Metoda "na pizzę" - nowy sposób hakerów na zdobycie firmowych danych

8 pudełek pizzy z 30 proc. rabatem i darmowy gadżet do komputera. Hakerzy podszywając się pod dostawców pizzy, przeprowadzili skuteczny atak socjotechniczny na warszawski oddział znanej, międzynarodowej korporacji. W ciągu kilku minut zhakowali system informatyczny, skutecznie paraliżując działanie całej firmy.

Tylko w Polsce z atakami phishingowymi rocznie styka się blisko 20 proc. internautów. Na celowniku, obok użytkowników banków i systemów płatniczych, są e-klienci sklepów internetowych, co dowodzi, że głównym celem hakerów są nasze pieniądze (dane Kaspersky Lab). Zresztą hakerski "biznes" opłaca się, bo jak podaje Nest Bank, aż 30 proc. Polaków w ogóle nie wie co to phishing, a 32 proc. ma wrażenie, że wie, choć pewności nie ma.

Jednocześnie nadal rośnie liczba ataków whalingowych, czyli bardziej dokładnego i wyrafinowanego phishingu nakierowanego na instytucje rządowe i duże biznesy. Jak donoszą autorzy raportu Verizon DBIR 2019, dziś menedżerowie wysokiego szczebla i dyrektorzy firm (czyli osoby posiadające przywileje wykonawcze i dostęp do wielu zastrzeżonych, często krytycznych rejonów infrastruktury informatyczne) są 12 razy bardziej narażeni na atak socjotechniczny niż jeszcze rok temu.

Najdroższa pizza w historii

Hakerzy stosują różne metody, próbując wykraść ważne dla nich dane, takie jak m.in. dane dostępowe do kont bankowych, numery PIN lub CVC kart kredytowych, szczegółowe dane osobowe czy – w przypadku whalingu – wrażliwe dane firmowe. Nadal głównym, choć nie jedynym wektorem cyberataku są maile, a jedną z najpopularniejszych form – ataki socjotechniczne, czyli takie, które bazują na skłonności człowieka do bezwiednego ulegania wpływom innym.

Przekonali się o tym dyrektorzy i pracownicy znanej, międzynarodowej korporacji, której warszawski oddział został zaatakowany przez hakerów metodą “na pizzę”. Pomimo że firma posiadała ochronę sprzętu i oprogramowania na najwyższym, światowym poziomie, cyberprzestępcom udało się znaleźć lukę w zabezpieczeniu. Jak przebiegł atak?

Na służbowe adresy mailowe, podane na naszej stronie internetowej, przyszła informacja o otwarciu nowej pizzerii w okolicy wraz z 30 proc. zniżką dla pierwszych klientów. Pracownicy skuszeni tą ofertą szybko zorganizowali "Pizza Day" i zamówili 8 pudełek. Menu znajdowało się na stronie www pizzerii, jak się później okazało, która była fałszywa i powstała tylko w celu uwiarygodnienia istnienia nowego lokalu

- opowiada Adam, CEO zaatakowanej firmy (ze względów bezpieczeństwa nazwa firmy nie została ujawniona).

Co stało się dalej? Po kilkudziesięciu minutach w firmie pojawił się dostawca z pizzą i gratisem w postaci LEDowych lampek na USB, zmieniających kolory w rytm muzyki. Mile zaskoczeni upominkiem pracownicy bez wahania podłączyli je do komputerów. Nie mieli świadomości, że w ten sposób dali hakerom zdalny dostęp do urządzeń firmowych, a ci w kilka minut zdestabilizowali pracę całego systemu, a co za tym idzie, całej firmy.

Jak to możliwe, że firma posiadająca ochronę na najwyższym poziomie, padła ofiarą cyberprzestępców? Zawiodło najsłabsze, najmniej przewidywalne, a przy tym najbardziej podatne ogniwo, czyli człowiek – w tym przypadku nieświadomi zagrożeń, nieodpowiednio
przeszkoleni pod względem bezpieczeństwa pracownicy firmy.

Za atakiem stało TestArmy CyberForces

Na szczęście dla pracowników, atak metodą "na pizzę" okazał się być z góry zaplanowanym audytem bezpieczeństwa, który miał wykazać, na jakich polach firma nadal jest zagrożona.

Jak mówi Szymon Chruścicki z TestArmy CyberForces, który na zlecenie korporacji przygotował scenariusz ataku i przeprowadził test socjotechniczny:

Scenariusz ataku opierał się na kilku prostych krokach. Zaczęliśmy od stworzenia fałszywej strony www, a następnie zamówiliśmy naklejki z nazwą i logo pizzerii. Jako wektor ataku wykorzystaliśmy służbowe maile, podane na stronie atakowanej korporacji. Po otrzymaniu zamówienia od pracowników, nasz pracownik dostarczył pizzę z lokalnej pizzerii, naklejając na pudełko logo naszej fikcyjnej. Posłużyliśmy się regułą wzajemności i sympatii, żeby wymusić na pracownikach podjęcie zaplanowanego działania, w tym przypadku chodziło o podłączenie do komputerów lampek, w które wbudowaliśmy spreparowane pendrive’y ze złośliwym oprogramowaniem. Pod budynkiem czekał nasz specjalista od cyberbezpieczeństwa, który po uzyskaniu zdalnego dostępu do urządzeń, zaszyfrował wszystkie dane w firmowym systemie.

Po co to wszystko? Pamiętajmy, że system bezpieczeństwa jest tak skuteczny jak jego najsłabsze ogniwo, i choćby z tego powodu ataki socjotechniczne są jedną z najskuteczniejszych metod wykorzystywanych przez hakerów. Aby dobrze zrozumieć specyfikę tych zagrożeń, symulacje z użyciem złośliwego oprogramowania są konieczne. Z jednej strony pozwalają ujawnić luki w zabezpieczeniach, a z drugiej –
szkolić pracowników jak nie padać ofiarą socjotechnicznych sztuczek stosowanych przez cyberprzestępców.

Głośne przykłady z ostatnich miesięcy

Dane osobowe 20 tys. pracowników FBI i 9 tys. pracowników Departamentu Bezpieczeństwa Krajowego w USA wyciekły po tym, jak haker podając się za nowego pracownika zadzwonił do Departamentu Sprawiedliwości, prosząc o przekazanie kodu dostępu do zastrzeżonych stron instytucji. W efekcie uzyskał dostęp do wewnętrznej sieci zawierającej m.in. adresy mailowe należące do członków armii Stanów Zjednoczonych i informacje o numerach ich kart kredytowych.

Jeden z amerykańskich banków odniósł ogromne straty wizerunkowe po tym, jak hakerzy włamali się do jego systemu pocztowego i po odmowie zapłacenia haraczu, rozpoczęli masową, liczoną w milionach wysyłkę maili o spamowym charakterze. W efekcie dostawca usług internetowych został zmuszony do wyłączenia usługi poczty elektronicznej banku.

Ponad 500 tys. dolarów zarobili w 2018 roku hakerzy wykorzystując tzw. “sextortion scam”, czyli szantaż polegający na wysłaniu maila (zwykle z adresu należącego do ofiary) z groźbą upublicznienia rzekomo posiadanych kompromitujących filmów czy zdjęć ofiary, jeżeli haker nie otrzyma żądanej kwoty (dane GlobalSign).

Jak się bronić przed hakerami?

  1. Usuwaj wszystkie wiadomości z prośbą o podanie danych osobowych, loginów i haseł. Taki mail to oszustwo.
  2. Weryfikuj nadawców maili przed tym, jak wyślesz im żądane pliki czy wykonasz proszoną czynność. Nie raz, nie dwa, a trzy razy.
  3. Ustaw wysoko filtry antyspamowe w poczcie elektronicznej.
  4. Regularnie aktualizuj oprogramowanie antywirusowe i korzystaj wyłącznie z bezpiecznych stron internetowych.

Jak podsumowuje Dawid Bałut, ekspert od cyberbezpieczeństwa z TestArmy CyberForces: „Bądźmy uważni i ostrożni. Zainwestujmy w szkolenia pracowników i stale przestrzegajmy ich przed otwieraniem niezweryfikowanych maili i załączników od nieznanych nadawców. Jeśli coś wzbudzi wątpliwości, niezwłocznie zgłaszajmy się do firmowego działu IT. To bardzo proste czynności, które jednak zabezpieczają to, co najłatwiejsze do zmanipulowania przez hakerów, czyli czujność człowieka.

PS. Jako jedyny plus można wskazać, że nie jesteśmy głównym celem cyberprzestępców. Zgodnie z danymi Kaspersky Lab, największy odsetek ofiar ataków phishingowych znajduje się w Brazylii, Australii, Hiszpanii i Portugalii. Polska z wynikiem na poziomie
10,2 proc. plasuje się mniej więcej w połowie zestawienia.

Źródło: TestArmy CyberForces

Czytaj też: Dane osobowe klientów sieci Ochnik mogły wyciec. Polska marka padła ofiarą cyberataku?

Więcej o:
Komentarze (88)
Metoda "na pizzę" - nowy sposób hakerów na zdobycie firmowych danych
Zaloguj się
  • amenominakanushi-pan-poczatku

    Oceniono 25 razy 15

    "Regularnie aktualizuj oprogramowanie antywirusowe i korzystaj wyłącznie z bezpiecznych stron internetowych."
    Ten apel umieszczony na niezabezpieczonej stronie gazety jest najzabawniejszy.

  • mcduff

    Oceniono 11 razy 7

    1) pracownik nie powinien miec mozliwosci uruchomienia programu z pendrive (w tym tez tego z lampek),
    2) pracownik powinien miec dostep po zalogowaniu do komputera tylko do swoich plikow, ew. swojego dzialu, tylko te moglyby zostac zaszyfrowane.
    3) w jaki sposob hackerzy dostali sie do komputera? Przez sieć wewnetrzna firmy czy wifi?

    Nie wiem, na ile jest rzetelny artykul (zwlaszcza, ze jego autor chce wysylac pieniadze na spreparowane konto... mailowe), ale na logike widac, ze choć blad pracownikow wydaje sie oczywisty, to zabezpieczenia i administracja systemami i sieciami ma swoj wiekszy udzial (dzial IT powinien odgornie zakladac, ze uzytkownicy sa bezmyslni, naiwni i do tego nie odpowiedzialni, a poza tym "samo sie zrobilo").

  • Krzysztof Baranowski

    Oceniono 9 razy 3

    Jesteśmy w połowie zestawienia? Czyli jesteśmy tylko w połowie tak głupi jak moglibyśmy być. Coś czuję, że przyjdzie szybko to nadrobić. A na lampeczki czy inne darmowe gadżety złapią się w każdej firmie. Taka natura ludzka - darmowe więc łap i uciekaj żeby szef nie przejął zdobyczy ;-)

  • Krzysztof Baranowski

    Oceniono 11 razy 3

    "Głównym celem hakerów są nasze pieniądze (za Kaspersky lab)"... To musieli niezły "research" zrobić, żeby do aż tak zaskakujących wniosków dojść. Wierzyć się normalnie nie chce ;-)

  • souer

    Oceniono 4 razy 2

    wszystkie dane w firmowym systemie? co najwyzej na kompie lub paru dyskach sieciowych. nikt nie ma dostępu wszedzie

  • zmichalg1

    Oceniono 4 razy 2

    Rozumiem, że blokowanie USB bywa upierdliwe, a czasem wręcz szkodliwe zwłaszcza w korpo (na USB są często-gęsto tokeny do autoryzacji, bez których ani rusz), ale nie rozumiem, dlaczego dla napędów zewnętrznych aktywny był tryb "autorun".
    Bez aktywnego "autorun'a" podpięcie spreparowanego pendrive'a nic nie da.
    Osobiście słyszałem o odmianach tego ataku: napastnik wchodzi do budynku pod byle pozorem i gdzieś na korytarzu "gubi" kilka pendrive'ów. Znalazca zaciekawiony zawartością podpina do USB itd...
    Druga odmiana jest taka, że pendrive jest tak spreparowany, że powoduje jakieś zwarcia i fizyczne uszkodzenie płyty głównej.

Aby ocenić zaloguj się lub zarejestrujX