Málokto však vie, že e-maily v plejáde možností phishingových útokov predstavujú len úroveň základnej školy. Cielené phishingové útoky či celé kampane nás môžu v pomyselnej úrovni dostať až na strednú školu.
Sofistikované kampane mierené na vedúcich pracovníkov, dokonca až na vysokú školu. Tak ako je rozdiel medzi základnou školou a strednou školou v komplexnosti, ktorú je nutné zvládnuť, aj cielené phishingové útoky sú oveľa komplexnejšie.
Základná premisa phishingových útokov je, že sú posielané veľkému množstvu používateľov s malým percentuálnym úspechom. Keďže je však posielanie e-mailov, ako aj získanie emailových adries veľmi lacné, aj tento malý percentuálny úspech je dostatočný.
Cielené phishingové útoky sú založené presne na opačnej premise. Ako ich názov napovedá, cielený útok je namierený voči malej skupine používateľov či dokonca voči jednotlivcovi. Navyše informácie v týchto emailoch sú „šité na mieru“ danej skupine používateľov. Práve dôveryhodnosť informácií robí tieto útoky oveľa nebezpečnejšie, keďže informácie v e-maile pôsobia presvedčivejšie. Samozrejme, aj z technickej stránky sú tieto útoky sofistikovanejšie – používajú podvrhnuté emailové adresy, sú napísané bez preklepov či použité logá sú presné.
Pýtate sa, ako útočník získa informácie, aby takýto cielený phishingový e-mail mohol vytvoriť? Jednoducho ste mu ich dali sami. Z verejne dostupných stránok útočník získa obrovské množstvo dát o vás – prehľad o tom, čo sa deje vo vašej spoločnosti (prebieha u vás migrácia? spúšťate nový produkt?), kde sídli vaša spoločnosť, aké používa emailové adresy. To ani zďaleka nie je všetko.
Oveľa presnejšie informácie sa dajú získať zo sociálnych sietí, ktoré používate, s kým tu komunikujete či konkrétne mená zamestnancov. Útočník potom vie všetky tieto informácie použiť na zostrojenie presvedčivého e-mailu, ktorý je navyše cielený na konkrétnu skupinu používateľov a situáciu.
Stále sme však len na strednej škole. Ak by sme sa chceli pozrieť na vysokú školu, tak by sme náš okruh zúžili ešte na menší okruh – na vedúcich pracovníkov. V takomto prípade útočníci prehľadávajú dostupné sociálne siete, získavajú telefónne čísla a organizujú osobné stretnutia.
Celý útok na takúto špecifickú skupinu potom nie je len o jednom e-maile, ale o celej kampani, spolu s kontextuálnymi informáciami, telefonátmi a podvrhnutými webovými stránkami.
Útočníci navyše môžu použiť umelú inteligenciu a kampane vytvárať podľa potreby a takmer na počkanie. Zadania typu „vystupuj ako profesionálny marketér a vytvor doslova pútavý e-mail pre nadviazanie prvotnej komunikácie s potenciálnym zákazníkom. Zdôrazni, že pri využití dole použitého odkazu mu v úvodnom týždni poskytneme výraznú zľavu. Pri získaní kontaktu sa odvolaj na platformu LinkedIn“ nie sú dnes ničím neobvyklým. Podobné zadanie môže byť použité nielen na vytváranie príbehu z kontextuálnych informácií, ale aj na generovanie samotných stránok.
Pri obrane proti phishingovým e-mailom je štandardom multifaktorová autentifikácia, používanie emailových kontrol a edukácia zamestnancov. To je v poriadku, no aj tieto štandardy by mali byť nastavené špecifickejšie.
Tak ako jedna veľkosť topánok nesedí všetkým, tak aj nastavenie zabezpečenia emailovej komunikácie musí reflektovať rôzne potreby zamestnancov. Napríklad nastavenie emailovej brány môže mať iné politiky pre vedúcich pracovníkov ako pre tých, ktorí verejne nekomunikujú.
Najdôležitejšie je však takýmto spôsobom pristupovať aj k vzdelávaniu v oblasti phishingových e-mailov. Pracovníci, ktorí vystupujú verejne, by mali mať obsiahlejší tréning s problematikou cielených phishingových útokov.
Michal Srnec, CISO Aliter Technologies