Impersonation Attacks

Posted by & filed under Ειδοποιήσεις.

Κατόπιν ενημέρωσης από κρίσιμη υποδομή, το Εθνικό CSIRT-CY διεξήγαγε τις κατάλληλες ενέργειες για την αντιμετώπιση επίθεσης impersonation, ή αλλιώς πλαστοπροσωπίας. Κατά το συγκεκριμένο περιστατικό, κακόβουλοι χρήστες δημιούργησαν ιστοσελίδα με πανομοιότυπο σύνδεσμο και ιστότοπο με αυτών του γνήσιου όπου αποσκοπούσαν στην υποκλοπή διαπιστευτηρίων.

Η επίθεση πλαστοπροσωπίας αποτελεί μορφή ηλεκτρονικής απάτης κατά την οποία ο εισβολέας παρουσιάζεται ως γνωστό ή αξιόπιστο άτομο με σκοπό την εξαπάτηση για τη μεταφορά χρημάτων σε τραπεζικό λογαριασμό, την κοινή χρήση ευαίσθητων πληροφοριών, ή την αποκάλυψη διαπιστευτηρίων σύνδεσης όπου οι εισβολείς μπορούν να χρησιμοποιήσουν για να εισχωρήσουν στο δίκτυο υπολογιστών μιας εταιρείας. Η απάτη του διευθύνοντος συμβούλου (CEO), ο παραβίαση ηλεκτρονικού ταχυδρομείου επιχειρήσεων και η στοχοποίηση υψηλόβαθμων στελεχών είναι συγκεκριμένες μορφές αυτής της επίθεσης όπου κακόβουλα άτομα παρουσιάζονται ως υψηλά στελέχη μίας εταιρείας.

Οι επιθέσεις πλαστοπροσωπίας συνήθως λαμβάνουν χώρα χωρίς την χρήση κακόβουλου λογισμικού και πραγματοποιούνται μέσω email χρησιμοποιώντας κοινωνική μηχανική, συλλέγοντας πληροφορίες από λογαριασμούς κοινωνικών μέσων και άλλων διαδικτυακών πηγών οι οποίες, όταν χρησιμοποιούνται στο κείμενο ενός email, μπορούν να προσδώσουν αυθεντικότητα στο μήνυμα. Μια επίθεση πλαστοπροσωπίας απευθύνεται συνήθως σε έναν υπάλληλο που μπορεί να ξεκινήσει τραπεζικές μεταφορές ή που έχει πρόσβαση σε ευαίσθητα ή ιδιόκτητα δεδομένα. Ο υπάλληλος λαμβάνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που φαίνεται να προέρχεται από έγκυρη πηγή, συχνά ανώτατο στέλεχος της εταιρείας, ζητώντας επειγόντως να μεταφερθούν χρήματα σε έναν συγκεκριμένο λογαριασμό ή να αποσταλούν αμέσως ευαίσθητες πληροφορίες.

Σε αντίθεση με τις κοινές επιθέσεις ηλεκτρονικού ψαρέματος (phishing), οι οποίες συχνά είναι αφηρημένες και περιέχουν γραμματικά ή ορθογραφικά λάθη, οι επιθέσεις πλαστοπροσωπίας είναι πολύ στοχευμένες και καλά σχεδιασμένες ώστε να φαίνονται ρεαλιστικές και αυθεντικές. Υπάρχουν μερικά πράγματα, ωστόσο, που δείχνουν ένα ενδεχομένως δόλιο email:

  • Επείγων και πιθανώς απειλητικός τόνος. Οι περισσότερες επιθέσεις πλαστοπροσωπίας ζητούν ή απαιτούν ο παραλήπτης να ενεργήσει άμεσα. Αυτό αποσκοπεί στο να εμποδίσει τον υπάλληλο να αφιερώσει χρόνο στον διπλό έλεγχο πριν ενεργήσει.
  • Έμφαση στην εμπιστευτικότητα. Ορισμένες επιθέσεις πλαστοπροσωπίας υποδηλώνουν ότι οι ενέργειες αποτελούν μέρος ενός εμπιστευτικού προγράμματος ανάπτυξης ή μυστικού προγράμματος που δεν πρέπει να συζητηθούν με συναδέλφους ή άμεσα προϊσταμένους.
  • Αίτημα για αποστολή χρημάτων ή κοινοποίηση ευαίσθητων πληροφορίων. Οποιοδήποτε αίτημα μεταφοράς χρημάτων ή κοινοποίησης ευαίσθητων οικονομικών δεδομένων, πληροφοριών μισθοδοσίας ή πνευματικής ιδιοκτησίας πρέπει να επιβεβαιώνεται μέσω πολλαπλών πηγών.
  • Πρόβλημα με διευθύνσεις email ή συνδέσμους. Συχνά, το email που πλαστοπροσωπεί ένα στέλεχος θα είναι μια ελαφρώς τροποποιημένη έκδοση μιας νόμιμης διεύθυνσης email. Επιπλέον, η διεύθυνση απάντησης μπορεί να είναι διαφορετική από τη διεύθυνση του αποστολέα, ή οι πραγματικοί σύνδεσμοι προς ηλεκτρονικές διευθύνσεις εντός του μηνύματος να μην ταιριάζουν με το κείμενο των υπερσυνδέσμων στην δομή του αντιγράφου ενός email.
  • Ασυνήθιστα αιτήματα ή λογαριασμοί. Οι επιθέσεις πλαστοπροσωπίας συχνά ζητούν από τους παραλήπτες να στέλνουν χρήματα σε τραπεζικούς λογαριασμούς ή σε λογαριασμούς προμηθευτών που έχουν διαφορετικούς αριθμούς από αυτούς που είχε χρησιμοποιήσει ο υπάλληλος στο παρελθόν.

Για την αποφυγή επιθέσεων πλαστοπροσωπίας και άλλων μορφών ηλεκτρονικού ψαρέματος και εγκλήματος στον κυβερνοχώρο, συστήνεται οι οργανισμοί να υιοθετούν μία πολυεπίπεδη προσέγγιση για την ασφάλεια του ηλεκτρονικού ταχυδρομείου που περιλαμβάνει:

  • Ευαισθητοποίησης σχετικά με την ασφάλεια όπου οι υπάλληλοι εκπαιδεύονται για το πώς μοιάζουν οι επιθέσεις πλαστοπροσωπίας, τι μπορεί να γίνει για την πρόληψή τους και για το είδος της ζημιάς που μπορεί να προκαλέσει μία επιτυχημένη επίθεση.
  • Λύσεις κατά της πλαστοπροσωπίας που ανιχνεύουν μηνύματα ηλεκτρονικού ταχυδρομείου για σημάδια κακόβουλου λογισμικού, επιθέσεων που βασίζονται στην κοινωνική μηχανική που σχετίζονται συνήθως με την πλαστοπροσωπία.
  • Λογισμικό ασφαλείας email που σαρώνει και φιλτράρει κάθε σύνδεσμο και συνημμένο σε κάθε email, εμποδίζοντας τους χρήστες να επισκέπτονται ηλεκτρονικές διευθύνσεις ή να ανοίγουν συνημμένα που ενδέχεται να είναι κακόβουλα.
  • Υπηρεσίες ελέγχου ταυτότητας DNS που χρησιμοποιούν πρωτόκολλα DKIM, SPF και DMARC για τον εντοπισμό νόμιμων και δυνητικά ψευδών email.
  • Προστασία anti-malware και anti-spam που μπορούν να σταματήσουν την πρόσβαση συγκεκριμένων επιθέσεων σε mailboxes χρηστών.