Cyberprzestępcy wykorzystują wewnętrznych „szpiegów” w celu uzyskania dostępu do sieci telekomunikacyjnych oraz danych abonentów, rekrutując niezadowolonych lub nielojalnych pracowników takich firm lub szantażując personel przy użyciu kompromitujących informacji uzyskanych z otwartych źródeł. Takie są wyniki raportu analitycznego Kaspersky Lab dotyczącego zagrożeń bezpieczeństwa dla branży telekomunikacyjnej.
Dostawcy usług telekomunikacyjnych stanowią popularny cel cyberataków. Obsługują i zarządzają globalnymi sieciami, transmisją głosową oraz danych, jak również przechowują ogromne ilości poufnych danych. To czyni takie firmy niezwykle atrakcyjnym celem cyberprzestępców zainteresowanych uzyskaniem korzyści finansowych oraz sponsorowanych przez rządy ugrupowań przeprowadzających ataki ukierunkowane, a nawet konkurencji.
W celu osiągnięcia swoich celów cyberprzestępcy często wykorzystują pracowników atakowanych organizacji jako „narzędzia” do przeprowadzania ataków, które pomoże im uzyskać dostęp do sieci firmy telekomunikacyjnej i przeprowadzić szkodliwe działania. Z nowego badania przeprowadzonego przez Kaspersky Lab i B2B International1 wynika, że 28% wszystkich cyberataków i 38% ataków ukierunkowanych ma związek ze szkodliwą aktywnością pracowników atakowanych firm. W raporcie zbadano popularne sposoby rekrutowania pracowników atakowanych firm do udziału w kampaniach przestępczych związanych z branżą telekomunikacyjną i pokazano, do czego wykorzystywane są takie osoby.
Kompromitowanie pracowników
Badacze z Kaspersky Lab wyłonili dwie najpopularniejsze metody angażowania lub wabienia pracowników branży telekomunikacyjnej przez cyberprzestępców:
- przy użyciu publicznie dostępnych lub skradzionych wcześniej danych w celu znalezienia kompromitujących informacji dot. pracowników firmy, która jest celem ataku. Przestępcy szantażują wybrane osoby – nakłaniając je do przekazania korporacyjnych danych uwierzytelniających, dostarczenia szczegółów dotyczących systemów wewnętrznych i innych poufnych danych;
- rekrutowanie chętnych pracowników atakowanych firm za pośrednictwem forów cyberpodziemia lub serwisów tzw. „czarnych rekruterów”. Takie osoby otrzymują zapłatę za swoje usługi i mogą zostać również poproszone o wskazanie współpracowników, którzy mogą być podatni na szantaż.
Metoda szantażu zyskała na popularności po incydentach naruszenia bezpieczeństwa danych online, takich jak wyciek danych klientów serwisu Ashley Madison. Dzięki takim wyciekom atakujący uzyskują materiał, który mogą wykorzystać w celu zastraszenia ofiar lub postawienia ich w kłopotliwej sytuacji.
Najbardziej poszukiwani pracownicy
Według badaczy z Kaspersky Lab jeśli planowany jest atak na dostawcę usług telefonii komórkowej, przestępcy będą szukali pracowników, którzy mogą zapewnić szybki dostęp do danych firmowych i dotyczących abonentów lub będących w stanie pomóc w zduplikowaniu karty SIM. Jeśli cel ataków stanowi dostawca usług internetowych, przestępcy będą próbowali zidentyfikować osoby, które mogą umożliwić uzyskanie informacji o wewnętrznej infrastrukturze IT ofiary.
Jednak opisywane zagrożenia mogą przyjąć wszelkie formy. Badacze z Kaspersky Lab zaobserwowali dwa nietypowe przykłady. W pierwszym przypadku fałszywy pracownik firmy z branży telekomunikacyjnej spowodował wyciek obejmujący rozmowy telefoniczne 70 milionów więźniów, z których wiele stanowiło naruszenie tajemnicy adwokackiej. W drugim przypadku inżynier pomocy technicznej został zauważony na popularnym podziemnym forum DarkNet, gdzie przechwalał się swoimi możliwościami przechwycenia SMS-ów zawierających hasła jednorazowe do uwierzytelnienia dwuskładnikowego wymaganego w celu zalogowania się do kont klientów w popularnym serwisie finansowym.
– Czynnik ludzki często stanowi najsłabsze ogniwo w korporacyjnym bezpieczeństwie IT. Sama technologia rzadko wystarcza do zapewnienia organizacji pełnej ochrony w świecie, w którym atakujący nie zawahają się przed wykorzystaniem 'czułego punktu’ pracownika firmy stanowiącej ofiarę. Organizacje mogą na początek spojrzeć na siebie z punktu widzenia atakującego. Jeśli na forach podziemnych zaczynają pojawiać się propozycje pracy dotyczące Twojej firmy lub zauważysz tam swoje dane, może to oznaczać, że ktoś wziął Cię na swój celownik. Im wcześniej dowiesz się o tym, tym lepiej będziesz mógł się przygotować – powiedział Sergiej Gordejczyk, zastępca dyrektora ds. technicznych, Kaspersky Lab.
W celu zapewnienia firmie ochrony przed zagrożeniem ze strony jej własnych pracowników na usługach cyberprzestępców Kaspersky Lab zaleca następujące działania:
- Należy zorganizować dla personelu szkolenie na temat odpowiedzialnego zachowania w zakresie cyberbezpieczeństwa oraz zagrożeń, na jakie trzeba uważać, jak również wprowadzić solidne polityki dotyczące wykorzystywania firmowych zasobów IT.
- Należy zwrócić się do ekspertów, którzy oferują zaawansowaną analizę zagrożeń. Takie informacje pozwolą zrozumieć, dlaczego cyberprzestępcy mogą być zainteresowani uderzeniem w firmę, i ustalić, czy ktoś z personelu pomaga atakującym.
- Należy ograniczyć dostęp do najbardziej poufnych informacji i systemów.
- Należy regularnie przeprowadzać audyt bezpieczeństwa firmowej infrastruktury IT.