• Rok rozpoczął się od włamania do korporacji RSA, które było złożonym, ściśle wymierzonym atakiem phishingowym, gdzie niewielką grupę pracowników firmy zmanipulowano do otwarcia złośliwej wiadomości e-mail o tytule „Plan rekrutacji na 2011”. E-mail w rzeczywistości zawierał zawirusowany arkusz kalkulacyjny. Atakującym udało się złamać uwierzytelnianie przy pomocy tokenów securID firmy RSA, przez co narazili na niebezpieczeństwo dziesiątki przedsiębiorstw z listy Fortune 500 i poczynili straty liczone w milionach dolarów.

• Kolejny atak z początku tego roku dotyczył amerykańskiej rządowej firmy bezpieczeństwa IT HBGary Federal. Agencja dopiero po informacji od grupy hakerów zorientowała się, że poufne dane, tysiące firmowych e-maili oraz dokumenty finansowe ich klientów zostały wykradzione i ujawnione. Głównym celem atakujących – najprawdopodobniej grupy internetowych aktywistów Anonymous – było po prostu wyrządzenie szkody i skompromitowanie firmy w odwecie za zbytnią pewność siebie głównego dyrektora, który twierdził, że rozgryzł grupę Anonymous i ujawni informacje o jej członkach.

• W kwietniu firma Epsilon, jeden z największych na świecie dostawców usług marketingowych oferowanych za pośrednictwem poczty e-mail, wysyłających około 40 miliardów wiadomości e-mail rocznie do klientów takich, jak Mc Kinsey & Company, Marriott Rewards, Citibank, Walgreens, Tivo etc., doświadczyła jednego z najbardziej dotkliwych ataków w historii, którego efektem było ujawnienie milionów indywidualnych adresów poczty elektronicznej. Założeniem przestępców było przechwycenie jak największej ilości informacji na temat klientów, potrzebnych, by tworzyć zaawansowane i wiarygodne e-maile phishingowe w celu dalszej kradzieży.

• Nieco później w tym miesiącu w Sony Playstation Network doszło do wycieku prywatnych informacji należących do ponad 70 milionów użytkowników – włączając w to adresy e-mail, hasła, kody PIN, szczegóły kontaktów, prawdopodobnie informacje dotyczące kart kredytowych i inne tego rodzaju dane – narażając w ten sposób klientów Sony na ryzyko ataków phishingowych i kradzieży tożsamości. Co więcej, firma przyznała się do drugiego ataku mającego miejsce na początku maja i wycieku informacji o kolejnych 24,6 milionach graczy bez podania do wiadomości jego przyczyny.

• Citibank w czerwcu tego roku odkrył, że prywatne dane oraz informacje dotyczące kont około 200 000 użytkowników ich kart w Ameryce Północnej zostały wykradzione. Przechwycone dane mogły zawierać zarówno informacje o kartach kredytowych, jak i nazwiska i adresy e-mail klientów.

Podsumowując, wszystkie te ataki ujawniły miliony dokumentów i prywatnych informacji o klientach oraz poufnych danych przedsiębiorstw. Jedyną dobrą stroną tego jest fakt, że firmy zaczęły brać sprawy w swoje ręce i stały się bardziej aktywne w kwestii bezpieczeństwa. Zgłaszają wszelkie włamania tuż po ich wykryciu i w większości przypadków bezzwłocznie informują swoich klientów i innych zainteresowanych o tym, co się wydarzyło.

Przyjrzyjmy się podobieństwom między tymi incydentami i nowym wzorcom, którymi się kierują.

Wymierzone ataki

Pierwsza diagnoza, jaką możemy postawić na podstawie tych ataków, brzmi: włamania te zostały starannie zaplanowane, zaaranżowane i wykonane. Mają wysoki poziom złożoności, który kwalifikuje je jako Advanced Persistent Threats (APT), skonstruowane specjalnie przeciwko konkretnym przedsiębiorstwom. Wielkość firm, których one dotyczyły jest imponująca. Z wyjątkiem HBGary, ofiarą ataków padały olbrzymie korporacje zatrudniające ponad 10 000 pracowników, operujących znacznymi kapitałami, informacjami o klientach i poufnymi danymi – innymi słowy żyła złota dla cyberprzestępców.

Atakującymi są świetnie wyszkoleni eksperci bezpieczeństwa, których kuszą wyzwania i profity finansowe. Ataki zostały zaplanowane i zaaranżowane z precyzją operacji wojskowych. Przed przeprowadzeniem właściwego ataku hakerzy szczegółowo odtwarzają całą architekturę sieci wybranej organizacji w celu przeprowadzenia symulacji ataku we własnym środowisku laboratoryjnym. Jak dowiedziono w przypadku sprawy HBGary, przestępcy wykazują się niezwykłą cierpliwością i determinacją. Biorą również pod uwagę ryzyko wiążące się z ich akcją, między innymi lata pozbawienia wolności.

Ataki oparte na socjotechnice (social engineering)

Kolejnym punktem wspólnym tych włamań jest zastosowanie technik inżynierii społecznej. Obecnie cyberprzestępcy manipulują osobami pracującymi wewnątrz firmy, „hakując ludzkie umysły”, aby włamać się do systemów przedsiębiorstwa. W przypadku Epsilonu, podstępem skłoniono jednego z pracowników do otwarcia phishingowej wiadomości e-mail i kliknięcia na znajdujący się w niej link. Dzięki temu hakerzy zyskali dostęp do tożsamości systemowej pracownika i wykorzystali ją do połączenia się z korporacyjną bazą danych.

Niestety, użytkownicy zawsze byli najsłabszym ogniwem w systemie zabezpieczeń organizacji. Zawsze można znaleźć użytkownika podatnego na podstęp: może to być nowy, niedoinformowany pracownik lub rozgadana sekretarka, która udziela zbyt wielu informacji. Kiedy hakerzy dostaną się do systemu, działają po cichu. Pozostają niewykrywalni, kradnąc jak najwięcej informacji aż do momentu, kiedy ich obecność zostaje dostrzeżona i korporacja zaczyna śledztwo. Czasami trwa to latami.

>> Czytaj także: Socjotechnik z keyloggerem, czyli jak się bronić przed kradzieżą hasła

Co więcej, ci cyberprzestępcy już nie są samotnymi amatorami. Należą do dobrze zorganizowanych grup, które przypominają siatki terrorystyczne – mają pieniądze, motywacje i cele. W celu stworzenia oryginalnego ataku opartego na socjotechnice i pozyskania danych mają do dyspozycji wysoki poziom inteligencji oraz dużo czasu i niezbędnych zasobów. To, jak duże będą straty, zależy tylko od jednego - jak daleko atakujący się posunie?

Informacja: żyła złota dla hakerów

Warte kradzieży są nie tylko dane finansowe. Coraz częściej zauważamy, że atakujący częściej szukają ogólnych informacji o klientach niż poszczególnych wykazów lub danych kart kredytowych. W rzeczy samej te informacje mogą być bardzo dochodowe dla spamerów.

Jeżeli w rekordzie klienta w bazie danych przechowywane są informacje takie, jak nazwa użytkownika połączona z nazwiskiem i adresem e-mail, to już jest to bardzo cenna informacja. Takie dane mogą być użyte do skonstruowania spersonalizowanej wiadomości spamowej, zawierającej dane użytkownika, różne szczegóły i zainteresowania, co wygląda bardzo wiarygodnie. Szanse na to, że użytkownik otworzy spersonalizowaną wiadomość spamową i kliknie na nią, są dużo większe niż w przypadku otrzymania ogólnego spamu. To z kolei powoduje wzrost zysków płynących z kampanii spamowej. Weźmy przykład wysłania e-maila do 500 000 odbiorców z ofertą sprzedaży jakiegoś produktu. Jeżeli tylko 1 odbiorca na 1000 zamówi ten produkt, to już daje 500 nowych zamówień. Teraz można wyobrazić sobie ogrom zysków, jaki może przynieść spamerowi 70 milionów adresów e-mail wraz z indywidualnymi informacjami o ich właścicielach.

Zostałeś zaatakowany!

Poza korzyściami materialnymi, jakie przynosi sprzedaż informacji na czarnym rynku, warto wspomnieć o konsekwencjach finansowych ataków, jakie ponosi organizacja w związku z własnością intelektualną i utratą jakości marki. Na przykład w sprawach HBGary lub Wikileaks, w których to doszło do publikacji w internecie poufnych e-maili i tajemnic państwowych, włamanie spowodowało olbrzymi uszczerbek w reputacji obu organizacji. W ostatnim ataku na Lockhead Martin – największy koncern zbrojeniowy w Stanach Zjednoczonych – konsekwencje mogły być zdecydowanie gorsze, ponieważ atakujący mierzyli w ściśle tajne, rządowe projekty oraz plany militarne, mogące potencjalnie skompromitować sam Pentagon. Na szczęście podobno nie udało się wykraść żadnych informacji.

Jakie wnioski możemy wyciągnąć i w jaki sposób zabezpieczyć firmy?

Przedsiębiorstwa nie powinny łudzić się, że zagrożenie atakami ich nie dotyczy. Wymierzone ataki są coraz popularniejsze i żadna firma nie jest w pełni bezpieczna. Korporacje powinny tworzyć jak najwięcej barier ochronnych oddzielających ich sieci i zasoby od cyberprzestępców.

Ochrona zaczyna się od wdrożenia dogłębnej strategii bezpieczeństwa w sieci, stacjach roboczych oraz w licznych urządzeniach łączących się do sieci. Przedsiębiorstwa muszą stosować szereg warstw bezpieczeństwa, włączając w to zaawansowane firewalle oraz systemy Intrusion Prevention System (IPS) niezbędnych do wykrycia skomplikowanych zagrożeń. Konieczne są wszechstronne rozwiązania bezpieczeństwa stacji roboczych i urządzeń mobilnych. Należy też stosować technologie zapobiegające wyciekom danych, aby chronić zbiory informacji. Aby zapewniać ochronę, przedsiębiorstwa potrzebują solidnej, dobrze skonstruowanej polityki bezpieczeństwa. Taka polityka musi być dopasowana do wymagań biznesowych i być zrozumiała dla pracowników organizacji. Co więcej, zachęcam korporacje, aby przyjrzały się na nowo sposobom, w jaki udostępniają przechowywane dane, a następnie przemyślały, jak najlepiej je chronić.

>> Czytaj także: Jak chronić firmę przed wyciekiem danych?

Po zabezpieczeniu i zamknięciu tych „frontowych drzwi” przed hakerami, firmy muszą zająć się zabezpieczaniem i zamykaniem ich odwiecznego problemu „tylnych drzwi”, czyli samych użytkowników. Błąd ludzki jest jedynym problemem bezpieczeństwa, którego sama technologia nie rozwiąże i na który nie ma aktualizacji oprogramowania naprawiającej usterkę. W interesie pracodawcy jest aktywne angażowanie, trening i edukacja jego pracowników, aby zmienić ich w prawdziwych i świadomych strażników bram korporacji.

„Cogito ergo sum” powiedział francuski filozof René Descartes – „myślę, więc jestem”. Jestem pewien, że ta siedemnastowieczna maksyma mogłaby znaleźć zastosowanie w nowoczesnej informatyce. Użytkownicy jako jednostki myślące są integralną częścią procesu bezpieczeństwa. Tylko wyszkolona i świadoma kadra pracownicza w połączeniu z solidnym systemem bezpieczeństwa oraz dobrze określoną polityką bezpieczeństwa mogą pokonać współczesnych hakerów. Miejmy nadzieję, że przedsiębiorstwa wyciągną wnioski z tych lekcji, co zaowocuje skutecznym unikaniem ataków w nadciągających miesiącach.

O autorze
Tomer Teller jest ewangelistą bezpieczeństwa w firmie Check Point Software Technologies. Podczas swojej 6-letniej kadencji Tomer pracował zarówno jako badacz i programista w wielu projektach na wielką skalę, jak i wykładowca w głównym biurze Check Point oraz podczas licznych konferencji poświęconych bezpieczeństwu IT. Specjalizując się w wysoko- i niskopoziomowym programowaniu, Tomer poświęca swój wolny czas wielu różnym projektom i badaniom dotyczących bezpieczeństwa. Tomer posiada tytuł inżyniera informatyki i jest dumnym posiadaczem patentu w zakresie luk bezpieczeństwa w przeglądarkach.