Pomimo że firma posiadała ochronę sprzętu i oprogramowania na najwyższym, światowym poziomie, cyberprzestępcom udało się znaleźć lukę w zabezpieczeniu. Na służbowe adresy mailowe podane na stronie internetowej firmy, przysłano informację o otwarciu nowej pizzerni w okolicy wraz z 30% zniżką dla pierwszych klientów. Pracownicy skuszeni promocją zorganizowali „Pizza Day” i zamówili 8 pudełek. Menu znajdowało się na stronie pizzerni, ale się później okazało – była ona fałszywa i powstała tylko po to, by uwiarygodnić istnienie lokalu.
Po kilkudziesięciu minutach w firmie pojawił się dostawca z pizzą i gratisem w postaci LEDowych lampek na USB, zmieniających kolory w rytm muzyki. Mile zaskoczeni upominkiem pracownicy bez wahania podłączyli je do komputerów. Nie mieli świadomości, że w ten sposób dali hakerom zdalny dostęp do urządzeń firmowych, a ci w kilka minut zdestabilizowali pracę całego systemu, a co za tym idzie, całej firmy.
Na szczęście dla pracowników, atak metodą “na pizzę” okazał się być z góry zaplanowanym audytem bezpieczeństwa, który miał wykazać, na jakich polach firma nadal jest zagrożona. Audyt przeprowadziła firma TestArmy CyberForces.
20% Polaków co roku styka się z atakiem phishingowym
W Polsce z atakami phishingowymi rocznie styka się blisko 20% internautów. Na celowniku, obok użytkowników banków i systemów płatniczych, są klienci sklepów internetowych.Głównym celem hakerów są nasze pieniądze. Co trzeci Polak nie wie, co to jest phishing. Z resztą większość z tych, którym wydaje się, że wiedzą, nie ma 100% pewności, że poradziłoby sobie z określeniem, czy dana wiadomość ma charakter ataku.
Rośnie też liczba ataków whalingowych, czyli bardziej dokładnego i wyrafinowanego phishingu nakierowanego na instytucje rządowe i duże biznesy. Jak donoszą autorzy raportu Verizon DBIR 2019, dziś menedżerowie wysokiego szczebla i dyrektorzy firm(czyli osoby posiadające przywileje wykonawcze i dostęp do wielu zastrzeżonych, często krytycznych rejonów infrastruktury informatyczne) są 12 razy bardziej narażeni na atak socjotechniczny niż jeszcze rok temu.
Największy odsetek ofiar ataków phishingowych znajduje się w Brazylii, Australii, Hiszpanii i Portugalii. Polska z wynikiem na poziomie 10,2% plasuje się mniej więcej w połowie zestawienia.
Jaka lekcja płynie z tej historii? Przede wszystkim, że cały ten zdrowy tryb życia promowany przez korporacje ginie w walce z 30% zniżką na pizzę. Ponadto dostawca pizzy rozdający lampki LED-owe to najprawdopodobniej haker. Dodatkowo nie warto kupować pracownikom sprzętu z wejściem USB.
Głośne przykłady spektakularnych ataków hakerskich
- Kilka milionów złotych straciła, należąca do Polskiej Grupy Zbrojeniowej, spółka Cenzin, po tym jak cyberprzestępcy podszyli się pod dostawcę broni z Czech. Pracownicy nie zweryfikowali wysłanych mailem informacji o zmianie numeru konta mailowego, na które Cenzin wpłacał pieniądze na zakupiony towar, w efekcie czego środki zaczęły trafiać na konto cyberprzestępców.
- Dane osobowe 20 tys. pracowników FBI i 9 tys. pracowników Departamentu Bezpieczeństwa Krajowego w USA wyciekły po tym, jak haker podając się za nowego pracownika zadzwonił do Departamentu Sprawiedliwości, prosząc o przekazanie kodu dostępu do zastrzeżonych stron instytucji. W efekcie uzyskał dostęp do wewnętrznej sieci zawierającej m.in. adresy mailowe należące do członków armii Stanów Zjednoczonych i informacje o numerach ich kart kredytowych.
- Jeden z amerykańskich banków odniósł ogromne straty wizerunkowe po tym, jak hakerzy włamali się do jego systemu pocztowego i po odmowie zapłacenia haraczu, rozpoczęli masową, liczoną w milionach wysyłkę maili o spamowym charakterze. W efekcie dostawca usług internetowych został zmuszony do wyłączenia usługi poczty elektronicznej banku.
- Ponad 500 tys. dolarów zarobili w 2018 roku hakerzy wykorzystując tzw. “sextortion scam”, czyli szantaż polegający na wysłaniu maila (zwykle z adresu należącego do ofiary) z groźbą upublicznienia rzekomo posiadanych kompromitujących filmów czy zdjęć ofiary, jeżeli haker nie otrzyma żądanej kwoty (dane GlobalSign).