Finančnímu řediteli Thein v minulém týdnu dorazil e-mail, ve kterém jej ředitelka firmy, Irena Hýsková, vyzývá k zaplacení 9 850 EUR do Itálie. V řadě firem by podobná aktivita, dokonce i v tak amatérském provedení, vedla skutečně k zaplacení a finanční škodě. „CEO Fraud“, jak se těmto aktivitám říká, míří denně na stovky firem a ročně představuje škody ve výši až desítek miliard dolarů.
V tomto konkrétním případě (viz níže) finanční ředitel velmi rychle zareagoval a bylo možné varovat i ostatní zaměstnance, že se někdo pokouší o cílený phishing (spear phishing) pro případ, že by útočník zkoušel štěstí ještě u jiných lidí.
From: Irena Hýsková czxc@ro.ru
Subject: PlatbaPotřebujeme odeslat platbu ve výši 9 850,00 EUR do Itálie.
Je to možné/proveditelné?
Jaké informace nebo další podrobnosti budete potřebovat k provedení platby?S pozdravem
Irena Hýsková
Přestože tentokrát šlo o velmi jednoduchý případ, Spear phishing bývá často velmi sofistikovaný a pro netrénované oko obtížně rozpoznatelný. Zde například není vidět žádná snaha maskovat odesílací adresu, útočník neznal firemní standardy a kulturu, takže chybí standardizovaný firemní podpis. Nejběžnější scénáře podobného útoku se snaží vyvolat urgenci, stanovují krátké termíny, či tvrdí, že se jedná o tajnou firemní strategickou operaci. Velmi často také používají hrozby typu platby penále, nebo pokuty, zablokováním dodávek a podobně. Útočník často spoléhá na to, že bude mocí s cílem phishingu komunikovat, ale velmi často také e-maily obsahují přímo platební údaje a tím dále zvyšují tlak na příjemce.
Odesílací e-mail je v tomto případě na freemailové službě na ruském portálu Rambler. V pokročilejších případech si ale útočníci běžně zřizují domény, které jsou pro nezkušené uživatele obtížně rozpoznatelné od cíle útoku (místo domena.cz použijí například donena.cz, nebo domena.com).
Spear Phishing ale nemusí sledovat čistě finanční cíle, může vést ke ztrátě firemního know how, ale třeba i k úniku přihlašovacích údajů, které útočník může dále využít, nebo je prodat na černém trhu. Využívá se i k nasazení trojských koňů či útoku s pomocí ransomware.
Jak se chránit
Řadu phishingových pokusů zastaví kvalitní anti-spamové řešení, zejména takové, která se dokáží učit s pomocí AI a využívají dostupných databází phishingových útoků. E-mailové servery by měly mít správně nastavenou DMARC autentizaci. Často jsou součástí spear phishingu i škodlivé přílohy, takže se vyplatí nasadit kvalitní anti-malware. Nejlépe takový, který umí přílohy zkontrolovat otevřením v bezpečném prostředí. Nelze ale spoléhat na jeden systém, je potřeba na firemní bezpečnost pohlížet jako na komplexní disciplínu, takže je nutné dbát i na zabezpečení firemních systémů jako takových.
Útok může zastavit antivirové/antimalware řešení, ukradené přístupové údaje může zastavit multifaktorové ověření a správné zacházení s hesly, komunikaci mohou chránit elektronické podpisy a šifrování, ve velkých firmách je třeba mít i aktivní monitorování sítě s detekci podezřelých aktivit a v neposlední řadě bezpečnostní monitoring.
Chránit se před phishingem je tedy nejen možné, ale i nutné.
Začít by se mělo zejména u vzdělávání zaměstnanců, samozřejmě je více než vhodné zaměstnance také pravidelně testovat. Nesmíme ale zanedbat ani kontrolní mechanismy, například finanční oddělení by nemělo provádět žádné platby bez odpovídající kontroly (kontrola čtyřech očí, potvrzení telefonem…).
Mít dobře nastavené procesy a kontrolní mechanismy je ale jenom jednou částí skládačky. Další neméně důležitou jsou zmíněná technologická řešení. Mimo již zmíněný anti-malware lze rozhodně doporučit řešení založené na kombinaci XDR a 24/7 hod dohledu.
O Thein Security
Thein Security je zatím nejmladší značkou skupiny Thein Digital a zastřešuje veškeré její aktivity v oblasti kybernetické bezpečnosti. Thein Security nabízí komplexní služby spojené s ochranou firem v kyberprostoru, včetně prevence úniku citlivých dat, obrany proti sofistikovaným útokům, detekce neznámého malware nebo aktivní ochrany proti DDoS útokům. Jednou z hlavních specializací firmy je vlastní bezpečnostní středisko SOC (Security Operations Center), které je poskytováno těm zákazníkům, kteří se chtějí soustředit na své podnikání, ale současně vyžadují prvotřídní dohled nad ochranou svých dat v kyberprostoru.