Atak na skrzynkę pocztową
W naszym artykule przedstawimy sytuacje ataku na skrzynkę mailowa Prezesa Zarządu spółki IT. Pierwszym stwierdzonym ‘objawem’ jakichkolwiek nieprawidłowości, było pojawienie się na poczcie elektronicznej konta Prezesa wiadomości e-mail, informujących o braku możliwości dostarczenia wiadomości na wskazany adres. Takich wiadomości było bardzo dużo. Sprawdzono, że użytkownik został automatycznie zablokowany przez serwer Microsoft Exchange z powodu wykrycia zbyt dużej liczby wychodzących wiadomości. Analiza w programie Outlook, używanym przez właściciela konta pokazała, że rzeczywiście tego dnia w ciągu godziny zostało wysłanych około 1900 e-maili na różne adresy.
Co mogło spowodować blokadę poczty?
W takim przypadku, mamy kilka możliwych scenariuszy, które mogą być potencjalną przyczyną powstałych problemów:
- Mogło dojść do awarii technicznej.
- Mogło dojść do pomyłki przy konfiguracji serwerów pocztowych. Czasami zdarza się tak, że z powodu problemów naszych kontrahentów, czy klientów, nasza domena trafia na czarną listę Microsoft i system automatycznie nas blokuje.
- Niestety, mogło również dojść do incydentu cyber. I właśnie to wydarzyło się w tym przypadku…
Nasze doświadczenia podczas oceny ryzyka u klientów
Od wielu lat uważa się, że ankiety oceny ryzyka ubezpieczycieli dla spółek technologicznych nie muszą być tak dokładne i drobiazgowe, ponieważ branża ta dobrze zna się na cyber bezpieczeństwie i potrafi się odpowiednio zabezpieczyć. Jednakże statystyki mówią zupełnie co innego. Po kilkuset audytach firm (w tym technologicznych) oraz wielu rozmowach, wiemy, że ataki na spółki technologiczne są tak samo zmasowane i możliwe jak w przypadku firm z pozostałych branż. Tak naprawdę wszystko zależy od ludzi, którzy zarządzają bezpieczeństwem w organizacji. Nawet Prezesi zarządzający spółkami IT mogą źle zarządzać polityką haseł i być narażeni na atak.
Wyciek haseł podstawowym zagrożeniem w firmie
Podstawowym obszarem podczas weryfikacji firmy pod kątem oceny ryzyka są wycieki haseł. Dlaczego? Otóż, jedną z najbardziej niebezpiecznych sytuacji jest używanie adresu e-mail z domeny firmowej podczas logowania się na inne portale (domeny, konta mediów społecznościowych, etc.). Wiele takich portali uważa się za mało bezpieczne oraz łatwe do inwigilacji, czy nawet przejęcia. W takim przypadku istnieje ogromne prawdopodobieństwo, że automaty, za sprawą których przestępcy wychwycą e-mail wraz z hasłem oraz za sprawą algorytmów, uda im się ‘złamać’ hasło. Często zdarza się tak, że podczas logowania się do różnych miejsc w sieci, używamy nie tylko adresu domeny firmowej, ale również tego samego hasła. W takiej sytuacji, gdy dojdzie do wycieku danych z jednego serwisu, potencjalni przestępcy mogą w bardzo prosty sposób przechwycić dane i zalogować się np. do firmowej poczty.
Przejęcie skrzynki przez nieuprawnione osoby
Wyżej opisana sytuacja miała miejsce u jednego z naszych klientów. Poprzez złamanie hasła skrzynka Prezesa została przejęta i wykorzystana przez automaty tzw. sieci botów, który wykorzystał tą skrzynkę do łańcucha zmasowanego ataku wysyłającego spamy.
Jak się okazało, Prezes zaniechał odpowiedniego zabezpieczenia swoich dostępów. Używał prostego hasła do poczty. Używał również tego samego hasła przy dostępie do innych serwisów internetowych, etc. Nie zmieniał hasła od wielu lat, nawet po przejściu na nowy, bezpieczniejszy serwer poczty elektronicznej. Dzięki temu hakerzy w prosty sposób przejęli dostęp do poczty i ją wykorzystali.
Reakcje na ataki cyber
Największym problemem przy atakach cyber jest niewiedza odnośnie tego, co tak naprawdę się stało i z jakimi konsekwencjami może się to wiązać. Nie mając często doświadczenia w takich sytuacjach, atakowani źle reagują albo nie reagują wcale. Grozi to pogłębieniem się problemu albo rosnącymi stratami, do których mogli doprowadzić przestępcy.
Bardzo ważne jest aby w przypadku jakiekolwiek podejrzenia, że mogło dojść do zdarzenia cyber, zareagować możliwie jak najszybciej. W przypadku braku wiedzy związanej z tym, jak sobie z takim konkretnym przykładem poradzić, można skontaktować się ze specjalistami, którzy mogą pomóc w rozwiązaniu takiego problemu.
Jak powinna zareagować w takiej sytuacji firma i jej prezes?
Najlepszym przeciwstawieniem się atakom w odniesieniu do opisywanej sytuacji jest dbanie o politykę zmiany haseł. W tym konkretnym przypadku należało natychmiast zmienić hasło do skrzynki pocztowej na nowe, bezpieczne: przynajmniej 15 znakowe, nie słownikowe, tak aby algorytm nie mógł takiego hasła złamać. W naszym przypadku taki krok zadziałał, bot zaprzestał wysyłania maili ze skrzynki Prezesa.
Aby jeszcze bardziej zabezpieczyć skrzynkę należało wprowadzić MFA/2FA (wieloskładnikowe / dwuskładnikowe uwierzytelnienie) dla wszystkich kont pocztowych w organizacji. Jest to najprostsza forma zabezpieczenia skrzynek mailowych, ale i również innych kont z których korzystamy np. w mediach społecznościowych.
Firma specjalistyczna zatrudniona przez Prezesa zweryfikowała również, czy inne skrzynki nie zostały przejęte. Dodatkowo zabezpieczyła i przeanalizowała dostępne logi na serwerze pocztowym, po to aby zobaczyć i zbadać aktywność hakerów na przejętej skrzynce – czy to tylko była przejęta skrzynka przez bota, czy mogło być tu coś więcej. Logi analizuje się po to by zrozumieć wektory ataków. Wektory mogą być wąskie lub już bardzo szerokie, narażając firmę na wysokie koszty. Dlatego też poddaje się analizie zwartość przejętej skrzynki by sprawdzić, czy skrzynka zawiera dane pozwalające na dalsze ataki (np. dane dostępowe do innych systemów), czy zawiera dane osobowe (w szczególności wrażliwe), czy zawiera dane, których ujawnienie zagrażałoby interesom firmy bądź jej kontrahentom, itp. W zależności do wyników analizy, należy podjąć dodatkowe działania, tj. pełną analizę powłamaniową, zawiadomienie PUODO i notyfikację klientów w przypadku naruszenia danych osobowych, organów ścigania z zawiadomieniem o przestępstwie, pełny audyt bezpieczeństwa organizacji w celu weryfikacji naruszeń systemów.
Potencjalne skutki incydentu
Mogłoby się zdarzyć ze włamanie do skrzynki Prezesa zostało dokonane przez przestępców, którzy skopiowali, a następnie przeanalizowali zawartość skrzynki. Jakie byłyby skutki takiego działania. Otóż to co jest jednym z największych zagrożeń takich incydentów to jest upublicznienie poufnych informacji czy danych i narażenie się na roszczenia odszkodowawcze. To dla wielu klientów jest prawdziwa obawa ataków.
Przejęcie innych zasobów organizacji w tym Przejęcie kluczowej skrzynki organizacji powoduje to ze hakerzy pchają się dalej. Szukają innych skrzynek w domenie firmowej albo innych systemów do których Prezes się logował po to żeby je przejąć. W taki sposób zaczynają się ataki których celem jest w ogóle przejęcie kontroli nad organizacją. W trakcie tych ataków często infekuje się strukturę sieci złośliwym oprogramowaniem.
Kolejnym zagrożeniem jest wykorzystanie kontaktów. Mając dostęp do wysłanych maili, mając dostęp do skrzynki adresowej można je użyć w „prostych” atakach phisingowych (wyłudzeniach) skierowanych przeciwko pracownikom, kontrahentom czy członkom rodziny. Przy dobrze spreparowanym, spersonalizowanym mailu wysłanym do różnych organizacji , firm, pracowników z dobrze skonstruowanym linkiem jest duże prawdopodobieństwo że spory odsetek ludzi klinie w zawartą informacje co może skutkować zainfekowaniem swojej sieci. Właśnie w ten sposób tworzone są celowane spersonalizowane ataki socjotechniczne w celach np. wyłudzenia pieniędzy czy przesłania złośliwego oprogramowania. Przejmując kluczowa skrzynkę organizacji może rodzić niewiarygodnie wysokie konsekwencje nie tylko finansowe ale również wizerunkowe całej firmy.
Jak łatwo zwiększyć bezpieczeństwo danych w organizacji
Przede wszystkim dbać o higienę własnych skrzynek mailowych. Wprowadzić silne , nie słownikowe hasła, dla każdego konta inne. Używać usługi MFA/2FA do poczty elektronicznej. Zawsze używać szyfrowania do przesyłania informacji, których treść po dostaniu się w ręce niepowołane może zaszkodzić firmie, kontrahentom, czy pracownikom. Monitorować wycieki danych dotyczących siebie oraz w własnej organizacji. W dobie home office dbać o bezpieczeństwo infrastruktury domowej, w szczególności jeśli korzystają z niej dzieci czy osoby starsze, które nie są zorientowane na zagrożenia. I oczywiście dzielić się przypadkami incydentów z współpracownikami i rodziną, aby uczulić na otaczające nas zagrożenia cyber.