Phishing jest zły. Naprawdę zły.
Prawdopodobnie nie ma innego zjawiska w internecie, które ma tak wiele niepokojących statystyk.
- 60% małych firm, które doświadczyły ataku cybernetycznego, kończy działalność w ciągu 6 miesięcy.
- W 2018 r. cyberprzestępczość wygenerowała ponad 1,5 bln USD zysku.
- Ponad 80% incydentów bezpieczeństwa zawiera element phishingu lub kradzieży tożsamości (kradzieży danych uwierzytelniających).
- Na czarnym rynku dostępnych jest 1,9 mld skradzionych haseł i nazw użytkowników, a około 25% z nich nadal działa na kontach Google.
Mimo tak niepokojących statystyk ludzie nadal są bardzo nieostrożni w kwestii swoich haseł.
Każdy z nas kiedyś dostał wiadomość e-mail od nigeryjskiego księcia próbującego podzielić się z nami jego bogactwem, prawda?
„Nie ma mowy, żebym dał się nabrać!” - możesz powiedzieć.
Cóż, na oszustwo “na nigeryjskiego księcia” nikt już się pewnie nie nabierze, ale co z oszustwami bankowymi, atakami na służbę zdrowia, nadużyciami w e-commerce?
Nie ma jednego tygodnia bez wiadomości informujących o nowym udanym ataku phishingowym, w wyniku którego utracono pieniądze i narażono cenne dane.
Postarajmy się zatem odpowiedzieć na pytanie:
“Jak banki spółdzielcze mogą chronić się przed phishingiem?”
Oto dostępne na rynku sposoby radzenia sobie z tym problemem.
I. Filtry phishingowe
Wiadomości e-mail są źródłem, z którego pochodzi większość ataków phishingowych.
- Otrzymujesz wiadomość e-mail, która wygląda normalnie.
- Postępujesz zgodnie z instrukcjami zawartymi w tym e-mailu.
- Twoje dane lub poświadczenia zostają skradzione.
Filtry wiadomości e-mail koncentrują się na treści otrzymywanych wiadomości. Oprogramowanie analizuje również takie pola jak: “Od”, “Temat”, “Data”, “Do” itp. Po czym reguły filtrów określają, czy wiadomość e-mail jest podejrzana, czy nie.
Wiadomości, które wyglądają podejrzanie, są oznaczane jako spam i przechowywane w oddzielnym folderze lub usuwane.
Ta usługa jest oferowana praktycznie przez wszystkich dostawców oprogramowania bezpieczeństwa takich jak Kaspersky Internet Security, Spam Assassin czy GoldPhish.
Żeby czuć się bezpieczniej można samodzielnie skonfigurować odpowiednie mechanizmy ochrony phishingowej wbudowane w klientach pocztowych lub skontaktować się z zespołem ds. Bezpieczeństwa IT w banku i upewnić się, że korzystamy z najlepszej dostępnej ochrony przed phishingiem oferowanej przez Twój bank. Rozwiązania do obsługi poczty e-mail w bankach zazwyczaj zawierają co najmniej standardowe funkcje bezpieczeństwa.
Plusy:
Szybko i łatwo
Stosunkowo niedrogie i łatwe do wdrożenia oprogramowanie zabezpieczające.
Pierwsza linia obrony
Filtry phishingowe to narzędzie pierwszej linii obrony, które oferuje wiele użytecznych funkcji: białą listę, czarną listę, blokowanie plików i konfigurowalne reguły.
Wady:
Wymagany czynnik ludzki
Oprogramowanie rozpoznaje podejrzane wiadomości e-mail ale nadal wymaga świadomego działania człowieka, który np. musi zdecydować czy nowa strona internetowa znajdująca się pod zawartym w wiadomości e-mail adresem powinna zostać zablokowana czy nie. Baza podejrzanych nadawców powinna być często aktualizowana.
Zatrucie filtrów bayesowskich
Filtry bayesowskie rozpoznają spam poprzez wyszukiwanie w nich konkretnych słów kluczy. Filtr pracuje w oparciu o dwa zbiory wiadomości email. Jeden zbiór to spam, drugi to "poprawne" e-maile. Dla każdego z wyrazów, który pojawił się w tych wiadomościach, określone zostaje prawdopodobieństwo, na podstawie proporcji jego pojawiania się w wiadomościach spam. Filtry te mogą jednak zostać łatwo oszukane przez hackerów, którzy wiedzą, jak skutecznie zmniejszyć skuteczność tych filtrów. Dodawanie słów, które zazwyczaj nie pojawiają się w wiadomościach spam, może skutecznie spowodować, że filtry “uwierzą”, że wiadomość jest bezpieczna.
II. Szkolenie podnoszące świadomość phishingu
Tego rodzaju szkolenia odbywają się zazwyczaj w dłuższym okresie czasu. Prowadzone są przez wynajętą organizację, która działa jako napastnik i próbuje skompromitować pracowników firmy.
Tak zwani “hakerzy w białych kapeluszach” przeprowadzają atak phishingowy, aby sprawdzić, ile osób wpadnie w pułapkę. Później dane z przeprowadzonego ataku są analizowane i w zależności od wyników podejmowane są odpowiednie kroki, zwykle w formie dodatkowych szkoleń i monitoringu.
Istnieje wiele organizacji oferujących szkolenia w zakresie ochrony przed phishingiem takich jak Cofense, Wombat lub Barracuda.
Jeśli chcesz dowiedzieć się więcej na temat szkoleń w zakresie świadomości phishingu i znaleźć firmy, które mogą Ci pomóc, wyszukaj w internecie frazę “phishing jako usługa” (PHaaS - phishing as a service). Otrzymasz listę firm, do których będziesz mógł dotrzeć i porównać ich ofertę.
Zalety:
Zwiększanie świadomości pracowników
Odpowiednio stosowana edukacja w dłuższej perspektywie może spowodować pozytywne efekty i doprowadzić do sytuacji, w której pracownicy obejmą rolę ambasadorów bezpieczeństwa, stanowiąc skuteczny filtr antyphishingowy banku.
Wady:
Odporność „niewykwalifikowanych” pracowników
W każdej organizacji znajdą się ludzie, którzy są w jakiś sposób “odporni na szkolenia”. Według Wombat Security pracownicy sektora opieki zdrowotnej powtarzalnie uzyskują niskie wyniki w szkoleniach z zakresu świadomości bezpieczeństwa, odpowiadając za każdym razem nieprawidłowo na 23% pytań dotyczących najlepszych praktyk w zakresie bezpieczeństwa danych.
Rotacja pracowników
Firmy o dużej fluktuacji pracowników prawie zawsze są podatne na błędy ludzkie. W korporacjach, które zatrudniają tysiące pracowników, nie jest możliwe utrzymanie świadomości pracowników na tym samym poziomie, gdy co miesiąc zatrudniane są nowe osoby.
“czego oczy nie widzą…”
Według securityintelligence.com na skuteczność szkoleń bezpieczeństwa wpływa lokalizacja pracowników. Pracownicy pracujący w centrali są bardziej skłonni do przestrzegania zasad bezpieczeństwa firmy, podczas gdy osoby pracujące w odległych lokalizacjach są mniej ostrożne i nie zwracają uwagi na dobre praktyki w zakresie bezpieczeństwa.
III Technologia 2FA / MFA
Niezależnie od tego ile metod bezpieczeństwa wprowadzisz w swoim banku, zawsze istnieje ryzyko związane z ich kompromitacją. Dlatego nowe technologie warte są uwagi w udoskonalaniu procesów i metod zabezpieczania przed cyberatakami.
Całkiem możliwe, że wcześniej słyszałeś lub nawet korzystałeś z uwierzytelniania dwuskładnikowego. Ten sposób zabezpieczeń wymaga od każdego użytkownika podania hasła i dodatkowego elementu, który posiada, aby zweryfikować dane logowania - coś jak karta bankomatowa (czynnik posiadania) i PIN (czynnik wiedzy). Metody dwuskładnikowego uwierzytelniania - Second Factor Authentication (2FA) lub Multi Factor Authentication (MFA) - to znane od lat rozwiązania. Bardzo dużo dzieje się ostatnio w dziedzinie adopcji tych metod i ich rozwoju (np. Standaryzacja WebAuthn, która zmierza do wyeliminowania haseł i wykorzystania do uwierzytelniania czytników wbudowanych w urządzeniach mobilnych i komputerach. Przykład stanowi “Windows hello” na Windows 10 z wykorzystaniem wbudowanej kamery notebooka lub czytnika linii papilarnych - umożliwia zalogowanie się do komputera z systemem Window oraz do dowolnej aplikacji webowej, o ile w organizacji zaimplementowane są odpowiednie narzędzia typu “User Access Security Broker”, umożliwiające transport tożsamości do innych aplikacji).
Istnieje wiele różnych kombinacji, które mogą być stosowane z dwuskładnikowym uwierzytelnianiem, przy czym najbezpieczniejszym z nich jest FIDO Universal 2nd Factor. To rozwiązanie, znane również jako U2F, wymaga od użytkowników fizycznego klucza oraz hasła, aby uzyskać dostęp do zasobów aplikacji webowej.
Plusy:
Sprawdzone w boju
Skuteczność technologii U2F jest każdego dnia potwierdzana przez 85 000 pracowników Google. Od początku 2017 roku firma oficjalnie stosuje klucze U2F jako zabezpieczenie kont użytkowników w swoich aplikacjach. Od tamtej pory żaden z pracowników Google nie padł ofiarą phishingu czy innej metody kradzieży jego tożsamości. U2F jest na dobrej drodze aby stać się złotym standardem bezpieczeństwa w świecie biznesu, ponieważ chroni użytkowników nawet przed ich własnymi błędami.
Twarda ochrona (sprzętowa)
Możesz nie być tego świadomy, ale używasz już uwierzytelniania dwuskładnikowego. Kiedy pobierasz pieniądze z bankomatu - używasz karty (drugi składnik, tzw. “czynnik posiadania”) i kodu PIN (hasło). Więc kiedy stracisz kartę debetową nie musisz się martwić ponieważ jest ona nadal chroniona PINem, którego złodziej najprawdopodobniej nie zna. To jednak nie zmienia faktu, że w takiej sytuacji powinniśmy zastrzec kartę, blokując dostęp do swoich pieniędzy 🙂
Wady:
Nie wszystkie metody 2FA są w 100% odporne na phishing
W chwili pisania tego artykułu jedyną metodą ochrony, na którą nie ma jeszcze sposobu kompromitacji jest U2F wykorzystujące fizyczny klucz bezpieczeństwa. Inne metody dwuskładnikowego uwierzytelniania oferują i tak nieporównywalnie wyższy poziom ochrony niż tylko hasło jednak należy pamiętać, że np. SMS jako drugi składnik uwierzytelniania nie powinien stanowić metody silnego uwierzytelniania już dawno temu.
Wygoda
W cyberbezpieczeństwie zawsze występuje poszukiwanie kompromisu między rozwiązaniem bezpieczniejszym a wygodniejszym. U2F to metoda, która nie została jeszcze skompromitowana jednak nadal wymaga elementu fizycznego, który musi posiadać osoba gdy chce się zalogować do zabezpieczanego systemu. Utrata klucza bezpieczeństwa, w przeciwieństwie do popularnego przekonania nie stanowi problemu. Możesz zarejestrować w chronionym systemie kilka kluczy a jeśli stracisz jeden, możesz użyć innego. Na wygodę korzystania z takiego rozwiązania jednak cały czas ma wpływ konieczność posiadania fizycznego elementu, który w procesie dwuskładnikowego uwierzytelniania stanowi czynnik posiadania i powinniśmy pamiętać, żeby go mieć przy sobie, jak telefon, portfel, klucze od samochodu i jeszcze kilka innych rzeczy.
Jaka jest najlepsza ochrona przed phishingiem?
Umiejętne połączenie wyżej wymienionych elementów.
Możesz mieć wyszkolony zespół ale jeden pracownik, który padnie ofiarą cyberprzestępcy może zagrozić całej infrastrukturze IT banku.
Możesz mieć najbardziej zaawansowane filtry antyphishingowe, ale znajdą się jeszcze bardziej zaawansowani hakerzy potrafiący je oszukać.
Fizyczny klucz bezpieczeństwa U2F musiałby zostać fizycznie skradziony z kieszeni pracownika aby mógł zostać wykorzystany przez niepowołaną osobą, ale to scenariusz, który również należy rozważyć.
Poniżej tego artykułu podzielę się linkami do firm oferujących ochronę przed phishingiem na każdy z wyżej wymienionych sposobów. Do Ciebie należy decyzja, które podejście jest najlepsze dla Twojej organizacji na obecnym etapie.
Jeśli masz jakieś komentarze lub chciałbyś pomóc w ulepszaniu bezpieczeństwa swojego banku, daj nam znać a my skontaktujemy Cię z autorem artykułu:
Autorem tekstu jest:
Tomasz Kowalski | CEO & Co-founder SECFENSE z Krakowa
materiał Partnera Servus Comp z Krakowa: https://premiumbank.zadbajobezpieczenstwo.pl/
Przydatne linki:
Szkolenie podnoszące świadomość phishingu:
Filtry Phishingowe:
https://www.kaspersky.com/internet-security
https://spamassassin.apache.org/
Technologie 2FA /MFA:
https://www.yubico.com/solutions/fido-u2f/
https://www.ftsafe.com/products/FIDO
https://cloud.google.com/titan-security-key/
Zobacz również listę TOP 10 najlepszych rozwiązań 2FA/MFA w Europie:
POWODZENIA!
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.