Emailul reprezinta serviciul cel mai folosit de o organizatie in desfasurarea activitatii de zi cu zi. Emailul este utilizat de departamentele unei organizatii pentru a transmite comunicari interne, dar si pentru a colabora cu clienti, parteneri sau alte entitati. Emailul este folosit si pentru a transmite informatii prin atasamente si pentru a programa intalniri sau evenimente prin functia de calendar.
Emailul este un bun absolut vital pentru o companie si, de aceea, este “vanat” si exploatat la maxim de actorii rau-voitori din Internet. Emailul reprezinta cel mai folosit vector de atac prin care se urmareste compromiterea unor dispozitive, a unor persoane sau a datelor.
Atacurile bazate pe email provin adesea de la o sursa de incredere, cu intentia de a convinge destinatarul sa deschida un fisier atasat infectat cu malware sau se dea click pe un link care l-ar duce pe un server web malitios. Modurile prin care aceste atacuri sunt variate si atacatorii au grija sa se faca greu de detectat de solutiile de securitate, apeland la cele mai avansate tehnologii din prezent, precum AI (inteligenta artificiala) si ML (machine learning). Obiectivele acestor atacuri se pot incadra intr-una din aceste categorii: furtul de bani, furtul de date sau indisponibilizarea serviciului de email (denial of service).
Cateva dintre cele mai frecvente atacuri executate prin mesaje de tip email sunt:
- email spamming: livrarea catre destinatar a unor emailuri nesolicitate cu continut comercial. Scopul este acela de a atrage destinatarul sa acceseze anumite site-uri web marketate prin acel email si sa cumpere produsele si serviciile promovate de catre acele site-uri.
- email phishing: phishing-ul reprezinta incercarea frauduloasa de a obtine informatii si date sensibile de la utilizator (credentiale de autentificare, date personale, informatii bancare) folosind tehnici de inginerie sociala. O forma specifica a acestui atac se numeste “spearphishing” intrucat atacul este directionat catre o anumita persoana sau un grup restrans de victime (de exemplu, managementul C-level al unei organizatii). Atacatorul depune mai multa munca in a fabrica un email cat mai veridic, crescand sansele ca atacul sa fie executat cu succes, mai ales cand tinta este o retea enterprise.
- email bombing: trimiterea repetitiva si constanta de mesaje email cu fisiere atasate de dimensiuni mari catre o anume casuta inbox. Acest atac va duce la consumarea intregului spatiu disponibil pe server, facand contul asociat acelui inbox inutilizabil. Practic, astfel se poate executa un atac de tipul denial of service (DoS).
- email spoofing: folosirea unei adrese sursa de email modificata pentru a parea similara cu o adresa legitima sau impersonarea unei adrese valide cu scopul de a ascunde identitatea reala a expeditorului pentru a convinge destinatarul ca sursa email-ului este una legitima, sporind sansele ca atacul sa se execute cu succes.
Ce solutii avem la dispozitie pentru a ne proteja de aceste atacuri?
1. Utilizatorul este adesea veriga cea mai slaba din “attack chain-ul” folosit asupra unei organizatii. De aceea, training-ul de specialitate prin care sa se prezinte concepte de baza de securitate cibernetica si prin care sa se faca “awareness” cu privire la pericolele care pot veni pe calea email-ului este imperativ.
2. Utilizarea solutiilor de securitate pentru email pentru protejarea mesajelor si a continutului acestora. Astfel de solutii includ filtre antispam, motoare de antivirus pentru scanarea email-ului de malware, liste de URL-uri updatate constant pentru a identifica site-uri de phishing si domenii malitioase. Mentinerea la zi a licentelor pentru aceste produse este absolut vitala pentru a proteja email-ul de cele mai recente amenintari.
3. Actualizarea clientului de email folosit (fie cel dedicat, fie browser-ul web), a server-ului de email si a sistemului de operare de indata ce primiti notificari de update-uri disponibile. Astfel se vor elimina anumite vulnerabilitati si slabiciuni descoperite recent in codul software folosit, care pot fi exploatate de atacatori.
4. Exersati scepticism atunci cand primiti un email de la o sursa de care nu sunteti siguri ca este legitima. Nu dati click pe link-urile din mesaj si nu descarcati atasamentele. Trimiteti o copie a mesajului si a atasamentelor incluse catre departamentul IT al organizatiei pentru ca acesta sa faca o analiza detaliata si sa confirme sau sa infirme veridicitatea mesajului.
5. Implementati la nivel de organizatie o solutie de autentificare in doi pasi si incurajati utilizatorii sa o foloseasca pentru a proteja accesul la contul de email. Astfel, se poate evita preluarea controlului asupra contului de catre o persoana necunoscuta.
6. Folosind setarile de securitate ale clientului de email, dezactivati afisarea automata a imaginilor (acestea pot avea continut ascuns, posibil malitios), preloading-ul URL-urilor din email in browser-ul web si download-ul automat al atasamentelor. Un procent semnificativ de malware este adus in organizatie prin documente de tip Office sau PDF care au macrocomenzi. La deschiderea fisierului, macrocomenzile se executa si contacteaza un server de Command and Control (CnC) din Internet pentru a download-a malware, compromintand device-ul si, in cel mai rau caz, intreaga retea a companiei.
7. Atunci cand se transfera informatii sensibile sau cand se fac tranzactii financiare semnificative se recomanda utilizarea unui canal de email securizat prin criptare si semnaturi electronice (certificate digitale).
Mihai Dumitrascu, Sr Systems Engineer