Słońce, gorący piasek, lazurowa głębia i wspaniała kuchnia. – Ech – westchnęła rozmarzona Basia, kiedy rozległ się gong zjeżdżającej windy. Urlop minął w mgnieniu oka, pozostały wspomnienia i plany na kolejne wycieczki. Przed nią szara rzeczywistość, czyli wyzwania świata biznesu. Dokładnie rzecz ujmując – finansów.

PROLOG
„Diiing” – 17 piętro. Tak, to jej przystanek. Wysiada. Jeszcze kilka ploteczek z ostatnich dwóch tygodni, nadrobienie zaległości korporacyjnych, czyli rumor update i zabiera się do roboty. – 217 nowych wiadomości? Jesień mnie zastanie, zanim się z tego odkopię – rzuciła bez entuzjazmu. Poszło zdecydowanie lepiej, niż zakładała Basia. Większość wiadomości to wsad do kwartalnych raportów dla Zarządu, kilka tzw. e-mail forward, czyli niech się inni martwią, no i oczywiście wszechobecny spam. Mimo wszystko budzi on w nas ciekawość, bo zanim trafi rzeczywiście do kosza, przeglądamy zawartość kolejnych wiadomości, np. wpadnie kupon rabatowy albo pojawi się ciekawa ploteczka ze świata show biznesu. No i oczywiście reklamy. Mnóstwo reklam będących wynikiem odwiedzanych przez nas stron internetowych zachęcających do umieszczenia adresu e-mail w zamian za „niesamowicie” odżywczy krem lub inne specyfiki, po których nasza sylwetka będzie przypominać modelki z reklam.
Basia dokonując selekcji w poczcie, oczywiście natrafiła też na kolejny rachunek za energię elektryczną, niedostarczoną paczkę i wezwanie do natychmiastowej aktualizacji swojego konta w PayPal, którego nigdy nie zakładała. Była czujna. Regularne szkolenia prowadzone przez firmowy dział bezpieczeństwa odniosły pożądany efekt. Użytkownicy wiedzieli, co można, a czego nie należy klikać. Na koniec zostawiła sobie korespondencję, której zadaniem było wymuszenie na czytelniku podania adresu e-mail lub danych do autoryzacji. – Zwykły phishing. Nie dam się nabrać. O! jeszcze wyłączenie subskrypcji niechcianych reklam. To proste: przycisk unsubscribe i po sprawie. Pierwszy dzień za mną, uff! – pomyślała Basia.

MAIL OD PREZESA
Mijały kolejne dni, przelewy, akceptacje, sprawozdania – codzienność księgowej. W firmie huczało nt. finalizacji dużego kontraktu, jakim było wykonanie II etapu autostrady. Zbliżał się koniec miesiąca i pozostało jeszcze klika przelewów do akceptacji. W tym samym w czasie do skrzynki Basi wpadł e-mail. Kątem oka Basia zauważyła na wyświetlonym dymku, iż wiadomość pochodzi od Prezesa. Pospieszne otworzyła. Prezes rozpoczął wiadomość od krótkich przeprosin, że tak późno wysyła e-mail i że robi to z telefonu, ale właśnie wsiada to samolotu i przypomniał sobie o pilnej sprawie. Szczegóły w treści wiadomości poniżej.
Poniżej zamieszczona była korespondencja pomiędzy głównym podwykonawcą budowlanym, działami prawnymi owej firmy i firmy Basi. Chodziło o zmianę rachunku bankowego podwykonawcy w związku z ich fuzją z inną firmą budowalną. Oczywiście cała korespondencja opatrzona zestawieniami prac, szczegółowymi tabelami z kosztorysem oraz planem działań następnych etapów projektu. Mając tak szczegółowe informacje zatwierdzone przez Prezesa i działy prawne, nie miała wątpliwości, co należy zrobić. Wykonała przelew zgodnie z zaleceniami.
Po dwóch tygodniach odebrała telefon z działu finansowego wspomnianego podwykonawcy z pytaniem: co jest powodem opóźnienia płatności? A że kwota wynosiła ponad 5 mln zł, puls Basi przekroczył nominalne wartości kobiety w jej wieku. – Jak to? – spytała. – Dokonałam przelewu w wyznaczonym terminie, zgodnie z harmonogramem płatności i odbioru poszczególnych etapów prac – powiedziała. Niestety głos w słuchawce zdawał się nie rozumieć wyjaśnień, tłumacząc się przestojem robót, utratą płynności finansowej, karami umownymi za nieterminowość prac. Te i wiele innych argumentów, które usłyszała zdenerwowana Basia nie zmąciły jej czujności.

Spytała: – A może Państwo błędnie podaliście nam ten nowy numer rachunku do przelewu?
– Jaki nowy numer?!– padło ze słuchawki.
– O czym Pani mówi? Nie zmienialiśmy żadnego numeru!

ŻADNEJ FAŁSZYWEJ TREŚCI CZY ABY NA PEWNO?
W tym momencie Basia wiedziała, że jest naprawdę źle. Próba wyjaśnienia zaistniałej sytuacji własnymi siłami nie przyniosła rozwiązania. Kwota 5,4 mln zł faktycznie została przelana na rachunek, z tym, że nie należał on do podwykonawcy. Analiza feralnego e-maila, na podstawie którego doszło do tej fatalnej pomyłki, również nie przyniosła pożądanego efektu. Żadna ze stron nie przyznała się do treści umieszczonych w tej wiadomości, chociaż e-mail nie różnił się niczym od typowej korespondencji, jaka była prowadzona regularnie pomiędzy firmami. Adresy e-mail, struktura wiadomości, podpisy, czcionki, kolorystyka, logotypy, no i oczywiście chronione tajemnicą handlową etapy prac zawierające kosztorysy – wszystko się zgadzało, żadnej fałszywej treści z wyjątkiem 26 cyferek stanowiących numer rachunku bankowego.
Sprawę przekazano ekspertom. Wnikliwa analiza wykazała, iż e-mail został spreparowany. Ustalono adresy serwisów, z których ta wiadomość została wysłana. Jednakże wciąż pozostawało niewyjaśnionym, skąd przestępcy mieli szczegółowe informacje dotyczące danych poufnych zawartych w owym e-mailu. Pracownicy byli lojalni wobec swojej firmy, nikt nie chwalił się na zewnątrz takimi informacjami. Dane elektroniczne były właściwie chronione przed wyciekiem dzięki systemom informatycznym. Więc jak do tego doszło?

ZAGADKA ROZWIĄZANA
Dalsza analiza komputera Basi wykazała, że w systemie miało miejsce pewne zdarzenie. Utworzyło ono komunikację pomiędzy komputerem głównej księgowej a innym komputerem, którego adresu IP nie można było odnaleźć. Szczegółowe badania dowiodły, że wyzwalaczem okazał się jeden z e-maili, przeglądany przez Basię w pierwszym dniu pracy po urlopie. Była to jedna z reklam, w której Basia odmówiła dalszej subskrypcji, klikając przycisk unsubscribe. Po wciśnięciu tego przycisku komputer został zainfekowany złośliwym kodem. Umożliwił on przestępcom przejęcie pełnej kontroli nad komputerem Basi – zagadka rozwiązana. Podobne sytuacje zdarzają się codziennie. Ofiarami padają tysiące osób, mniej lub bardziej świadomych zagrożeń cybernetycznych.

JAKIE SĄ MOTYWY I MECHANIZMY, KTÓRYMI KIERUJĄ SIĘ PRZESTĘPCY?
Mam wrażenie, że bezpowrotnie minęły czasy, w których hakerzy indywidualnie lub grupowo, pragnęli pozyskać szacunek, pozycję i sławę w swoim hermetycznym środowisku. Od wielu lat łamanie zabezpieczeń to proceder zarobkowy. Szpiegostwo elektroniczne czy przerwanie ciągłości działania przemysłu to kolejne usługi w portfolio cyberbiznesu. Zatem motyw przewodni – pieniądze. Mechanizmy? Skupię się na tym najczęściej wykorzystywanym, gdyż opisanie wszystkich jest praktycznie niemożliwe – z każdą chwilą przybywają nowe. Jak podaje serwis hackmagedon.com, średnio miesięcznie 17 proc. analizowanych i niesklasyfikowanych metod ataku stanowią nowe, nieznane wektory i algorytmy. Jeśli rozwój złośliwego oprogramowania rzeczywiście jest tak dynamiczny, to producenci zabezpieczeń stoją przed poważnym wyzwaniem. Zanim jednak przejdę do mechanizmów, chciałbym, abyśmy uświadomili sobie jedną kwestię. Otóż, aby atak hakerski się powiódł, to ofiara musi w tym trochę pomóc. Taką pomoc możemy nazwać podatnością. Oczywiście, nie mam teraz na myśli podatności, które są technologiczna dziurą w oprogramowaniu. Myślę o podatności, jaką charakteryzuje się typowy użytkownik Internetu. Chociażby przez otwarcie załącznika, kliknięcie w link czy przycisk załączony do korespondencji. Pomocna dla hakera może być również źle skonfigurowana aplikacja, która umożliwi przestępcy przeniknięcie do naszych zasobów.
W tym celu hakerzy posługują się socjotechniką, która jest zbiorem szerokiego spektrum praktyk psychologicznych prowadzących do realizacji celu, jakim w większości przypadków jest informacja. Pozyskanie informacji oparte jest w głównej mierze na grze na emocjach ofiary. Napastnik, zaskakując ofiarę swoim działaniem, stara się doprowadzić do sytuacji, w której wywoła u niej poczucie pilności, zagrożenia i strachu, często symulując działanie pod presją czasu. Osoba postawiona w tak stresującej sytuacji, zazwyczaj znieczula swój instynkt samozachowawczy i chcąc pozbyć się problemu, działa impulsywnie, popełniając kolejne błędy. Statystyki dowodzą, iż taki mechanizm najlepiej sprawdza się w przygotowanej w odpowiedni sposób wiadomości e-mail.

PHISHING
W przypadku wiadomości e-mail jest to link przekierowujący do podstawionej strony internetowej łudząco przypominającej swój oryginał. Ofiara w treści wiadomości jest proszona o zweryfikowanie swojej tożsamości np. w celu potwierdzenia danych niezbędnych do dostarczenia zagubionej paczki albo zalogowania się do banku czy podania danych osobowych koniecznych do wręczenia nagrody pieniężnej (mimo że nie brała udziału w żadnym konkursie). Innym ciekawym przypadkiem phishingowym jest wysłanie do użytkowników informacji o możliwości darmowego korzystania z atrakcyjnego oprogramowania – wystarczy tylko zalogować się danymi do swojego konta iTunes lub Google Play, po czym nastąpi przekierowanie do wybranego sklepu – co oczywiście jest kłamstwem.
Wiadomości e-mail zawierają również wspomniane wcześniej przyciski, których cel mocno odbiega od tego, co symbolizują. I tak np. przycisk unsubscribe wcale nie oznacza rezygnacji z dalszego otrzymywania wiadomości reklamowych, a jest linkiem do aplikacji infekującej nasz komputer i oddającej go „w ręce przestępcy”. Ta forma ataku przyjęła miano clickjackingu. Jako formę ochrony chciałbym zaproponować dwa rozwiązania. Pierwsze to lekarstwo na podejrzane załączniki, które mogą budzić nasz niepokój. Zanim je uruchomimy, możemy sprawdzić ich bezpieczeństwo, poddając je analizie online np. w serwisie Virustotal.com. Plik zostanie zweryfikowany przez ponad 50 mechanizmów antywirusowych. Drugi to weryfikacja linka lub przycisku zanim w niego klikniemy. Najeżdżając myszką na link lub przycisk, u dołu ekranu pokaże się odnośnik, który wyświetli ścieżkę do źródła. Wówczas zobaczymy, czy przypadkiem nie kryje się tam np. plik z rozszerzeniem exe. Groźniejszym przypadkiem może się okazać link w wersji skróconej, który jest ciągiem dziwnych znaków. Wówczas z pomocą przychodzą dwa serwisy rozwiązujące skrócone nazwy linków. Są nimi bitly.com i goo.gl, które oprócz podania pełnej ścieżki dostępowej, ukazują również, czy link nie jest zagrożeniem dla naszego komputera.

PRETEXTING
To więcej niż zwykłe kłamstwo, to odmiana ataku socjotechnicznego. Napastnik tworzy fikcyjną postać/tożsamość, wplatając jej rolę w hipotetyczny scenariusz. Metoda jest coraz częściej spotykana w mediach społecznościowych. Stworzenie fikcyjnej osoby zajmuje kilka kliknięć. Potem napastnik może „bezkarnie” cieszyć się nowym ja. Poznaje inne osoby, dodaje je do grupy swoich znajomych (z wzajemnością), przez co jego wirtualna osobowość nabiera „realnych kształtów”, tym samym stając się bardziej wiarygodna. Tak spreparowany avatar stanowi kamuflaż dalszych działań, których celem jest pozyskiwanie cennych informacji do przeprowadzenia np. cyberataku.
W przeciwieństwie do oszustw phishingowych, które wykorzystują strach i poczucie pośpiechu ofiary, w atakach pretextingowych podstawowym czynnikiem decydującym o powodzeniu jest budowa zaufania. Solidny pretekst sprawia, że pseudonim, tożsamość czy historia są wiarygodne.
PHARMING
To przekierowanie użytkownika na stronę www łudząco przypominjącą swój oryginał. Najpopularniejszym sposobem ataku jest wysłanie fałszywej wiadomości e-mail pochodzącej rzekomo z firmy znanej użytkownikowi. Celem ataku są klienci tej właśnie firmy. Wysłana wiadomość zawiera łącza do jednej lub wielu fałszywych witryn www, które całkowicie lub częściowo przypominają autentyczne strony internetowe. Jeżeli użytkownik jest przekonany, że wiadomość pochodzi z wiarygodnego źródła, to z pewnością wprowadzi poufne dane do formularza zamieszczonego na fałszywej witrynie. Ofiarą tej metody padł sztab wyborczy Emmanuela Macrona w trakcie wyborów prezydenckich we Francji, którego witryna została podrobiona na trzech spreparowanych serwerach. Celem było pozyskanie informacji o wyborcach.
W tym przypadku ochroną pozostaje aktualne oprogramowanie antywirusowe oraz weryfikacja certyfikatu SSL na odwiedzanej stronie, polegająca na sprawdzeniu, czy certyfikat został wystawiony na właściciela danej strony.

EPILOG
Podsumowując, chciałbym uczulić wszystkich czytelników, aby przykładali większą atencję do sprawdzenia, kto jest nadawcą e-maila, co kryje się pod załącznikiem czy linkiem. Natomiast, jeśli od strony technicznej wiadomość nie będzie budzić naszych podejrzeń, to nie dajmy się zwieść przekonującej treści i w chwili wahania wykonajmy nawet dodatkowy telefon, po to, aby zweryfikować sytuację.

About the author

POLECANE DLA CIEBIE