Nie daj się nabrać na pizzę

opublikowano: 28-05-2019, 22:00

To mogło zdarzyć się w każdej firmie. Pewnego dnia pracownicy dostali mejle z informacją o otwarciu w okolicy pizzerii, która pierwszym klientom oferowała 30 proc. zniżki.

Zrzucili się na osiem pizz. Po kilkudziesięciu minutach w firmie pojawił się dostawca z zamówionym jedzeniem i gratisem — ledowymi lampkami na USB, zmieniającymi kolory w rytm muzyki. Mile zaskoczeni upominkiem pracownicy podłączyli je do komputerów. Kilka minut później firmowa sieć przestała działać.

— Zaczęliśmy od stworzenia fałszywej strony WWW, a następnie zamówiliśmy naklejki z nazwą i logo pizzerii. Do ataku wykorzystaliśmy służbowe mejle podane na stronie atakowanej korporacji. Po otrzymaniu zamówienia nasz pracownik dostarczył pizzę, naklejając na pudełko logo fikcyjnej. W lampki, które dostali pracownicy, wbudowaliśmy spreparowane pendrive’y ze złośliwym oprogramowaniem. Pod budynkiem czekał nasz specjalista od cyberbezpieczeństwa, który po uzyskaniu zdalnego dostępu do urządzeń zaszyfrował wszystkie dane w firmowym systemie — opowiada Szymon Chruścicki z TestArmy CyberForces, który przygotował scenariusz ataku.

TestArmy zajmuje się cyberbezpieczeństwem, a metodą na pizzę udowodniła, że firma, która ma ochronę na najwyższym poziomie, może paść ofiarą hakerów, jeśli zawiedzie najsłabsze, najmniej przewidywalne ogniwo — człowiek. Cenzin z Polskiej Grupy Zbrojeniowej stracił kilka milionów złotych, które wpłacił cyberprzestępcom. Podszyli się pod dostawcę broni z Czech, który jakoby zmienił numer konta. Pracownicy Cenzinu nie zweryfikowali wysłanych mejlem informacji o nowym numerze, na który należało uiszczać płatności. Dane 20 tys. pracowników FBI i 9 tys. Departamentu Bezpieczeństwa w USA wyciekły po tym, jak podający się za nowego pracownika haker zadzwonił do Departamentu Sprawiedliwości i poprosił o przekazanie kodu dostępu do zastrzeżonych stron tych instytucji. W ten sposób zdobył dostęp do wewnętrznej sieci, zawierającej m.in. adresy mejlowe członków armii i informacje o numerach ich kart kredytowych.

W Polsce z atakami phishingowymi styka się rocznie prawie 20 proc. internautów. Na celowniku są użytkownicy banków i systemów płatniczych oraz klienci sklepów internetowych, co dowodzi, że głównym celem hakerów są pieniądze — wynika z badania Kaspersky Lab. Rośnie liczba ataków whalingowych, czyli bardziej dokładnego i wyrafinowanego phishingu nakierowanego na instytucje rządowe i duże biznesy. Menedżerowie wysokiego szczebla i dyrektorzy firm, którzy mają dostęp do wielu zastrzeżonych rejonów infrastruktury informatycznej, są 12 razy bardziej narażeni na atak socjotechniczny niż rok temu — wynika z raportu Verizon DBIR 2019.

Polska nie jest jednak głównym celem cyberprzestępców. Najwięcej ofiar ataków phishingowych znajduje się w Brazylii (blokady oprogramowania antyphishingowego firmy Kaspersky Lab uruchomiły się u 21,6 proc. użytkowników), Australii, Hiszpanii i Portugalii. W Polsce odsetek ataków na użytkowników Kaspersky Lab wyniósł 10,2 proc.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Małgorzata Grzegorczyk

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu