„Lotniczy” atak phishingowy – nowy sposób na wyłudzanie okupu w cyberprzestrzeni

Po przeskanowaniu setek tysięcy skrzynek pocztowych wielu różnych klientów personel Barracdua Networks zauważył kilka bardzo kreatywnych i, niestety, skutecznych ataków. Jeden z nich, który opisany jest poniżej, wykorzystuje dobrze znany mechanizm phishingu. Zaobserwowano ten atak w kilku firmach, zwłaszcza w przedsiębiorstwach z sektorów logistyki, transportu i produkcji, czyli takich, w których pracownicy często wysyłają towary lub podróżują służbowo.

Opisywany „lotniczy” atak phishingowy wykorzystuje różne techniki, które służą przestępcom do przechwycenia poufnych danych i zainstalowania u ofiar zaawansowanego uporczywego zagrożenia (Advanced Persistent Threat, APT). Atak z podszywaniem się pod linię lotniczą łączy dwie lub więcej technik ofensywnych. Pierwsza technika to impersonacja. Napastnik podaje się za biuro podróży lub za pracownika z działu kadr lub finansów, który wysyła e-bilet do ofiary lotniczy. Wiadomość jest skonstruowana tak, że nie budzi wątpliwości u nieprzeszkolonego odbiorcy. Oto przykładowy wiersz tematu wiadomości email:

 Fwd: United Airlines: Confirmation - Flight to Tokyo - $3,543.30

W dobrze przygotowanym ataku napastnik specjalnie dostosowuje wiadomość do ofiary. Linie lotnicze, cel podróży i cena są dobrane tak, żeby wyglądały na autentyczne w kontekście danej firmy i odbiorcy.

Po nakłonieniu pracownika do otwarcia wiadomości napastnik wykorzystuje drugie narzędzie, którym jest osadzone w załączniku zagrożenie APT. Załącznik, zazwyczaj potwierdzenie lotu lub płatności, jest sformatowany jako dokument formatu PDF lub DOCX. W ataku tego typu złośliwe oprogramowanie jest uruchamiane w momencie otwarcia dokumentu. Analizy firmy Barracuda Networks wskazują, że w lotniczych atakach phishingowych napastnikom w ponad 90 proc. przypadków udaje się nakłonić pracowników do otwarcia fałszywej wiadomości i uruchomienia złośliwego oprogramowania malware. Jest to jeden z najwyższych wskaźników skuteczności wśród ataków phishingowych.

Firma zaobserwowała też ataki, w których używano łączy do witryny phishingowej, mającej  wyłudzać wrażliwe dane od ofiary. Witryna ta przypomina stronę linii lotniczej albo system rozliczeniowy lub podróżny używany przez firmę. Ten etap procesu ma skłonić ofiarę do podania nazwy użytkownika i hasła do sieci korporacyjnej. Napastnik przechwytuje dane logowania i wykorzystuje je do infiltracji sieci oraz wewnętrznych systemów firmy, takich jak bazy danych, serwery pocztowe i serwery plików.

Jak widać w opisywanym powyżej ataku, cyberprzestępcy wykorzystują trzy techniki:

  • Impersonacja (podszywanie się pod firmy, instytucje lub osoby). Badanie wewnętrznej struktury organizacyjnej firmy oraz wzorów komunikacji pomaga napastnikom stworzyć wiadomość e-mail, która wygląda na autentyczną. Dzięki impersonacji wiadomości są często otwierane przez ofiary (w ponad 90 proc. przypadków!).
  • Złośliwe oprogramowanie – APT. Zagrożenie APT trafia do sieci w momencie otwarcia załącznika. Ofiara ufa załącznikowi ze względu na ukierunkowaną treść wiadomości.
  • Phishing. Napastnik wykorzystuje pozorną autentyczność wiadomości, aby wyłudzić dane ofiary za pomocą fałszywej strony logowania. Po uzyskaniu danych logowania może łatwo uzyskać dostęp do wewnętrznych danych i komunikacji w firmie.

Etapy te uzupełniają się nawzajem, ostatecznie umożliwiając przestępcy przeprowadzenie dodatkowych ataków, takich jak wyłudzanie okupu lub pozostanie w ukryciu i następnie dokonanie zwiadu w docelowej sieci. W tym momencie napastnik przejmuje kontrolę.

Firmy chcące blokować ataki tego typu powinny używać wielowarstwowych zabezpieczeń. Pierwszą warstwą jest „piaskownica”. Efektywna piaskownica w połączeniu z zapobieganiem zagrożeniom APT powinna zablokować złośliwe oprogramowanie, zanim jeszcze dotrze ono do korporacyjnego serwera pocztowego. Druga warstwa to ochrona przed phishingiem. Zaawansowane mechanizmy antyphishingowe z funkcją ochrony łączy wyszukują łącza do witryn, które zawierają złośliwy kod. Łącza do tych zainfekowanych witryn są blokowane, nawet jeśli ukryto je głęboko w treści dokumentu. Trzecią warstwą są szkolenia i działania na rzecz uświadamiania pracowników. Regularne szkolenia i testy zwiększają świadomość pracowników i pomagają im zidentyfikować ukierunkowane ataki, a przez to zapobiec zainfekowaniu wewnętrznej sieci firmy. 

Źródło: Barracuda Networks