Homeoffice a Vishing kybernetické útoky na zamestnancov

V aktuálnej situácii, keď máme globálnu pandémiu vírusu Covid-19, je veľké percento zamestnancov firiem v režime práce z domu tzv. homeoffice. Hlavne väčšina IT firiem, kde zamestnanci pracujú za počítačom, umožňuje a aktuálne uprednostňuje možnosť, aby zamestnanci pracovali z domu cez zabezpečené VPN pripojenie.

Táto situácia otvára nové možnosti pre útočníkov a telefonické phishingové útoky tzv. vishing (voice phishing) útoky. Útoky využívajú praktiky sociálneho inžinierstva (social engineering) a snažia sa získať od zamestnancov pracujúcich z domu prístupové prihlasovacie údaje do firemnej VPN siete, ktoré sú následne zneužité. Scenár kybernetického útoku je vo väčšine prípadov nasledovný:

  • Útočník si vytipuje firmu, na ktorú zacieli svoj vishing útok a skúsi získať údaje o niektorom pracovníkovi IT technickej podpory v danej firme. Využiť môže informácie na firemnej webovej stránke (veľakrát tam bývajú kontakty na zamestnancov zákazníckej podpory a pod.), prípadne zo sociálnych sietí ako LinkedIn, kde si zamestnanci uvádzajú svoje pozície a firmu, kde pracujú.
  • Následne si útočník nájde telefónne čísla na zamestnancov danej firmy, využiť na to môže zamestnancov zákazníckeho centra (predstiera klienta a požaduje kontakt na managera, obchodníka a pod.), prípadne iné verejne dostupné telefónne čísla na zamestnancov danej firmy.
  • Ďalší krok je samotný útok, kedy útočník zavolá vytipovanému zamestnancovi a predstaví sa ako pracovník firemnej IT podpory, predstaví sa menom aj pracovnou pozíciou, aby uistil obeť, že je z danej firmy a následne pod rôznymi zámienkami (testovanie prístupu, aktualizácia účtu, bezpečnostné nastavenie a podobne) si od obete vyžiada prihlasovacie údaje do siete VPN, v prípade dvojfaktorovej autentifikácie aj kód.
  • Telefonický hovor je priateľsky ukončený a zamestnanec pokračuje vo svojej práci a netuší, že sa stal obeťou útoku formou telefonického phishingu.

Následne to má rýchly spád, útočník získava prístup do firemnej siete, môže sa pokúsiť inštalovať ransomvér a následne žiadať výkupné za dešifrovanie dát, prípadne odcudzí citlivé údaje, alebo ak má prístup k finančným systémom, môže sa priamo pokúsiť o prevod finančných prostriedkov a pod.

To, že sa podobné kybernetické útoky naozaj dejú, dokazuje aj varovanie americkej FBI a CIA, ktorá vydala vyhlásenie, ktoré je možné nájsť tu:

https://krebsonsecurity.com/wp-content/uploads/2020/08/fbi-cisa-vishing.pdf

Dokument obsahuje aj odporúčania, ktoré obmedzujú riziko daného útoku, jedná sa hlavne o:

  • Obmedzený prístup do VPN siete len zo spravovaných zariadení a to pomocou mechanizmov ako hardvérové overovanie, inštaláciou certifikátov a podobne. Zadanie prihlasovacích údajov nie je dostačujúce zabezpečenie.
  • Obmedzenie hodín, počas ktorých je možné využívať VPN pripojenie.
  • Aktívne kontrolovať a monitorovať intranetové a webové aplikácie pred neautorizovaným prístupom, úpravami a podozrivou aktivitou.
  • Obmedzovanie prístupových práv zamestnancov len na systémy a dáta, ktoré potrebujú k svoje práci, implementácia bezpečnostnej politiky.
  • Zavedenie overovacieho procesu počas telefonických hovorov zamestnanca so zamestnancom, aby sa zamedzilo podvodným telefonátom.

Ďalšie odporúčania nájdete vo vyššie uvedenom dokumente.