V minulosti se kybernetické útoky dostávaly do podvědomí spíše jen v odborné komunitě, ale v poslední době se útoky více a více dotýkají i běžných občanů. Ať už se jedná o zdravotnické organizace nebo třeba chytré hodinky.
Předpokládá se, že obdobné útoky, často „šité na míru“ konkrétní organizaci, budou pokračovat. Typickým způsobem průniku (vektorem útoku) do cílové sítě nebo aplikace bývá v takovýchto případech právě phishingový e-mail.
Co je phishing
Phishing je podvodná technika cílící na uživatele, jakožto často nejslabší článek při zabezpečení většiny systémů. Prostřednictvím e-mailu nebo jiné obdobné zprávy, se útočník snaží uživatele oklamat a přimět k vykonání určité zdánlivě neškodné akce, která však ve svém důsledku může zásadně narušit bezpečnost informačního systému. Může se jednat o zadání přihlašovacích údajů, nebo spuštění škodlivého kódu. V prvním případě phishingový e-mail obsahuje odkaz na webovou stránku, kde lze údajně po přihlášení odblokovat účet, nebo provést jinou nutnou akci, jak je vysvětleno v e-mailu. Ve skutečnosti však odkazovaná webová stránka nepatří k aplikaci, za kterou se vydává a jejíž vzhled kopíruje, ale nachází se na jiné adrese a ukládá zadané přihlašovací údaje. Ve druhém případě, kdy útočník usiluje o spuštění škodlivého kódu, je v příloze e-mailu obsažen některý typ přímo spustitelného souboru, často používaná jsou i makra pro MS Word a Excel, nebo je připojen odkaz na stažení tohoto souboru. Tímto způsobem může útočník získat vzdálený přístup do počítače oběti i interní sítě napadené společnosti, využívat další zranitelnosti, napadat další zařízení, a nakonec třeba všechna data zašifrovat a požadovat výkupné (jak to dělá např. ransomware Ryuk).
Phishingové e-maily mohou být naslepo zasílány tisícům uživatelů s tím, že mezi nimi budou i uživatelé, pro které je tento útok relevantní (např. jsou klienty konkrétní banky), nebo mohou být zacíleny na menší skupinu konkrétních uživatelů. Tento cílený phishing se označuje jako spear phishing. Zaměřovat se může např. na zaměstnance konkrétní společnosti a jimi používané systémy, nebo na zaměstnance na určité pozici ve více společnostech. U těchto phishingových e-mailů bývá věrohodně napodoben používaný styl komunikace a neobsahují ani jazykové chyby. Úspěšnost takovýchto cílených útoků je potom podstatně vyšší, stejně však i náročnost jejich přípravy.
Phishing, stejně jako další útoky zaměřené na uživatele, využívají manipulativních technik sociálního inženýrství. Využívány jsou emoce jako je strach z možného postihu, často je navozena stresová situace, kdy se uživatel má rozhodnout pod časovým nátlakem, nebo naopak může být zneužita jeho ochota pomáhat kolegům.
Phishing jako součást penetračních testů
Phishingové kampaně nerealizují jen útočníci, kteří mají zlé úmysly, ale může jít i o legitimní test zabezpečení. Phishingový test může proběhnout samostatně nebo v rámci penetračního testu, který kromě zranitelností v interní síti, nebo na rozhraních dostupných z internetu, prověří i samotné uživatele.
Při penetračním testu je do určité míry simulován útok na daný informační systém, jsou identifikována a prověřena slabá místa a dovozeny možné důsledky plynoucí z využití této zranitelnosti. Na rozdíl od skutečného útoku však penetrační test nemá za následek únik citlivých informací nebo zašifrování dat, ale zadavatel dostane podrobnou zprávu s popisem nalezených zranitelností a doporučení pro jejich eliminaci.
Phishingový test, stejně jako jiné typy penetračních testů, typicky zajišťuje externí bezpečnostní společnost, která disponuje zkušenými pracovníky, potřebným know-how a nástroji.
Průběh phishingového testu
Před samotnou realizací simulované phishingové kampaně je potřeba si se zadavatelem jasně vymezit rozsah testu, tj. především určit:
- na které uživatele bude test cílen,
- zda zadavatel poskytne e-mailové adresy zaměstnanců, nebo se testeři v první fázi pokusí informace vyhledat na internetu,
- předběžný scénář útoku, tj. zda se pokusit o získání přihlašovacích údajů (a do kterého systému) nebo o spuštění kódu; při větším množství uživatelů může probíhat více phishingových kampaní u různých skupin uživatelů a následně lze srovnávat úspěšnosti těchto kampaní,
- požadavky na součinnost zadavatele, což může být relevantní při testování, zda „škodlivý kód“ překoná používaná technická opatření,
- zda se jedná o jednorázový, nebo opakovaný projekt,
- případné další navazující aktivity (školení uživatelů, konzultační služby, apod.)
Reálnému útoku se blíží testy, při kterých mají testeři k dispozici menší množství informací a ty se musí nejdříve pokusit dohledat na internetu (e-mailové adresy, používané systémy, adresy přihlašovacích rozhraní, apod.). Na druhou stranu takové testy jsou časově náročnější, což s sebou nese i vyšší náklady na jejich realizaci.
Po vyjasnění rozsahu testů dojde k vypracování scénáře útoku, především k formulaci textu samotného phishingového e-mailu. Může jít např. o zprávu IT oddělení s žádostí o přihlášení se do nové verze webové aplikace, požadavek na odblokování přístupu do aplikace, nebo o přiloženou nezaplacenou fakturu. Pokud to scénář vyžaduje, je založena falešná přihlašovací stránka, v ideálním případě stejného vzhledu s obdobnou adresou a zabezpečeným připojením přes HTTPS.
Po odeslání phishingových e-mailů následuje automatické zachytávání zadaných přihlašovacích údajů nebo dat odeslaných po spuštění testovacího škodlivého kódu. Nejvyšší množství záznamů bývá získáno několik hodin po odeslání e-mailů, nicméně data jsou zaznamenávána přibližně ještě týden, aby mohli zareagovat např. i zaměstnanci, kteří čerpali dovolenou.
Základním ukazatelem k vyhodnocení phishingové kampaně je její úspěšnost měřená jako procentuální podíl uživatelů, kteří vykonali útočníkem požadovanou akci. Na straně IT oddělení zadavatele je potom možno sledovat množství nahlášených phishingových e-mailů. Pokud probíhá souběžně více phishingových kampaní s více scénáři, je možno srovnávat jejich úspěšnost. Některé kampaně mohou být z pohledu útočníka neúspěšné, a to, pokud se nepovede nachytat žádného uživatele, nebo zafunguje některé technické opatření (antispam, antivir). Mnohdy však úspěšnost dobře zacílené kampaně může přesáhnout 50 %. Pro úspěšnou kompromitaci sítě nebo systému však může stačit i jediný nachytaný uživatel.
Výstupem z phishingového testu, stejně jako v případě jiných penetračních testů, je závěrečná zpráva, která popisuje průběh testů, zjištěné nedostatky a dává doporučení pro zlepšení stavu. Na simulovanou phishingovou kampaň může navazovat školení uživatelů z oblasti IT bezpečnosti. Samotný phishingový test, je-li vhodně pojat a prezentován, lze chápat jako určitou formu praktického školení uživatelů. Phishingové testy a školení uživatelů by měly nejlépe probíhat opakovaně (např. každoročně), neboť uživatelé s postupem času polevují v pozornosti a též dochází k fluktuaci pracovníků. V případě opakovaných testů je možné sledovat dlouhodobé trendy i vlivy školení na úspěšnost jednotlivých phishigových kampaní.
Přínosy phishingových testů
Ptáte se, v čem vám bezpečný phishingový útok vedený penetračním testery může pomoci?
- Odhalí případná slabá místa vašeho zabezpečení. Phishingový e-mail často stojí na začátku závažných bezpečnostních incidentů.
- Otestuje, zda nasazená technická opatření a zabezpečení fungují a proti jakému typu útoku.
- Zvýšíte povědomí uživatelů o rizicích e-mailové komunikace, pozitivní školící efekt je obrovský.
- V kombinaci s dalšími typy penetračních testů jde o vhodnou simulaci možností reálného útočníka.
Při obraně proti phishingu a následnému pronikání útočníka do dalších systémů má pochopitelně nezastupitelnou roli i správná konfigurace systémů a různá technická opatření – filtrace spamu, antivirová řešení, ať už v rámci e-mailového serveru, či na koncových stanicích, monitoring bezpečnostních událostí a síťové komunikace (SIEM, IDS/IPS) nebo řízení zranitelností. Společnost, věnující se komplexně IT bezpečnosti, vám kromě penetračních testů dokáže pomoci i v uvedených oblastech, resp. navrhne na míru řešení, které bude odpovídat vašim potřebám.
Od nás pro Vás
Uvědomujeme si závažnost kybernetických hrozeb a rozhodli jsme se, že vás v tom nenecháme samotné. Novým zákazníkům, kteří si objednají interní nebo externí penetrační test, nabízíme provedení běžného phishingového testu zcela zdarma. Samostatné phishingové testy nabízíme po omezenou dobu za výrazně zvýhodněnou cenu. Rádi Vám vyhotovíme nezávaznou nabídku. Napište nám na business@axians.cz.