Krádež identity

Phishingové útoky jsou stále sofistikovanější a s jejich odhalením mají problém i velmi zkušení uživatelé a administrátoři sítí.

Úspěšný phishingový útok je často prvním krokem v řetězci událostí, které vyvrcholí odcizením a/nebo zašifrováním cenných dat, a tedy závažným bezpečnostním incidentem s drtivými následky. Můžeme přitom zapomenut na neuměle provedené podvržené e-maily s rozpadlou grafikou a tak zásadními chybami v textovém obsahu, že mohly oklamat jen skutečně nepozorné uživatele. Dnešní phishing je do detailu propracovaným útokem, který například prakticky nerozpoznatelně imituje přihlašovací obrazovky ke cloudovým nástrojům Microsoft 365. Ano – těm, ke kterým se sami denně a bez zaváhání přihlašujeme.

Téměř bez šance

Specialisté SoftwareOne v nedávné době analyzovali hned několik velmi precizně provedených útoků, založených právě na podvržených přihlašovacích obrazovkách ke službám Microsoft 365. Každý uživatel, který se jejich prostřednictvím přihlásil, nic netušíc poskytnul útočníkovi kombinaci svého uživatelského jména a hesla. Ten pak během pár hodin mohl získat přístupové údaje (identity) desítek ne-li stovek zaměstnanců. A k čemu mohou takto získané identity uživatelů sloužit?

Typickým příkladem je odcizení a následný prodej či zveřejnění citlivých dat, což organizaci vystavuje nejen riziku ztráty pověsti a zákazníků, ale i hrozbě zásadního finančního postihu kvůli porušení regulace GDPR. Se získanými identitami lze také provádět na první pohled legitimní operace, jako je třeba odesílání faktur k proplacení do účetního oddělení jménem finančního ředitele (který o tom samozřejmě vůbec netuší). A přístupy k uživatelským účtům jsou pochopitelně i velmi žádaným obchodním artiklem, vyvažovaným na černém trhu zlatem.

Vraťme se ale ještě ke zmíněné podvržené přihlašovací stránce. Ta byla připravená tak dobře, včetně využití legitimních cloudových technologií Microsoftu, že před ní nevarovaly žádné z běžných bezpečnostních mechanismů. Existuje tedy vůbec šance, jak se takovým typům útoků vyhnout?

Odlišení a bezpečné přihlašování

Jedním ze základních opatření, související nejen s bezpečností, ale také s celkovým komfortem práce uživatelů, je tzv. jednotné přihlašování (Single Sign-On – SSO) ke všem systémům, aplikacím a nástrojům, se kterými uživatelé každý den pracují. Pokud bude stačit jediné (samozřejmě dostatečně bezpečné) přihlášení, výrazně se snižuje šance na úspěšný phishingový útok, vyžadující po uživatelích opakované přihlašování.

Další, byť jen drobná, úprava může mít velký vliv především na rozpoznání hromadných phishingových útoků, vedených pomocí generických nástrojů. V administraci služby Microsoft 365 lze v rámci celé organizace na všechny přihlašovací obrazovky umístit vlastní logo a grafiku, která odliší legitimní požadavky na přihlášení od těch phishingových. Jen pozor, jedná se pouze o doplňkový nástroj, který rozhodně nepomůže v případě cílených (tzv. spear-phishingových) útoků.

Skutečně účinnou obranu před sofistikovanými útoky, založenými na kompromitování přihlašovacích údajů, tvoří až kombinace několika – správně nastavených a používaných – bezpečnostních opatření. Kromě zmíněného jednotného přihlašování a propagování vizuální identity organizace všude, kde je to jen možné, k takovým opatřením patří především:

• Vícefaktorové ověřování uživatelů a jejich zařízení (prostřednictvím mobilní aplikace, biometrie a dalších nástrojů).
• Podmíněný přístup, založený na typických scénářích práce uživatelů (místa připojování, používaná zařízení, role v organizaci atd.).
• Záznam aktivit – přinejmenším pro účty administrátorů a dalších uživatelů s vysokou úrovní oprávnění.
• Bezheslový přístup sice zatím není podporován zdaleka všude, ale kde to možné je, stojí rozhodně za zvážení možnost přihlašování pomocí bezpečnostních tokenů (typicky FIDO2).
• Nepřetržitý monitoring – alespoň na úrovni přehledu o přihlašování uživatelů a použitých zařízení.

Problematika kybernetické bezpečnosti je velmi náročná a obsáhlá a pro organizace může být obtížné nejen zvolit správnou kombinaci nástrojů a opatření, ale také jejich správné nastavení a následně i optimální řízení kybernetické bezpečnosti.

Neváhejte se obrátit na naše specialisty, kteří vám pomohou s vyhodnocením aktuálního stavu zabezpečení vaší organizace před kybernetickými riziky a s návrhem vhodných opatření.