Prezentujemy 5 przykładów na to jak cyberprzestępcy mogą zaatakować małe i średnie firmy. Eksperci Cisco radzą jak się przed nimi obronić.
Prawie 90% firm decyduje się na cyfrową strategię rozwoju[1]. Z jednej strony pozwala to im pozostać konkurencyjnym w świecie, gdzie Internet jest głównym kanałem kontaktu z klientem. Z drugiej, przed cyberprzestępcami otwiera furtkę do przeprowadzenia ataku.
Dzisiejszy krajobraz cyberbezpieczeństwa powoduje sytuację, w której na ataki narażone są wszystkie organizacje, bez względu na ich rozmiar czy branżę, w której działają. Co więcej, to właśnie małe i średnie firmy są coraz częściej głównym celem działań cyberprzestępców, a nierzadko służą także jako punkt wyjścia dla większych „kampanii”, skierowanych na sieć ich partnerów biznesowych.
To właśnie sektor mśp może być postrzegany jako cel, ze względu na mniejszą zdolność do reagowania na cyberzagrożenia. W momencie, kiedy biznes zorientuje się, że jest atrakcyjny dla atakujących – zwykle jest już za późno, a odzyskiwanie danych może być trudne i kosztowne, jeżeli nie zupełnie niemożliwe. Badania Cisco 2018 Security Capability Benchmark Study wskazują, że ponad połowa (54 procent) wszystkich cyberataków powoduje straty finansowe o wartości przekraczającej 500 000 USD, w tym między innymi utracone przychody, klientów, szanse sprzedażowe czy inne nieprzewidziane wydatki. Działania te wystarczą, aby nieprzygotowana na atak firma utraciła płynność finansową.
Badanie przeprowadzone niedawno przez Better Business Bureau (BBB) pokazują trudności finansowe, z jakimi będzie borykał się mały i średni biznes w przypadku poważnego cyberataku. Jedynie 35% ankietowanych przyznało, że byliby w stanie utrzymać rentowność przez ponad trzy miesiące. Ponad połowa z nich przyznała, że ich firma będzie nierentowna szybciej niż w przeciągu miesiąca.
Niestety nie istnieje jedna uniwersalna reguła, która pozwoli obronić się przed każdym cyberatakiem. Są jednak elementy, które wdrożone odpowiednio wcześnie, pozwolą zabezpieczyć biznes. Przede wszystkim istotna jest znajomość krajobrazu zagrożeń i tego, jak można się przed nimi chronić. Ma to szczególne znaczenie w przypadku firm sektora mśp, w których często zdarza się, że jedna osoba jest odpowiedzialna za kilka różnych obszarów działalności organizacji.
Specjaliści Cisco wyszczególnili 5 rodzajów cyberataków, na które szczególnie narażone są firmy z sektora MŚP:
1 – Phishing
Charakterystyka ataków
Cyberprzestępcy mogą próbować nawiązać kontakt za pośrednictwem poczty e-mail, telefonu lub wiadomości tekstowej przez kogoś kto podszywa się pod inną osobę (np. pracownika innej firmy, ale także tej samej organizacji). Ich celem jest wyłudzenie poufnych informacji, takich jak np. dane osobowe, dane bankowe, numery kart kredytowych i hasła. Informacje te są następnie wykorzystywane do uzyskiwania dostępu do ważnych kont i mogą powodować nie tylko straty finansowe, ale także kradzież tożsamości.
Jak warto postępować?
Warto wyrobić w sobie poczucie czujności i pewien stopień dystansu do otrzymywanych wiadomości. Zbyt hojna oferta lub wiadomość z załącznikiem, którego się nie spodziewamy od nieznanych nadawców mogą okazać się niebezpieczne. W przypadku otrzymania wiadomości z nieznanego źródła warto najechać kursorem myszy na hiperłącze i sprawdzić, czy jego nazwa nie wygląda podejrzanie.
2 – Email Spoofing w celu wyłudzenia poufnych danych
Charakterystyka ataków:
Mechanizm ten polega na podszywaniu się pod inny e-mail i fałszowaniu nagłówka, przez co odbiorcy wydaje się, że wiadomość pochodzi z innego źródła niż ma to miejsce w rzeczywistości. Cyberprzestępcy mogą próbować podszyć się pod kogoś zaufanego, od kogo wiadomości lub prośby o działanie (np. przelew) są regularne i normalne.
Oszuści mogą próbować podszywać się pod właściciela czy dyrektora finansowego organizacji, wejść na firmowy profil LinkedIn i wybrać nazwisko zaufanego pracownika. Starają się poznać wybrane fakty o użytkownikach, ich obecności i zwyczajach w sieci. Przykładowym działaniem, jakie mogą próbować następnie przeprowadzić jest wysyłka wiadomości e-mail z prośbą o przesłanie przelewu do ważnego klienta.
Mechanizm tego oszustwa polega na jego prostocie. Niestety nie wymaga ono dostępu do systemu, więc nie ma potrzeby łamania zapór sieciowych ani haseł. Cyberprzestępcy wykorzystują wiedzę dostępną powszechnie w Internecie, czy to o użytkowniku, czy o organizacji, w której pracuje. Z pomocą przychodzi im prosta socjotechnika – liczą, że odbiorca wiadomości tylko pobieżnie spojrzy na nazwisko nadawcy i zadziała automatycznie, niczym kierowany autopilotem.
Jak warto postępować?
Przede wszystkim koniecznie należy sprawdzać adres nadawcy – czy np. nie występują w nich drobne błędy ortograficzne. Wszyscy pracownicy powinni stosować dodatkowo autentykację przelewów – np. za pomocą połączenia telefonicznego. Innym zabezpieczeniem może być filtrowanie wiadomości, które zawiera znajomo brzmiące adresy.
3 – Ransomware – blokowanie plików i żądanie opłaty za ich odblokowanie
Charakterystyka ataków:
Ataki typu ransomware szyfrują dane ofiar, dopóki atakujący nie otrzyma z góry określonego okupu. Zazwyczaj atakujący żądają zapłaty w formie kryptowaluty (np. bitcoinów). Tylko wtedy cyberprzestępca wyśle klucz deszyfrowania, aby odszyfrować dane ofiary.
Ataki zazwyczaj odbywają się za pośrednictwem poczty e-mail, a użytkownik klika łącze lub otwiera złośliwy załącznik. Innym częstym działaniem są fałszywe reklamy, które pojawiają się na legalnych stronach internetowych, a kliknięcie w nie powoduje, że użytkownicy są przenoszeni do nowej witryny internetowej, która zawiera złośliwy kod rozpoczynający atak na system lub blokujący dostęp do plików.
Jak warto postępować?
Instalowanie popularnych „łatek” i aktualizacje oprogramowania (np. posiadania najbardziej aktualnej wersji przeglądarki) może udaremnić wiele ataków. Jednocześnie użytkownicy powinni starać się dynamicznie i na bieżąco ograniczać zasoby, do których atakujący mogą uzyskać dostęp. Pomocne może być także regularne tworzenie kopii zapasowych.
To, co jest jednak najważniejsze – to nigdy nie należy płacić okupu. Żaden użytkownik nie ma gwarancji, że odzyska swoje dane, a decydując się na zapłatę będzie jedynie zachęcał cyberprzestępców do dalszych ataków.
4 – Ataki na łańcuch dostaw
Charakterystyka ataków:
Są to typy ataków, które niestety zyskują na znaczeniu, pokazując jednocześnie, że cyberprzestępcy stale się rozwijają. Ataki z wykorzystaniem łańcucha dostaw są nie tylko zaawansowanym, ale i trwałym zagrożeniem, które może dotknąć mechanizmów aktualizacji w przypadku legalnych pakietów oprogramowania w organizacji.
Działanie to pozwala atakującym wykorzystywać legalne kanały dystrybucji i słabe punkty w praktykach dotyczących cyberbezpieczeństwa w firmach – zwłaszcza jeżeli chodzi o dzielenie się informacjami. Właśnie dlatego częstym celem tego typu ataków stają się małe i średnie firmy.
Jak postępować?
Dobrą praktyką jest stały kontakt z dostawcami i partnerami oraz bieżące wzajemne informowanie się na temat stosowanych zabezpieczeń, w tym praktyk programistycznych i wewnętrznych mechanizmów bezpieczeństwa, często wdrażanych poprawek i aktualizacje dot. systemów wewnętrznych a także sposobów segmentacji i zabezpieczania środowiska programistycznego, rozwojowego i produkcyjnego. Istotne jest także to, jakie kontrole prowadzą firmy wobec swoich partnerów i sprzedawców.
5 – Wykorzystanie urządzeń mobilnych poza siecią korporacyjną
Charakterystyka ataków
Obecnie dzięki wykorzystaniu aplikacji w chmurze, spora część pracowników jest w stanie uruchomić dużą część oprogramowania firmowego z poziomu swojej komórki. Może to być bardzo niebezpieczne, kiedy logują się oni do otwartych sieci Wi-Fi, np. w kawiarniach czy centrach handlowych.
Problem polega na tym, że w większości publicznych sieci Wi-Fi informacje przesyłane z urządzeń mobilnych nie są szyfrowane. Każdy, kto ma przenośny komputer może łatwo uzyskać oprogramowanie typu „sniffer”, dzięki któremu uzyska dostęp do wszystkich danych przesyłanych przez sieć bezprzewodową.
Użytkownicy mogą również łączyć się z fałszywymi punktami dostępowymi Wi-Fi, które mogą monitorować zawartość wszystkich transmisji. Co więcej, wszelkie niezałatane luki w zabezpieczeniach mogą być również wykorzystane przez inne osoby w tej samej sieci lokalnej.
Jak warto postępować?
Dobrą praktyką jest wykorzystanie sieci publicznej, która używa szyfrowanego hasła. Pomocne może być również połączenie VPN, jednak w sytuacji, kiedy większość pracowników korzysta z usług w chmurze, warto rozważyć opcję Secure Internet Gateway, aby zatrzymać zagrożenia w warstwie DNS. Istotne jest także korzystanie wyłącznie z bezpiecznych stron internetowych (https) i bieżąca aktualizacja oprogramowania w celu zachowania jego bezpieczeństwa.
[1] Źródło: IDC, 2018 State of Digital Business Transformation