FBI ostrzega przed atakami vishingowymi na korporacje

Vishing, czyli voice phishing – atak socjotechniczny, gdzie wykorzystujemy telefon, a coraz częściej wykorzystując VoIP, aby uzyskać dostęp do cennych danych. O tym jak skuteczny jest to atak, mogliśmy się przekonać przy dużej akcji przejmowania kont na twitterze. Było to możliwe dzięki dostępowi do konta pracownika Twittera, a ów dostęp został uzyskany właśnie metodą vishingową.

The attack on July 15, 2020, targeted a small number of employees through a phone spear phishing attack. This attack relied on a significant and concerted attempt to mislead certain employees and exploit human vulnerabilities to gain access to our internal systems.

— Twitter Support (@TwitterSupport) July 31, 2020

Jeśli ktoś przegapił akcję, to o skutkach pisaliśmy tutaj.

Pracownicy dużych firm na celowniku

Według FBI, przestępcy korzystając z metody vishingu, przekonali pracowników do odwiedzenia podstawionej przez atakującego strony phishingowej, celem wyłudzenia danych dostępowych.

Po uzyskaniu dostępu do sieci przestępcy zauważyli, że mogli eskalować swoje uprawnienia, co finalnie doprowadziło do znacznych strat finansowych.

Dostęp do firmowego VPN również pożądany przez przestępców

W jednym przypadku, atakujący skontaktował się z ofiarą przez firmowy czat, a następnie przekonał go do zalogowania na podstawionej stronie VPN. Aktorzy wykorzystali te dane, aby zalogować się do firmowej sieci VPN (tym razem prawdziwej) i przeprowadzili rekonesans, aby zlokalizować osobę z wyższymi uprawnieniami. Cyberprzestępcy poszukiwali pracowników, którzy mogliby dokonać zmiany nazwy użytkownika i adresu e-mail, i znaleźli pracownika za pośrednictwem usługi płacowej w chmurze

Vishing idealny

Gdy już rozmawiamy o vishingu, nie możemy pominąć bardzo ciekawego ataku na firmę z sektora energetycznego w UK. Dlaczego idealny ? Bo przestępcy wykorzystali deepfake, aby podrobić głos prezesa, i wyłudzić przelew na kwotę rzędu 1 000 000 PLN. Wykorzystany algorytm był na tyle ciekawy, że można było wyczuć lekki niemiecki akcent płynący z mowy “CEO”, dzięki czemu atak był jeszcze bardziej wiarygodny.

Podsumowanie

Jak widać, najsłabszym ogniwem jest człowiek, a w przypadku podanym w artykule, ofiarami były osoby które z pozoru powinny doskonale zdawać sobie sprawę z zagrożenia (szczególnie pracownik Twittera). Vishing gra doskonale na emocjach, w końcu nie chcemy zdenerwować naszego szefa / przełożonego, który liczy na szybką pomoc z naszej strony, prawda ? : )

Na koniec rekomendacje od FBI:

• Zaimplementuj uwierzytelnianie wieloskładnikowe (MFA)
• Gdy zatrudniani są nowi pracownicy, dostęp do sieci powinien być przyznawany na najmniejszej skali uprawnień
• Okresowy przegląd tego dostępu do sieci dla wszystkich pracowników może znacznie zmniejszyć ryzyko naruszenia wrażliwych i / lub słabych punktów w sieci
• Actively scanning i monitorowanie pod kątem nieautoryzowanego dostępu lub modyfikacji może pomóc w wykryciu możliwego naruszenia bezpieczeństwa w celu uniknięcia lub zminimalizowania strat danych.

Od siebie dodam, że pracodawca powinien wprowadzić odpowiednie procedury w taki sposób, aby załatwianie takich spraw krytycznych przez telefon nie było możliwe.

–Jakub Bielaszewski