Wyłudzenie danych „na admina” znów jest popularne. Nie daj się nabrać

W skrzynkach pocztowych znów możemy znaleźć e-maile wykorzystujące starą sztuczkę, by zdobyć dane logowania użytkowników. Oszustwo „na admina” to klasyczny zabieg socjotechniczny, w którym autorzy e-maila podszywają się pod administratorów jakiejś usługi i proszą o podanie danych logowania, by rozwiązać jakiś problem ze skrzynką pocztową lub kontem odbiorcy. Sztuczka prawie tak stara, jak internet.

Wyłudzenie danych „na admina” znów jest popularne. Nie daj się nabrać
Wyłudzenie danych „na admina” znów jest popularne. Nie daj się nabrać

27.02.2019 13:04

Specjaliści z Dagmy ostrzegają przede wszystkim pracowników, którzy korzystają z firmowych skrzynek pocztowych. W ostatnich dniach dało się zauważyć powrót takich oszustw. Wzrosła częstotliwość pojawiania się wiadomości e-mail, które informowały pracowników z Polski o przepełnionej skrzynce pocztowej. Oszuści podszywają się pod administratorów usługi i wymagają podania loginu, hasła oraz numeru telefonu, by potwierdzić dane logowania konta. Wiadomości są podpisane po prostu „Administrator systemu”, bez żadnych dalszych wyjaśnień. Jeśli użytkownik nie odeśle danych, skrzynka zostanie wyłączona.

Przykładowy e-mail wyłudzający dane, wykryty przez filtr antyspamowy
Przykładowy e-mail wyłudzający dane, wykryty przez filtr antyspamowy

Kampania jest uderzająco podobna do tej, o której informowali pod koniec 2018 roku analitycy z firmy Marken. Wiadomości pochodziły z nieznanych adresów e-mail, na przykład cborges@inea.gob.ve. Wiadomości były podpisane tak samo – „Administrator Systemu”. Znamienne jest, że w stopce nie ma żadnych dodatkowych informacji na temat administratora, podczas gdy zwykle autorzy takich e-maili podają zwykle swoje nazwisko, numer telefonu, w niektórych firmach obowiązkowo dołączane są też firmowe sygnatury z danymi przedsiębiorstwa. Kampania opisywana wtedy nie miała nawet polskich znaków diakrytycznych w treści e-maila.

Twoja skrzynka pocztowa przekroczyla limit przestrzeni dyskowej ustalony przez administratora, mozesz nie byc wstanie wysylac ani odbierac nowej poczty, dopoki nie zweryfikujesz ponownie skrzynki pocztowej. Aby ponowniezweryfikowac swoja skrzynke pocztowa, wyslij nastepujace informacje ponizej: Nazwa: Nazwa Uzytkownika: Haslo: Wpisz ponownie haslo: Adres e-mail: Numer telefonu: Jesli nie uda sie ponownie zweryfikowac skrzynki pocztowej, twoja skrzynka zostanie dezaktywowana !!! Administrator systemu

Cyberprzestępca lub cyberprzestępcy, stojący za kampanią, kradną w ten sposób wrażliwe dane pracowników, którzy dali się nabrać na sztuczkę. Lepiej zorientowani użytkownicy nie dadzą się nabrać, ale przestępcy liczą na nieuwagę i brak doświadczenia ofiar. Wiele osób może nie wiedzieć, jakie limity mają ich skrzynki i że muszą na przykład opróżnić kosz, by zwolnić więcej miejsca. Mogą także nie orientować się, że administratorzy nie potrzebują danych logowania do konta, by opróżnić lub powiększyć czyjąś skrzynkę mailową. Nieuważny użytkownik może nie zwrócić uwagi na podejrzany adres e-mail nadawcy i brak właściwego podpisu.

Nie sprzyja też panujący w firmach pośpiech. Wielu pracowników zrobi wszystko, by móc odhaczyć kolejną pozycję na liście rzeczy do zrobienia lub zwyczajnie przestraszy się braku możliwości odbierania firmowej poczty i przekaże swoje dane oszustom.

Pracownicy winni wyciekom danych

W raporcie „Cyberbezpieczeństwo. Trendy 2019” nieuwaga pracowników została wskazana jako główna przyczyna wycieków danych firmowych. Choć w ogólności bezpieczeństwo danych się poprawia, między innymi dzięki wytycznym RODO, do naruszeń dochodzi w niemal każdej firmie. Naruszenia zanotowało 74 proc. firm, które wdrożyły już nowe zasady ochrony danych osobowych, 84 proc. firm będących w trakcie wdrożenia 90 proc. podmiotów, które RODO nie wdrożyły. Za 48 proc. tych naruszeń odpowiedzialność ponoszą zaniedbujący swoje obowiązki i nieuważni pracownicy.

Piotr Zielaskiewicz, product manager rozwiązań Stormshield w Dagmie, przypomina, że mimo wszystko podstawą bezpieczeństwa firmowej sieci są zabezpieczenia wpostaci zapory sieciowej lub popularnych na rynku urządzeń typu next gen, łączące zaporę z filtrowaniem heurystycznym i głęboką analizą ruchu sieciowego. Takie rozwiązania przechwycą spam, szkodliwe załączniki i podejrzane e-maile z kampanii phishingowych. Stanowią one pierwszą linię obrony przed atakami i znacznie zmniejszą ryzyko, że nieuważny pracownik popełni błąd. Nie ma jednak zabezpieczeń niezawodnych i niezbędne jest też odpowiednie szkolenie pracowników. Głównie oni padają ofiarami ataków phishingowych „na admina” i otwierają szkodliwe pliki, myśląc, że to faktura. Znane są nawet przypadki, gdy pracownicy firmy bez mrugnięcia okiem przelewali pieniądze na konto cyberprzestępców, podających się za dostawcę albo kierownika firmy (atak „na CEO/CFO”).

Obroni nas tylko zdrowy rozsądek

W opinii Daniela Suchockiego, trenera Autoryzowanego Centrum Szkoleniowego Dagma, metoda „na admina” to jeden z licznych ataków, które w ostatnim czasie skierowane są na podatnych pracowników. Według wielu specjalistów najsłabsze ogniwo w łańcuchu zabezpieczeń i najczęstszy wektor ataku. Kampanie phishingowe tej klasy są tanie i skuteczne, ponieważ działają na zasadzie skali. Jeżeli cyberprzestępca wyśle milion takich wiadomości, zawsze znajdzie się osoba, która odpowie na nią bez zastanowienia.

Tę samą metodę wykorzystują cyberprzestępcy rozsyłający malware e-mailem. Ostatnio do łask wróciła kampania, w której zapowiadana jest kontrola z urzędu skarbowego. E-maile dotarły do tysięcy, a może nawet dziesiątek tysięcy osób i na pewno jest ktoś, kto otworzył załącznik ze szkodliwym skryptem. Zdarzają się też skrypty udające archiwa i wyłudzające hasła, których bez podania ciągu znaków nie da się rozpakować. W e-mailu zwykle znajduje się informacja, że archiwum jest zabezpieczone tym samym hasłem, co jakaś usługa, a w rzeczywistości ofiara podaje hasło na tacy atakującym.

Specjaliści z firmy Marken dają pracownikom 3 proste rady. W pierwszej kolejności trzeba sprawdzić, kto jest nadawcą wiadomości i czy adres należy do puli skrzynek firmowych. W skrzynce prywatnej zwykle wystarczy usunąć zbędną pocztę, w firmowej zaś najlepiej skontaktować się ze wsparciem technicznym w razie problemów. Administratorzy żadnej poczty, portalu społecznościowego czy banku nie poproszą użytkowników o dane logowania, więc przede wszystkim nie należy tych danych podawać e-mailem, w nieznanych programach, formularzach ani stronach.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (19)