Фишинговые атаки становятся более распространенными, чем когда-либо прежде, и очень часто - успешными. Они вышли далеко за рамки имитации писем от банков, замусоренных вредоносными ссылками (хотя такие тоже еще существуют). Сегодняшние хакеры атакуют пользователей по множеству векторов: через текстовые и SMS-сообщения, социальные медиа-платформы и практически любые мобильные приложения, которые позволяют обмениваться ссылками. Благодаря тому, что большая часть нашей личной информации теперь находится в сети, хакеры могут организовать свои атаки так, чтобы их было гораздо сложнее обнаружить и, следовательно, атакующие имеют больше шансов на успех.
Социальные сети - это общение со знакомыми и незнакомыми людьми. Это обычная практика - отправлять и получать приглашения к общению с людьми, которые разделяют наши интересы или имеют опыт в бизнесе, даже если мы не знаем их лично. Поэтому киберпреступники часто создают ложные профили, выдавая себя за коллег или общих знакомых, чтобы связаться с вами, а затем получить доступ к вашим личным данным.
Чтобы казаться более реалистичными, мошенники часто присоединяются к профильным группам в соцсетях и размещают в них вредоносные ссылки на фишинговые сайты, которые могут быть использованы для сбора личной информации или учетных данных. Эти данные затем используются для проведения фишинговых атак на еще большее количество людей и организаций. Поэтому неудивительно, что фишинг в настоящее время является причиной почти четверти (22%) всех утечек данных.
Работающие удаленно - в зоне риска
В связи с переходом многих предприятий на удаленную работу, дни контролируемых ИТ-периметров давно прошли. Теперь ваши бизнес-приложения и данные находятся везде, на любом устройстве или в любой сети, которые сотрудники используют для работы, включая персональные рабочие станции и домашний Wi-Fi. Профессионалам в области безопасности следует более серьезно относиться к растущему риску фишинговых атак через неуправляемые устройства, соцсети, мобильные приложения и электронную почту, которую сотрудники используют для работы. В начале карантина COVID-19 компании сосредоточились главным образом на поддержании продуктивности сотрудников дома. Теперь им приходится заботиться и о безопасности, так как удаленная работа, похоже, не исчезнет в ближайшее время.
Киберпреступники в полной мере осведомлены о массовой работе на дому и соответственно подготавливают свои атаки. Они знают, что имея лишь немного информации о сотруднике и его компании (что можно легко получить из профилей в социальных сетях), они могут провести целевую фишинговую атаку против любой организации - и с катастрофическими последствиями.
Например, известно, что во время атаки на Twitter 15 июля, злоумышленники использовали телефонный фишинг для получения доступа к известными и верифицированным аккаунтам Twitter. Главному хакеру было всего 17 лет и он использовал базовые приемы взлома, которые на самом деле уже давно активно практикуются. Сначала он связался с сотрудником Twitter и, выдавая себя за коллегу, сумел обманом заставить его поделиться учетными данными. Затем хакер смог подделать телефонный номер сотрудника Twitter путем подмены SIM-карты и получил из профилей в социальных сетях необходимую информацию для того, чтобы притвориться сотрудником. Как только хакеру удалось перенаправить телефонный номер сотрудника на свое устройство, он смог перехватить одноразовые пароли, используемые для многофакторной аутентификации и быстро повысить свои привилегии внутри компании.
Атака на Twitter доказала, что хакеру не нужно быть частью глобальной организации киберпреступников чтобы нанести огромный ущерб. И если атака может увенчаться успехом против такой компании, как Twitter, то, скорее всего, она может сработать против любой компании, в том числе и вашей.
Многофакторной аутентификации и одноразовых паролей недостаточно
При таком большом количестве работающих на дому сотрудников в рабочих процессах, скорее всего, задействованы как личные, так и корпоративные устройства. Если компания в первую очередь полагается на многофакторную аутентификацию и одноразовые пароли для обеспечения безопасного доступа, то легко увидеть, как хакер, вооруженный подмененной личностью, ключевыми деталями из социальных сетей и навыками замены SIM-карты, может с легкостью обмануть системы безопасности через сотрудников компании.
Вот почему мы не можем ожидать, что сотрудники будут первой линией защиты от фишинговых атак. Подумайте об этом - каждый день их работа заключается в том, чтобы открывать вложения и нажимать на ссылки, отправляемые коллегами, клиентами, партнерами, поставщиками и так далее. Если им придется задавать вопросы о каждой ссылке, отправленной им в течение рабочего дня, сколько они наработают? И сколько неудобств возникло бы в процессе работы? Конечно, компаниям абсолютно необходимо проводить тренинги по безопасности, чтобы помочь пользователям оставаться осведомленными и бдительными в отношении фишинговых атак. Но IT-отделы также должны автоматизировать подходы к безопасности с нулевым уровнем доверия, которые могут предотвратить подобного рода аферы в зародыше.
Например, компаниям необходимо обеспечить, чтобы удаленные сотрудники имели доступ к бизнес-приложениям только с устройств, управляемых ИТ, а не с «семейного» iPad или смартфона. Отчасти именно поэтому так много компаний внедрили решения по управлению мобильными устройствами (MDM). Но с ростом фишинга и других мобильных угроз, MDM должен выйти за рамки базовой конфигурации устройств. Недостаточно просто настроить электронную почту компании и нажать на настройки и обновления приложений на устройствах сотрудников. Нам нужно внедрить подходы нулевого доверия к безопасности, которые гарантируют, что только доверенные пользователи, устройства, приложения, веб-сайты и «облачные» службы смогут получать доступ к бизнес-приложениям и данным. Это практически исключает риск кражи учетных данных и перехвата одноразовых паролей, а также предотвращает доступ неуправляемых, взломанных или иным образом скомпрометированных устройств к данным компании.
Самое главное, проверяя надежность всего, что запрашивает доступ к вашим бизнес-системам, подход с нулевым доверием может оградить вашу компанию от наиболее непобедимой и распространенной уязвимости: человеческих ошибок.
Перевод сделан со статьи https://threatpost.com