Atak phishingowy

Atak phishingowy od kuchni – case study

Audyty bezpieczeństwa, Incydenty bezpieczeństwa, RODO, Testy penetracyjne

Phishing to najczęściej spotykana forma ataku socjotechnicznego. Jest prosta do przeprowadzenia, nie wymaga dużych nakładów finansowych, ale co najważniejsze jest niezwykle skuteczna. Dlatego też aby chronić się przed skutkami tego typu ataków firmy decydują się na realizację kontrolowanych testów phishingowych. Ich celem jest ustalenie na ile ostrożni są pracownicy i jakie mogą być skutki braku świadomości tego typu zagrożeń wśród kadry.

Poniżej opiszemy na realnym przykładzie jak przebiega tego typu atak, jak szybko zdobywa się w nim dane uwierzytelniające do firmowych zasobów oraz jakie mogą być tego konsekwencje.

Rekonesans

Pierwszym etapem ataku jest t.zw. rekonesans informacyjny. Ma on na celu zebranie ogólnodostępnych informacji na temat firmy i jej pracowników. Źródłem są m.in. portale społecznościowe (LinkedIn, Facebook), strony internetowe, rejestry państwowe – KRS i CEIDG, a także informacje z usług takich jak DNS, SMTP, WHOIS. Rekonesans ma na celu głównie ustalenie imion i nazwisk oraz adresów mailowych. Szczególnie dotyczy to osób pełniących w firmie określone funkcje, np. prezesa, członka zarządu, pracowników działów IT, kadr i finansowych.

Spear phishing

Spear phishing jest odmianą phishingu, w którym intruzi przygotowują scenariusz ataku dedykowany dla danego odbiorcy lub grupy odbiorców. Może np. polegać na wysłaniu maila do wszystkich pracowników, w którym intruz poda się za prezesa lub głównego informatyka fałszując dane nadawcy (spoofing). W mailu takim zachęca się pracowników do określonego działania, np. zalogowania się w serwisie internetowym. Link do serwisu wskazuje najczęściej na fałszywą domenę, której nazwa przypomina jednak prawdziwy adres strony. Różni się on najczęściej jakąś literówką, np. adres mojafrima.pl zamiast mojafirma.pl Zauważyliście różnicę w tych adresach za pierwszym razem? Właśnie z tego wynika skuteczność tego typu oszustw.

Case study

W naszym teście trafiliśmy na firmę, która wcześniej już przechodziła próby phishingowe i podjęła pewne działania aby utrudnić intruzom możliwość przeprowadzenia kolejnych ataków. W efekcie wdrożonych zabezpieczeń danych pracowników nie można było znaleźć na żadnym portalu typu LinkedIn, ani na stronie internetowej. Nie wyszukiwały ich też dedykowane do tego narzędzia typu harvester, które przeczesują różne wyszukiwarki internetowe w poszukiwaniu adresów z danej domeny. Jedynymi publicznie dostępnymi adresami email były adresy biuro@nazwa_firmy.pl oraz praca@nazwa_firmy.pl. W KRS-ie znaleźliśmy imiona i nazwiska członków zarządu, ale nie powiodły się próby odgadnięcia adresów e-mail z wykorzystaniem znanych schematów, takich jak: imie.nazwisko, pierwsza_litera_imienia.nazwisko itd.

Atak phishingowy na kadry

Postanowiliśmy w takim wypadku podjąć próbę wyłudzenia danych wszystkich pracowników. Licząc na to, że skrzynka praca@nazwa_firmy.pl jest obsługiwana przez kogoś z działu kadr wysłaliśmy na nią poniższą wiadomość:

mail phishingowy
Mail phishingowy do działu kadr

W mailu posłużyliśmy się specjalnie do tego celu zarejestrowaną domeną nawiązującą nazwą do ZUS-u. W tej domenie utworzyliśmy skrzynkę, z której wysłana została wiadomość. Użyliśmy tutaj kilku socjotechnik:

  • Powołanie się na aktualną sytuację związaną z korona wirusem i tarczą antykryzysową (umotywowanie działań)
  • Powołanie się na konieczność aktualizacji danych w celu pomocy firmie (reguła zaangażowania)
  • Prośba o przesłanie tylko imion i nazwisk, bez danych wrażliwych (dbamy o bezpieczeństwo, oszust by tak nie zrobił, zażądałby pełnych danych)
  • Brak danych kontaktowych typu e-mail i telefon „ze względu na trwającą sytuację” (brak możliwości szybkiej weryfikacji)
  • Ładna stopka nieistniejącego inspektoratu

Jaki był efekt tak przygotowanego scenariusza? Po kilku godzinach w odpowiedzi na powyższego maila otrzymaliśmy listę kilkuset pracowników firmy. Co więcej, odpowiedź przyszła z imiennej skrzynki pracownika więc udało się jednocześnie ustalić obowiązujący w firmie format adresów e-mail (dosyć rzadko spotykany, bazujący na kilku pierwszych literach imienia i nazwiska).

Dalszy rekonesans

Pozostało nam więc już tylko wygenerować listę adresów e-mail wszystkich pracowników i przygotować kolejny scenariusz phishingu. Tym razem postanowiliśmy podszyć się pod głównego informatyka. Ale skąd wziąć jego imię i nazwisko (wyłudzona lista pracowników nie zawierała stanowisk)? Nie jest to takie trudne. Sprawdzamy w bazie WHOIS kto jest podany jako opiekun techniczny puli adresów IP, z której korzysta firma. A skąd wiemy z jakich adresów korzysta firma? Z nagłówków SMTP maila otrzymanego z działu kadr. W nagłówkach SMTP odkłada się informacja o każdym adresie IP na drodze od nadawcy do odbiorcy (pole „Received:”). W tym jednak wypadku w bazie WHOIS nie występowały dane abonenta danej puli adresowej, a dane lokalnego dostawy Internetu. Zadzwoniliśmy więc na główny numer biura i podając się za pracownika tego dostawcy poprosiliśmy o dane informatyka w związku z koniecznością aktualizacji bazy abonenckiej i przekazania informacji o planowanej przerwie w dostawie internetu. Otrzymaliśmy imię, nazwisko i adres mailowy, który zgodny był z ustalonym już wcześniej schematem.

Atak phishingowy – straszymy RODO

W kolejnym mailu podszywając się tym razem pod informatyka informujemy wszystkich pracowników, że Urząd Ochrony Danych Osobowych przygotowuje kontrole w naszym sektorze. W związku z tym każdy pracownik powinien sprawdzić, czy jego hasło spełnia wymogi rozporządzenia RODO. Poniżej użyta treść maila:

fake rodo
Mail phishingowy do wszystkich pracowników

W tym mailu również zastosowaliśmy kilka sztuczek socjotechnicznych:

  • Domena, pod którą znajdował się formularz phishingowy przypominała domenę firmy, różniła się jedynie jedną literą
  • Informujemy pracowników, że formularz jest bezpieczny bo pyta wyłącznie o hasło, bez loginu (w rzeczywistości każdy odbiorca otrzymywał unikalny link, na podstawie którego mogliśmy przypisać hasło do użytkownika)
  • Prosimy o weryfikację czy na stronie jest „kłódeczka” odwracając tym samym uwagę od zagrożenia (na stronie użyliśmy certyfikatu SSL, więc kłódeczka oczywiście była budząc złudne zaufanie)
  • Używamy formatu stopki stosowanego w firmie (poznaliśmy go w mailu z działu kadr)
  • Informacja, że hasła muszą spełniać wymagania RODO jest fałszywa, RODO nie stawia w tym zakresie żadnych wymogów. Ale o tym mało kto wie.

Żniwa

Z naszych statystyk wynika, że tego typu atak odnosi skuteczność na poziomie 30-50%. I w tym wypadku nie było inaczej. W ciągu pierwszych kilku godzin od wysyłki pracownicy firmy podali w formularzu ponad 70 haseł (niektórzy weryfikowali więcej niż jedno hasło). Poniżej zrzut z logów serwera, na którym zapisywane były dane z formularza phishingowego:

hasła z formularza phishingowego
Hasła z formularza phishingowego

Powyższy zrzut dotyczy przedziału czasowego pomiędzy godz. 9.00 a 11.30 – w dwie i pół godziny udało się „złowić” prawie 50 haseł. Druga kolumna reprezentuje adresy IP, trzecia hasła poprzedzone identyfikatorem użytkownika, który przekazany był w linku.

Podsumowanie

W tym konkretnym teście chodziło o ocenę poziomu zagrożenia w stosunku do 100% pracowników. Tego typu działanie wiąże się jednak z ryzykiem, że ktoś z bardziej świadomych odbiorców maila w chwili rozpoznania zagrożenia ostrzeże pozostałych pracowników. Jak widać nie przeszkadza to jednak w skutecznym przejęciu dużej ilości haseł. Przestępcy zachowują się jednak najczęściej nieco ostrożniej. Kierują swój atak na grupę zaledwie kilku pracowników aby przejąć dostęp do przynajmniej jednej skrzynki. W środowiskach chmurowych takich jak Office365 daje to już najczęściej dostęp do całej masy poufnych danych (OneDrive, Sharepoint, udostępnione skrzynki, kalendarze itd.). Z przejętej skrzynki dużo łatwiej jest też wciągać w dalszą interakcję kolejnych użytkowników prosząc ich o dane, hasła lub otwarcie przesyłanych załączników. Z naszego doświadczenia wynika, że przesłanie około 10 maili wystarczy aby uzyskać dostęp do 2-3 skrzynek.

Jak się bronić?

Kontrolowane testy socjotechniczne mają bardzo przydatny wymiar edukacyjny. Przygotowane na ich podstawie podsumowanie stanowi cenny materiał, który możemy wykorzystać w ramach szkoleń security awareness. Pracownicy dużo poważniej podchodzą do zagrożenia, gdy pokażemy im, że jest ono realne i że w zetknięciu z nim nie mają szans jeśli nie zachowają odpowiednich środków ostrożności.

Jeśli chcielibyście taki audyt przeprowadzić w swoim środowisku, zapraszamy was do zapoznania się z naszą ofertą na testy socjotechniczne i próby phishingowe. A jeśli interesują Was wyłącznie szkolenia pracowników, do zaoferowania mamy szkolenia security awareness (bezpieczny pracownik) w ciekawej formule online.

 

facebookObserwuj
TwitterObserwuj

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.