęcie kontroli nad infrastrukturą sieciową.
Pentesty najczęściej zaskakują firmy, obnażając, w jak wielkim stopniu są one narażone na ataki. Przekonanie przedsiębiorstw o ich bezpieczeństwie najczęściej zgoła różni się od faktycznego poziomu ochrony i tego, co dostrzegają cyberprzestępcy. Testy wykazują całą powierzchnię ataku, czyli newralgiczne punkty, które mogą stanowić cel hakerów – nie tylko w cyfrowym, ale również w fizycznym wydaniu.
– Wiele firm nie spodziewa się tego, że uzyskamy dostęp fizycznie, wkradając się do budynku. Na dodatek często jest to zaskakująco proste zadanie. Wystarczy pracownicza odblaskowa kamizelka bezpieczeństwa, która działa lepiej niż peleryna niewidka rodem z Harry’ego Pottera – podsumowuje Tasiemski.