Posted inCyberBezpieczeństwo

Dlaczego najlepsze ataki phishingowe wyglądają jak normalna praca

Brak komentarzy.
phishing testy kampanie mśp

Jeżeli ktoś myśli o phishingu jak o mailu z Nigerii, literówkach i dziwnym adresem nadawcy, to jest dobre kilkanaście lat do tyłu. Dziś najskuteczniejsze ataki nie rzucają się w oczy. One idealnie pasują do tego, co w firmie dzieje się codziennie. Faktury, akceptacje dokumentów, zmiany numeru konta, pilne prośby od przełożonego, zaproszenia do SharePointa czy OneDrive. To nie są wyjątki. To standardowy dzień pracy w małej i średniej firmie.

I właśnie dlatego phishing działa.

Nie dlatego, że ktoś nie włączył filtra albo zapomniał o jakiejś regule. Działa dlatego, że atakujący nauczyli się kopiować normalność. A normalność w firmach jest przewidywalna.

Phishing przestał bazować na oszustwie

W praktyce, z perspektywy kogoś, kto faktycznie widział takie incydenty w firmach, phishing nie wygląda już jak atak. Wygląda jak zadanie do wykonania. Mail przychodzi w odpowiednim momencie. Jest zgodny z kontekstem. Czasem nawet z trwającą już rozmową.

Przykład z życia. Firma produkcyjna, 300 osób. Dział zakupów dostaje maila z informacją o fakturze od znanego kontrahenta wykorzystując prawdziwą historię rozmowy. Załącznik PDF, poprawny branding, numer faktury się zgadza. Jedyna różnica to numer konta i literówka w domenie nadawcy. Odbiorca zauważa problem, zgłasza to do działu IT.  Gdyby pracownik nie zareagował, księgowa zapewne zrobiłaby to, co robiła setki razy wcześniej. Aktualizacja danych i płatność.

Pomimo, że pracownik zakupów zweryfikował dane to tak naprawdę nie było tu żadnej „czujności użytkownika”, która mogła zadziałać. To była normalna praca.

Atakujący nie próbują już nikogo straszyć. Oni się wtapiają w procesy. Wiedzą, że w MŚP nie ma czasu na analizę każdego maila. Wiedzą, że ludzie działają pod presją terminów i odpowiedzialności.

Procesy biznesowe są dziś największą podatnością

Technicznie rzecz biorąc, wiele firm ma całkiem niezłe zabezpieczenia. SPF, DKIM, DMARC, bramki antyspamowe, sandboxy. I to jest potrzebne. Problem w tym, że phishing, który działa najlepiej, często tych mechanizmów nie łamie.

Jeżeli ktoś przejmie skrzynkę jednego pracownika, dalsza komunikacja odbywa się już z legalnego konta. Jeżeli zarejestruje domenę łudząco podobną do prawdziwej i poprawnie ją skonfiguruje, filtry często nie mają podstaw, żeby to zatrzymać.

Ale jeszcze ważniejsze jest coś innego. Atakujący analizują, jak firmy pracują. Wiedzą, że:

  • faktury przychodzą mailem,
  • dokumenty krążą w chmurze,
  • przełożeni wysyłają krótkie, rzeczowe polecenia,
  • IT często jest jednoosobowe albo zewnętrzne.

To nie są luki techniczne. To są normalne realia małych i średnich firm.

I dopóki firmy myślą o phishingu jak o problemie „złych maili”, a nie „złych sytuacji”, będą przegrywać.

Dlaczego pracownicy nie popełniają błędów, tylko wykonują swoją pracę

To jest moment, w którym wiele organizacji popełnia największy błąd. Szuka winnego. „Kto kliknął?”. „Kto otworzył?”. „Kto nie sprawdził?”.

Z mojego doświadczenia wynika jedno. W zdecydowanej większości przypadków pracownik robi dokładnie to, czego się od niego oczekiwało. Odpowiedział szybko. Wykonał polecenie. Zareagował na pilną sprawę.

Phishing żeruje na odpowiedzialności. Na tym, że ktoś nie chce zawalić terminu. Na tym, że ktoś boi się zignorować maila od szefa. Na tym, że ktoś chce być pomocny.

Szkolenia w stylu „nie klikaj w linki” niewiele tu zmieniają, jeśli nie są osadzone w realnych scenariuszach z danej firmy. Bo w realnym świecie nikt nie klika „losowych linków”. Ludzie klikają w to, co wygląda jak ich praca.

Skutki dla małych i średnich firm są inne niż się wydaje

W dużych organizacjach incydent phishingowy to procedura. Zespół SOC, IR, komunikacja kryzysowa. W MŚP to często chaos.

Jedna udana kampania może oznaczać:

  • utratę pieniędzy, których nie da się odzyskać,
  • przejęcie skrzynki i dalsze ataki na klientów,
  • blokadę konta przez operatora poczty,
  • utratę zaufania kontrahentów,
  • tygodnie ręcznego sprzątania.

Co gorsza, wiele firm nawet nie wie, że padło ofiarą phishingu. Dowiadują się, gdy klient zadzwoni z pytaniem o dziwną fakturę albo gdy bank zablokuje przelew.

To jest realny problem operacyjny, nie tylko kwestia cyberbezpieczeństwa.

Dlaczego blokowanie maili nie wystarcza

Filtry są potrzebne. Ale one działają na poziomie technicznym. A phishing, który działa najlepiej, operuje na poziomie kontekstu.

Nie zablokujesz maila, który:

  • przychodzi z prawdziwej skrzynki,
  • odnosi się do prawdziwego projektu,
  • używa prawdziwych nazw i dokumentów,
  • pasuje czasowo do realnych zdarzeń w firmie.

Dlatego firmy, które inwestują tylko w blokowanie, mają fałszywe poczucie bezpieczeństwa. Atak nie musi się przebić przez bramkę. Wystarczy, że wykorzysta to, co już jest w środku.

Tu zaczyna się rola testów phishingowych, monitoringu zachowań i analizy ryzyka, a nie tylko samej filtracji.

Co działa w MŚP

Zamiast udawać, że da się „wyeliminować phishing”, warto przyjąć bardziej realistyczne podejście. Skoro ataki wyglądają jak normalna praca, to trzeba sprawdzać, jak organizacja reaguje na normalnie wyglądające sytuacje.

Dobrze zaprojektowane testy phishingowe nie polegają na łapaniu ludzi na oczywistych błędach. One symulują realne scenariusze. Faktury. Dokumenty. Prośby o szybkie działanie. I sprawdzają nie tylko kto kliknął, ale co wydarzyło się dalej.

Monitoring poczty, domen, wycieków danych czy zachowań logowania daje kontekst. Pozwala zobaczyć, czy incydent to jednorazowy błąd, czy początek większego problemu.

W praktyce firmy, które podchodzą do tego dojrzale, nie pytają „czy ktoś kliknął”, tylko:

  • jak szybko to wykryliśmy,
  • czy ktoś zareagował,
  • czy wiemy, co było celem ataku.

Wnioski

Phishing nie wygrywa dlatego, że firmy mają słabe filtry. Wygrywa dlatego, że nauczył się wyglądać jak codzienna praca. A codzienna praca w MŚP jest szybka, oparta na zaufaniu i skrótach myślowych.

Jeżeli organizacja nie testuje swoich realnych scenariuszy i nie monitoruje tego, co dzieje się po kliknięciu, to prędzej czy później trafi na atak, który przejdzie niezauważony.

Nie da się tego problemu rozwiązać jednym narzędziem ani jedną regułą. Da się go jednak zrozumieć i ograniczyć. I to jest różnica między firmami, które tylko „mają zabezpieczenia”, a tymi, które faktycznie wiedzą, gdzie są ich słabe miejsca.

Chciałbyś przeprowadzić test phishingowy w swojej firmie?

Pomagamy firmom dbać o cyberbezpieczeństwo. Przeprowadzimy kampanię phishingową i szkolenie dla pracowników

Sprawdź, czy Twoja organizacja jest odporna!

Odezwij się do nas!
Tags:

Komentarze

Nie ma jeszcze komentarzy. Może zaczniesz dyskusję?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *