Spear phishing je cílený phishing, kterému se lze jen těžko bránit – 3.díl
V poslední době lze zaznamenat zvýšený počet útoků na zaměstnance organizací, které svou komunikaci přesunuly do O365.
Ostatně Microsoft se stal díky O365 nejoblíbenější značkou mezi útočníky, kteří sázejí na phishing, a není se čemu divit, když počet firem a uživatelů v O365 roste raketovým tempem a útočník pak může ze zkompromitovaného účtu zaútočit prakticky na kohokoliv.
Útok přichází v několika fázích, jedná se o tzv. multi-phase attack, kdy dochází nejprve ke klasickému phishingu a poté k následnému spear phishingu na zaměstnance konkrétní organizace využívající microsoftí O365 cloud.
V zásadě se nejedná o nic nového. Poprvé jsem o těchto útocích psal cca před dvěma roky. Rozdíl je jen v tom, že přesunutím do O365 se tento útok stal mnohem efektivnější.
Nejprve útočník získá phishingem přihlašovací údaje k účtu libovolného zaměstnance v dané organizaci a pak teprve z tohoto účtu osloví spear phishingem konkrétní osobu. Ta, vzhledem k tomu, že e-mail přichází od osoby, kterou zná, nepojme podezření, že by se mohlo jednat o útok.
Nejnáročnější je samozřejmě v první fázi projít skrz ochranu, která je založena na detekci velkého množství stejných e-mailů, a proto útočník musí při odeslání zajistit unikátnost těchto e-mailů, což ale není až takový problém, obzvlášť pokud použije některou ze známých technik jako je třeba ropemaker, punycode nebo phishing with style.
V okamžiku, kdy takový email projde dovnitř a útočník získá přihlašovací údaje, tak může následně zneužít identitu daného uživatele a zahájit komunikaci, přičemž klasické ochrany vůbec nepřijdou ke slovu, protože komunikace přichází v podstatě zevnitř O365 a není prakticky možné od sebe odlišit komunikaci oprávněného uživatele a útočníka.
Ten pak může oslovit vyhlédnutou oběť e-mailem, který přichází z účtu kolegy a v textu pak uvést odkaz na stažení jakéhosi důležitého dokumentu, který se nachází kdesi na doméně sharepoint.com, které Microsoft pochopitelně důvěřuje, protože je jeho. Stejně tak se může v e-mailu objevit požadavek na poskytnutí informací, převod peněz apod.
Tak, jak bude stále více firem přesouvat své aktivity do O365 cloudu, tak se bude tato platforma stávat pro útočníka ještě atraktivnější, protože bude mít všechny firmy, na které bude moci vést útok, hezky pohromadě a phishing bude v tom případě i mnohem efektivnější, neboť bude stačit napodobit jen jednu jedinou přihlašovací stránku, kterou používají stamilióny uživatelů.
Všimněte si, že tato situace je zcela odlišná od minulosti, kdy každá firma používala vlastní řešení. Opět se ukazuje, že přesun aktivit do cloudu přináší i určitá rizika, která organizace musí řešit a rovněž vyvstává i otázka, zdali je cloud pro všechny tím nejvhodnějším řešením.
Je třeba se věnovat především zvyšování bezpečnostního povědomí zaměstnanců, aby správně rozpoznali, že je na ně veden útok a nezadali své přihlašovací údaje na podvržené stránce, a dále aby se vždy zamysleli nad tím, kdo, kdy a co jim píše a co po nich chce, aby se nestali obětí tohoto útoku.
ČERMÁK, Miroslav. Spear phishing je cílený phishing, kterému se lze jen těžko bránit - 3.díl. Online. Clever and Smart. 2019. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/spear-phishing-je-cileny-phishing-kteremu-se-lze-jen-tezko-branit-3-dil/. [cit. 2025-02-16].
K článku “Spear phishing je cílený phishing, kterému se lze jen těžko bránit – 3.díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
