Orice organizatie are nevoie de protectie impotriva atacurilor informatice, insa este important sa ne amintim ca un antivirus/antimalware nu este o solutie de genul “one size fits all” si ca multe dintre atacuri au succes pentru ca implica elementul uman – un utilizator descarca un fisier infectat, activeaza macro-urile intr-o foaie de calcul Excel sau da click pe un link malitios. In anumite situatii, atacatorii nici nu trebuie sa foloseasca malware, ci doar tehnici de inginerie sociala si tool-uri software legitime.
Un astfel de atac incepe de obicei cu un email care vizeaza angajatii unei companii. Email-ul este construit de asa natura incat sa para legitim ca venind de la reprezentantii unui anumit serviciu online (platforme de streaming, site-uri de e-commerce) si incearca sa convinga destinatarul ca s-a abonat printr-o subscriptie si ca plata lunara va incepe sa fie debitata. Daca angajatul doreste sa obtina mai multe informatii sau sa anuleze subscriptia, trebuie sa sune la un numar de telefon listat in email sau intr-un fisier anexat email-ului. Pare ca ne-am dat seama unde este “smecheria”, insa contrar asteptarilor fisierul este curat, asa ca orice antivirus ii va permite utilizatorului sa deschida acel fisier. Atacatorii in acest moment nu vor decat ca victima sa sune la acel numar de telefon. Daca acest obiectiv este indeplinit, atacatorii vor convinge victima sa instaleze un program de tipul RAT (remote access tool) sub pretextul ca este necesar pentru a anula subscriptia. Un RAT nu este malware, asa ca nu va declansa nicio alarma din partea antivirusului, cel mult unele vor atentiona cu privire la instalarea respectivului tool, dar nu o vor impiedica. Si ca mecanism de backup, vor instala inca un RAT aditional fara stiinta utilizatorului, pentru situatia in care primul este dezinstalat. In consecinta, atacatorii vor avea acces de la distanta la respectivul sistem si pot instala tool-uri aditionale care sa ii ajute sa penetreze si mai adanc infrastructura organizatiei, sa acceseze si alte sisteme si sa exfiltreze informatii si fisiere.
Un alt exemplu de inginerie sociala este inselatoria la telefon (phone scamming). Atacatorul contacteaza victima telefonic si se prezinta ca un membru al echipei IT de suport a organizatiei. Apoi, folosind diferite pretexte, atacatorul convinge victima sa ii ofere acces de la distanta pe calculator. Printre cele mai des folosite motive sunt expirarea parolei unui cont folosit de angajat si observarea unor activitati “neobisnuite” pe sistemul angajatului care au atras atentia departamentului IT. Hackerul poate folosi accesul obtinut pentru a rula tool-uri de “diagnosticare” care de fapt reprezinta malware sau programe de tip backdoor sau poate rula scripturi care sa culeaga informatii confidentiale de pe sistemul victimei.
In ambele situatii atacatorii nu folosesc niciun fel de malware pentru a obtine accesul initial de care au nevoie pentru a lansa atacuri mai complexe. Organizatiile pot avea cele mai moderne si capabile masuri de securitate, daca nu are angajatii pregatiti pentru un atac de inginerie sociala, toate acele sisteme de securitate vor fi suntate si organizatia este supusa pericolului. Angajatii trebuie sa fie educati cum sa recunoasca o tehnica de inginerie sociala si cum sa o raporteze pentru a se mentine in siguranta, tot timpul, si nu numai online, cand ar fi protejati de solutia de antivirus. Organizatia trebuie sa aiba in vedere programe de “security awareness” care sa creasca gradul de vigilenta al angajatiolor cu privire la pericolele pe care le pot intalni in mediul digital si sa ii incurajeze sa practice “igiena cibernetica”.
Mihai Dumitrascu, Sr Systems Engineer