Poczta elektroniczna pod ostrzałem. 5 najczęstszych form ataku

Przeczytaj także: Dzieje cyberprzestępczości: era nowoczesnego ransomware’u

Poczta elektroniczna jest bardzo częstym celem cyberprzestępców. Wykorzystują oni różnorodne formy ataków. Do najczęstszych należą: spam, złośliwe oprogramowanie, kradzież danych, phishing i podszywanie się.

Może się wydawać, że o phishingu i podszywaniu się pod inne marki czy osoby w wiadomościach e-mailowych powiedziano już naprawdę wiele i firmy powinny być przygotowane na tego typu ataki. Nic bardziej mylnego. Skuteczność takich działań cyberprzestępców opiera się na tym, że w tych przypadkach nie wykorzystują oni luk w systemach, a naiwność i nieuwagę użytkowników – komentuje Mateusz Ossowski, CEE Channel Manager w firmie Barracuda Networks, która jest producentem rozwiązań z obszaru bezpieczeństwa IT.

Poczta elektroniczna pod ostrzałem. Jak działają cyberprzestępcy?

Zagrożenia związane z pocztą elektroniczną, z którymi borykają się dziś organizacje na całym świecie, różnią się znacznie pod względem złożoności i wpływu, jaki mają na firmy. Można jednak wyodrębnić kilka podstawowych kategorii takich ataków:

1. Spam

Spam to niechciane, wysyłane masowo wiadomości e-mail, znane również jako wiadomości-śmieci. Spamerzy zazwyczaj kierują e-maile do milionów adresatów, spodziewając się, że tylko niewielka ich część zareaguje.

Spam występuje w różnych formach. Niektóre wiadomości zachęcają do oszustwa. Inne są wykorzystywane do przeprowadzania oszustw. Spam może być też wiadomością phishingową, wykorzystującą podszywanie się pod daną markę, aby skłonić użytkowników do ujawnienia informacji osobistych, takich jak dane logowania i dane kart kredytowych.

Spam kosztuje przedsiębiorstwa około 20 miliardów dolarów rocznie. Obniża produktywność, zalewa bowiem skrzynki pocztowe śmieciami i wpływa na ruch na serwerach. Spam może być wykorzystywany do rozprowadzania złośliwego oprogramowania oraz w atakach phishingowych na dużą skalę.

2. Złośliwe oprogramowanie (malware)

Jest to oprogramowanie specjalnie zaprojektowane do tego, by uszkodzić sprzęt, zakłócić działanie systemu, przenieść dane lub uzyskać zdalny dostęp do kluczowych zasobów przedsiębiorstwa. Zazwyczaj jest rozpowszechniane poprzez załączniki do wiadomości e-mail lub adresy URL prowadzące do złośliwych treści. Do typowych rodzajów złośliwego oprogramowania należą wirusy, trojany, programy szpiegujące, robaki i ransomware. Zaawansowane ataki wykorzystują zagrożenia zero-day, opierające się na niewykrytych lukach w oprogramowaniu.

94 procent złośliwego oprogramowania jest rozpowszechniane za pośrednictwem poczty elektronicznej. W przypadku ransomware cyberprzestępcy szyfrują dane i żądają zapłacenia okupu. Ataki takie mogą sparaliżować codzienne operacje, spowodować chaos i straty finansowe wynikające z przestojów w działalności przedsiębiorstw, płatności okupu oraz kosztów odzyskiwania danych.

3. Eksfiltracja danych

Eksfiltracja danych (zwana również utratą, wyciekiem czy kradzieżą danych) to nieautoryzowane przeniesienie danych z komputera lub innego urządzenia. Może zostać przeprowadzona ręcznie (poprzez fizyczny dostęp do komputera) lub w sposób zautomatyzowany, przy użyciu złośliwego oprogramowania. Tego typu ataki są zazwyczaj ukierunkowane, a ich celem jest uzyskanie dostępu do sieci lub urządzenia po to, by zlokalizować i skopiować określone dane. Eksfiltracja może też być wynikiem błędu ludzkiego.

Utrata danych może prowadzić do strat finansowych i mieć długotrwały wpływ na reputację organizacji.

4. Phishing

Phishing to wiadomości e-mail, których celem jest oszukanie użytkownika i wmówienie mu, że dana wiadomość e-mail pochodzi od zaufanej osoby lub organizacji. Po co? By go nakłonić do ujawnienia danych uwierzytelniających, przelania pieniędzy lub zalogowania się na prawdziwe konto w imieniu atakującego.

Wysoce spersonalizowaną formą ataku phishingowego jest spear phishing. Cyberprzestępcy badają swoje cele i starannie przygotowują wiadomości, często podszywając się pod zaufanego współpracownika, stronę internetową lub firmę. Wiadomości spear phishing zazwyczaj próbują wykraść poufne informacje, takie jak dane logowania lub dane finansowe, które są następnie wykorzystywane do popełniania oszustw, kradzieży tożsamości i innych przestępstw.

Z opracowanego przez Barracuda Networks raportu „2023 email security trends” wynika, że 21 proc. przedsiębiorstw nie czuje się przygotowanych do stawiania czoła atakom typu spear phishing, a 26 proc. – atakom phishingowym.

5. Podszywanie się

Ta kategoria obejmuje wszelkie ataki, w których cyberprzestępca udaje osobę, organizację lub usługę. Zwykle idą one w parze z phishingiem.

Atakujący podszywają się między innymi pod domeny, zastępując lub dodając jedną lub więcej liter w legalnej domenie e-mail. W ramach przygotowań do ataku cyberprzestępcy rejestrują lub kupują nową domenę. Tego typu ataki mają dużą siłę rażenia – można bowiem łatwo przeoczyć subtelne różnice między nazwą oryginalnej i podstawionej domeny.

Cyberprzestępstwa w praktyce biznesowej. Najskuteczniejsze techniki atakujących

Podszywanie się pod pracownika lub kontrahenta

Jednym z najskuteczniejszych sposobów wyłudzenia pieniędzy od firmy jest przeprowadzenie ataku typu Business Email Compromise (BEC). W przebiegu tego ataku oszuści podszywają się pod przedstawiciela jakiejś organizacji, pracownika atakowanej firmy, jej klienta czy partnera. W większości przypadków napastnicy koncentrują swoje wysiłki na pracownikach mających dostęp do finansów firmy, podstępnie nakłaniając ich do wykonania przelewów lub ujawnienia poufnych informacji. Cyberprzestępcy w wiadomościach e-mail wykorzystują socjotechnikę, rzadko natomiast zamieszczają w nich załączniki czy linki.

Jak może wyglądać taki atak? Oszust może na przykład podszyć się pod pracownika i wysłać do działu kadr i płac prośbę o przelewanie pensji na konto będące w rękach przestępcy. Może też napisać e-mail, podając się za prezesa firmy i prosząc o pilną transakcję.

Z raportu Barracuda Networks „2023 email security trends” wynika, że 28 proc. przedsiębiorstw nie jest przygotowanych na odpieranie ataków typu BEC. FBI na podstawie przeprowadzonych badań twierdzi, że ataki BEC doprowadziły w 2022 roku do strat wynoszących ponad 2,7 miliarda dolarów.

Wysyłanie wiadomości z przejętych kont (lateral phishing)

W przypadku lateral phishingu napastnicy wykorzystują niedawno przejęte konta do wysyłania wiadomości phishingowych do niczego niepodejrzewających odbiorców, w tym bliskich kontaktów w firmie i partnerów w organizacjach zewnętrznych. Ponieważ ataki te pochodzą z legalnego konta e-mail mają zwykle wysoki wskaźnik skuteczności.

Przejęcie konta to forma kradzieży tożsamości i oszustwa. Cyberprzestępcy podszywają się pod markę, wykorzystują socjotechnikę i phishing, aby wykraść dane uwierzytelniające i uzyskać dostęp do konta e-mail. Gdy konto jest już przejęte, oszuści monitorują i śledzą aktywność, aby dowiedzieć się, jak firma prowadzi działalność, jakich podpisów e-mail używa i w jaki sposób obsługuje transakcje finansowe. To pomaga im w przeprowadzaniu skutecznych ataków, w tym zbieraniu dodatkowych danych uwierzytelniających do logowania do innych kont.

Podszywanie się pod znaną markę

Podszywanie się pod znaną markę lub powszechnie stosowaną aplikację biznesową to popularny typ ataku phishingowego. Jego celem jest zazwyczaj pozyskanie danych uwierzytelniających lub numerów kart kredytowych i przejęcie konta.

Podszywanie się pod usługi jest wykorzystywane w 47 proc. wszystkich ataków spearphishingowych. Oszuści najczęściej podszywają się pod Microsoft. Dane uwierzytelniające środowiska Microsoft 365 mają wysoką wartość, ponieważ umożliwiają cyberprzestępcom wgląd w organizację i przeprowadzanie dodatkowych ataków.

Jak ochronić firmę i jej zasoby?

Ataki na pocztę elektroniczną wciąż ewoluują. Cyberprzestępcy robią wszystko, by ominąć tradycyjne zabezpieczenia, co wymaga od organizacji wprowadzenia nowych rodzajów ochrony.

Najbardziej rozpowszechnionym i niezbędnym fundamentem bezpieczeństwa poczty elektronicznej są rozwiązania klasy E-mail Gateway. Blokują większość złośliwych wiadomości, w tym spam, ataki phishingowe na dużą skalę, złośliwe oprogramowanie, wirusy i ataki zero-day. Niektóre wyrafinowane ataki phishingowe, w tym te wykorzystujące taktyki socjotechniczne, mogą jednak prześlizgnąć się przez takie zabezpieczenie.

Choć rozwiązania E-mail Gateway są niezbędne, nie są dziś wystarczające. Aby uchronić organizację przed atakami socjotechnicznymi, potrzebna jest dodatkowa warstwa obrony – na poziomie skrzynki pocztowej użytkownika. Ochrona skrzynek e-mail opiera się na interfejsach API, które umożliwiają bezpośrednią integrację ze środowiskiem poczty elektronicznej, w tym z poszczególnymi skrzynkami e-mail. Korzystanie z integracji API zapewnia wgląd w komunikację e-mailową każdej osoby w organizacji. Wykorzystując te dane i sztuczną inteligencję, system tworzy schemat tożsamości każdego użytkownika, określający, jak wygląda jego normalna komunikacja e-mailowa. System rozumie, z jakich lokalizacji pracownik prawdopodobnie się loguje, jakich adresów e-mail regularnie używa, z którymi osobami się komunikuje, jak tworzy e-maile. Kiedy dzieje się coś odbiegającego od normy, coś, co nie zgadza się z tym schematem, sztuczna inteligencja oznacza takie wydarzenie jako potencjalnie niebezpieczne i usuwa je ze skrzynki użytkownika, zanim ten zdąży wejść w interakcję z podejrzaną wiadomością – tłumaczy Mateusz Ossowski z Barracuda Networks.

Wdrożenie ochrony skrzynki pocztowej opartej na API odblokowuje dostęp do historycznej i wewnętrznej komunikacji e-mail, co jest niezbędne do ochrony użytkowników przed ukierunkowanymi atakami, które omijają Email Gateway.

Zastosowanie wielowarstwowej strategii ochrony poczty elektronicznej oraz regularne szkolenia i podnoszenie świadomości pracowników są w stanie radykalnie zmniejszyć podatność firmy na ataki z wykorzystaniem e-maili i pomóc lepiej chronić firmy, dane i ludzi.