Atacurile de tip „spear-phishing” urmăresc obţinerea de informaţii confidenţiale, cum ar fi nume de utilizator şi parole, pentru accesul în sisteme informatice de interes major (staţii individuale sau reţeaua informatică a unei organizaţii), în beneficiul unei entităţi agresoare. Între consecinţele acestor atacuri se numără furtul de proprietate intelectuală, obţinerea neautorizată a datelor de identificare şi a celor bancare (numele şi prenumele clientului legitim, adresa acestuia, numărul card bancar, PIN-ul, codul CVV/CVC), dar şi infectarea cu malware, urmată de compromiterea sistemelor operaţionale sau a activelor financiare.
Recunoaşterea atacurilor
O caracteristică a atacurilor „spear-phishing” este pregătirea temeinică prealabilă prin strângerea de date despre compania, organizaţia sau persoana ţintă şi partenerii acesteia, pentru cunoaşterea relaţiilor de colaborare (domenii, calitate, frecvenţă etc.). Colectarea de date poate fi rezultatul unei intruziuni anterioare ori al exploatării reţelelor de socializare, blog-urilor sau altor site-uri. Nu de puţine ori angajaţii sunt imprudenţi şi nu acordă suficientă atenţie datelor pe care le oferă pe Internet, pe reţele de socializare sau atunci când fac achiziţii online de produse ori servicii. Aceste date ajung, la un moment dat, să fie folosite împotriva lor. Un atac „spear-phishing” nu este unul automatizat, împotriva publicului în general.
Prin agregarea datelor obţinute este conceput un mesaj aparent legitim, ce ţinteşte potenţiala victimă; aceasta îl accesează, pentru că:
– este imposibil să opreşti utilizatorii să deschidă ataşamentele e-mailurilor ori să acceseze link-urile inserate în aceste mesaje, din moment ce acest lucru constituie o rutină a activităţii lor zilnice;
– expeditorul mesajului este unul dintre interlocutorii frecvenţi ai potenţialei victime sau dintre partenerii companiei în care lucrează; din acest motiv, ţinta va fi mai puţin atentă la detaliile mesajului;
– angajaţii reacţionează la e-mail-uri ce au subiecte cu privire la aspecte de ordin administrativ, financiar, contracte comerciale, motivatori emoţionali (curiozitate, frică, urgenţă).
Mesajul către potenţiala victimă are un ataşament sau o fac trimitere către un site creat sau compromis de atacator, în care este disimulat un troian (peste 90% dintre mesaje au ataşamente maliţioase, fişiere de tip „.doc”, „.docx”, „.xls”, „.xlsx”, „.pdf”, cu denumiri apropiate domeniului de activitate al destinatarului). Infectarea cu programul maliţios atrage după sine preluarea sub control total a staţiei sau a reţelei compromise. „Remote Access Trojan” se situează printre preferinţe, întrucât permite unui atacator să eludeze mecanismele puternice de autentificare, să extindă infecţia la nivelul reţelei şi să acceseze aplicaţii sensibile, pentru exfiltrarea datelor de interes.
Atacul de tip „spear-phishing” presupune falsificarea adresei de expediere a unui e-mail („spoofing”), utilizarea de URL-uri dinamice şi descărcarea neintenţionată a unor programe, de pe Internet, pentru care un utilizator îşi dă, sau nu, acordul. Toate acestea au ca scop eludarea mijloacelor de apărare ale victimei. Chiar şi soluţiile de avangardă nu au reuşit să oprească astfel de atacuri.
De regulă, atacul „spear-phishing” precede o agresiune cibernetică de tip APT (Advanced Persistent Threats). Acesta din urmă este o agresiune cibernetică derulată, de regulă, de o entitate statală sau militară, ce vizează ţinte din domeniul politic, militar, al securităţii naţionale sau al afacerilor. Nivelul tehnologic ridicat îi permite să fie menţinută în secret o perioadă lungă de timp.
Beneficiarii agresiunilor
Principalii beneficiari sunt entităţile ce pot iniţia atacuri cibernetice de tip APT: statale, militare, criminale. Campaniile APT apelează, frecvent, la tactici de „spear-phishing” pentru a determina ţintele de nivel înalt să deschidă e-mail-uri compromise.
Este nevoie ca aceşti agresori să beneficieze de finanţări consistente, din partea unor state, pentru a obţine capacităţile operaţionale şi resursele necesare derulării unor acţiuni susţinute împotriva ţintelor de nivel înalt.
Odată infectată reţeaua ţintă, în condiţiile în care prezenţa agresorului este camuflată cu sprijinul unor soluţii software sofisticate, vor fi, constant, spionate informaţii confidenţiale pentru câştiguri financiare, militare, (geo)politice. Sunt vizate, în special, detalii cu privire la armament (dotări, cantitate, performanţe, parametri de utilizare), inovaţii tehnologice, energie regenerabilă, alianţe militare, politice, economice, comerciale, strategii bancare, cercetare aerospaţială.
Ostilitatea şi nivelul prejudiciilor unui atac de tip APT sunt mult mai ridicate decât în cazul atacurilor derulate de entităţi individuale (hackeri individuali sau criminali cibernetici de nivel scăzut). De exemplu virusul „Stuxnet”, ce a ţintit facilităţile nucleare iraniene, se crede că a fost primul APT (activ în 2005, rezultat al colaborării americano-israeliene). Atacurile APT1, APT30, ale armatei chineze şi APT28, derulat de armata Federaţiei Ruse, sunt conexate cyber-spionajului şi culegerii de informaţii în interes naţional.
Atacurile de tip „spear-phishing” poate viza exclusiv obţinerea unor câştiguri financiare. Unele dintre strategiile adoptate pot fi inedite.
Într-un astfel de caz, cu o simplă căutare pe motoarele dedicate, atacatorii au obţinut adresele de e-mail ale câtorva mii de directori financiari de la mai multe companii. Acestora le-au fost expediate mesaje despre noile taxe pe care companiile trebuiau să le achite. Mesajele aveau ataşate un fişier de tip „.pdf”, infectat cu o aplicaţie care înregistrează tastele utilizate (keylogger). După infectarea cu aplicaţia maliţioasă, hackerii au ales companiile ai căror directori financiari aveau în subordine sute de angajaţi şi s-au introdus, pur si simplu, în baza de salariaţi. Astfel, fără să atragă suspiciuni, au primit remuneraţie, deşi nu aveau nicio legătură cu respectivele companii.
În alt caz, ulterior infectării computerului unui angajat (printr-un mesaj ţintit), agresorii cibernetici au penetrat reţeaua internă a unei bănci şi au identificat sistemele informatice ce gestionau supravegherea video a funcţionarilor. Imitând procedurile derulate de aceştia pentru transferurile financiare, au reuşit să sustragă sume importante de bani, atât prin sisteme de plată online, cât şi prin bancomate (pe care le programau să elibereze bancnote, la un moment stabilit, când unul dintre membrii reţelei era prezent în zonă). În total, se suspectează că gruparea „Carbanak” a sustras aproximativ 1 miliard de dolari din aproape 100 de bănci, sisteme de plăţi online şi instituţii financiare de pe întreg mapamondul.
Cum ne protejăm
Tehnologia ne poate ajuta să ne protejăm, dar nu de fiecare dată, întrucât ea este calibrată de mintea umană (deocamdată), pentru a contracara o altă minte umană. Elementul vulnerabil este, ca de fiecare dată, omul (angajatul, în funcţii de execuţie sau decizionale).
În acest context, intuiţia şi un pic de pregătire ne pot scuti de neplăcerile directe sau indirecte ale unui atac de tip „spear-phishing”.
Astfel, trebuie să fim atenţi ce împărtăşim pe Internet şi să instituim un mecanism de verificare a solicitărilor (de orice fel, ce au legătură cu date confidenţiale) venite din partea colaboratorilor noştri, interni şi externi.
Organizaţiile care doresc să diminueze riscul de a fi expuse unui atac „spear-phishing” trebuie să aibă în vedere trei acţiuni importante:
– sesiuni de educare a angajaţilor, pentru recunoaşterea atacurilor. Prin informare, angajaţii pot înţelege tipurile de atacuri, metodele de atac, structurile şi consecinţele atacurilor;
– securizarea avansată a e-mail-ului, oferită de un sistem operaţional în „cloud”, ce are capabilitatea de a scana fluxul de mesaje;
– segmentarea accesului în cadrul reţelei interne.
Abstract
The imprudence of giving our personal data on the Internet can be expensive for us at a certain moment. Cyber attackers use personal data of the targets in order to optimize the means and method to attack.
The best example, in this matter, is spear-phishing attack, initiated on the coordinates offered by the target. The consequences of such an aggression and, of course, due to the carelessness on the Internet, a person found in a key-position, can pay an expensive price for it.
Autor: Alin Vişan
