Καθώς εξελίσσεται η τεχνολογία και το βάρος ως προς τη διασφάλιση των δεδομένων από τους οργανισμούς όλο και μεγαλώνει, με τον ίδιο ρυθμό αυξάνεται και η πολυπλοκότητα καθώς και οι δυνατότητες των επιθέσεων από τους κακόβουλους που προσπαθούν να πάρουν πρόσβαση σε αυτά.
Του Σταμάτη Μάνδηλα
Principal Cyber Security Architect / Deputy Head, Systems & Security Integration
Αlgosystems –www.algosystems.gr
Σύμφωνα με μελέτες, o βασικότερος στατιστικά λόγος για την κακόβουλη πρόσβαση στα δεδομένα ενός Οργανισμού σχετίζεται με τη χρήση ενός αρχικού μηνύματος ηλεκτρονικού ταχυδρομείου που έλαβε κάποιος εσωτερικός χρήστης αυτού, το οποίο άνοιξε και τελικά οδήγησε σε κατέβασμα κακόβουλου λογισμικού (malware) ή κλοπή διαπιστευτηρίων (credentials theft).
Κάθε τέτοιο email, που αποσκοπεί στην παραπλάνηση των απλών χρηστών αποτελεί τα γνωστά μηνύματα “ψαρέματος” aka Phishing emails.
Ακολουθούν δέκα πολύ ενδιαφέροντα στατιστικά σχετικά με τις επιθέσεις Email Phishing από το 2018 έως και σήμερα:
- Το 94% των κακόβουλων λογισμικών (Malware) παραδίδεται μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου, είτε ως επισυναπτόμενο, είτε με τη χρήση κάποιου link για κατέβασμα
- Το σύνολο των Cyber επιθέσεων χρησιμοποιεί το Phishing σε ποσοστό μεγαλύτερο του 80%
- Οι επιθέσεις Phishing έχουν αυξηθεί 600% από την αρχή της πανδημίας του Covid-19
- Σχεδόν το 65% των Οργανισμών έχει δεχθεί κάποια επίθεση Phishing μέσα στο τελευταίο έτος
- Σχεδόν το 90% των Cyber επιθέσεων που οδηγούν σε παραβίαση δεδομένων έχουν ξεκινήσει από κάποιο Phishing email
- 33% των επιτυχημένων επιθέσεων περιέχει κάποιο τύπο Social Engineering
- 72% των στοχευμένων επιθέσεων πραγματοποιείται με τη χρήση επίθεσης Spear Phishing
- Το 75% των στόχων ηλεκτρονικού ψαρέματος εντοπίζονται μέσω αναζητήσεων ιστού ή κοινών μορφών διευθύνσεων ηλεκτρονικού ταχυδρομείου
- Ο COVID-19 έχει γίνει το μεγαλύτερο θέμα ηλεκτρονικού ψαρέματος στην ιστορία
- Η ίδια η Google εκτιμά πως αποκλείει 18 εκατομμύρια ηλεκτρονικά μηνύματα απάτης που σχετίζονται με τον COVID-19 κάθε μέρα ημέρα από 1,5 δισεκατομμύρια εγγεγραμμένους χρήστες
Ποιες είναι λοιπόν οι ενέργειες αυτών τον Οργανισμών για την αντιμετώπιση τέτοιων τύπων επιθέσεων;
Κάποιοι θα μπορούσαν να πουν, η χρήση ενός Premium Anti-Spam συστήματος, ένα Email Anti-Virus, ίσως κάποιο σύστημα Inline Email Sandboxing! Φυσικά και τέτοια συστήματα συνδράμουν σημαντικά στην ασφάλεια των μηνυμάτων ηλεκτρονικού ταχυδρομείου και χρησιμεύουν στην αποτροπή διαφόρων περιπτώσεων κακόβουλων επιθέσεων, με το μεγάλο και προφανές πρόβλημα να παραμένει, πως κανένα σύστημα δε μπορεί να προσφέρει και να εγγυηθεί 100% ασφάλεια, γεγονός το οποίο μπορεί να οδηγήσει σε απώλεια φήμης ή και σε μεγάλο οικονομικό αντίκτυπο σε έναν Οργανισμό, μιας και ένα και μόνο κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου μπορεί να αποβεί μοιραίο.
Ποιες πρακτικές λοιπόν είναι αυτές που μπορούν να βοηθήσουν οποιονδήποτε οργανισμό να προστατεύσει τα assets του από επιθέσεις που έχουν σαν πρωταρχική πηγή ένα τέτοιο κακόβουλο μήνυμα ;
Η απάντηση είναι, Back To Basics!
Με βάση τα RFC Standards 5322 & 6854 για τις επικοινωνίες μηνυμάτων ηλεκτρονικού ταχυδρομείου, υπάρχουν συγκεκριμένα πεδία με συγκεκριμένη δομή που πρέπει να συμμορφώνονται με συγκεκριμένους κανόνες και αντιστοίχως κάποια άλλα, τα οποία είναι στην ευχέρεια του αποστολέα να τα τροποποιεί κατά βούληση.
Ειδικότερα, στις επιθέσεις Phishing οι επιτιθέμενοι χρησιμοποιούν πολλές φορές τεχνικές Spoofing ώστε να δελεάσουν τους παραλήπτες να πατήσουν κάποιο κακόβουλο σύνδεσμο ή να κατεβάσουν κάποιο αρχείο, αλλάζοντας συγκεκριμένα πεδία του email, προσποιούμενοι κάποιο άλλο μέλος του Οργανισμού ή κάποιον κρίσιμο συνεργάτη. Τα πεδία αυτά, γνωστά και ως Email Headers, είναι κυρίως τα εξής:
- Sender (or Envelope Sender):
Πεδίο το οποίο πρέπει να περιέχει την πραγματική email διεύθυνση του αποστολέα
- From:
Πεδίο το οποίο μπορεί να περιέχει οποιαδήποτε τιμή (π.χ. θα μπορούσε να είναι email διεύθυνση διαφορετική από του πραγματικού αποστολέα). Η συγκεκριμένη τιμή είναι αυτή που συνήθως βλέπει ο τελικός χρήστης στην email εφαρμογή του (π.χ. Microsoft Outlook, Thunderbird, κλπ.)
- Reply-To:
Πεδίο το οποίο υποδεικνύει την email διεύθυνση που θα αποσταλεί το απαντητικό μήνυμα.
Επαφίεται λοιπόν στη διακριτική ευχέρεια του κάθε Οργανισμού να χρησιμοποιήσει αντίμετρα, γνωστά ως secure email gateways, ώστε να ελέγξει τα παραπάνω και να προστατευτεί. Ακολουθούν μερικά fundamental, αλλά δυστυχώς πολλές φορές παραλειπόμενα, best-practices:
- Έλεγχος των SPF εγγραφών για τα συνδεόμενα Email Domains και άρνηση παράδοσης του αντίστοιχου μηνύματος στον τελικό χρήστη σε περίπτωση Hard Fail. Επιπροσθέτως, συνίσταται η ύπαρξη SPF εγγραφής και για το domain του ίδιου του Οργανισμού.
- Έλεγχος των DKIM υπογραφών για τα παραλαμβανόμενα μηνύματα και άρνηση παράδοσης του αντίστοιχου μηνύματος στον τελικό χρήστη σε περίπτωση μη συμμόρφωσης με public εγγραφή. Επιπροσθέτως, συνίσταται η ύπαρξη DKIM εγγραφής και υπογραφή όλων των εξερχόμενων emails και για το domain του ίδιου του Οργανισμού.
- Έλεγχος για την ύπαρξη του Domain name του οργανισμού στο πεδίο “From”, καθώς δεν καλύπτεται από τη χρήση των SPF. Επιπροσθέτως, συνίσταται έλεγχος και για παραποιήσεις του domain ενός οργανισμού, μιας και οι επιτιθέμενοι πολλές φορές τις χρησιμοποιούν για να ξεπεράσουν τα αντίμετρα (π.χ. sender: someone@acme.com to someone@acne.com)
- Έλεγχος για PTR record του συνδεόμενου email server, μιας και ένας πραγματικός email server κατά τεράστιο ποσοστό έχει μια Reverse DNS εγγραφή.
- Η εισαγωγή ενός Disclaimer σε όλα τα εισερχόμενα email το οποίο θα ενημερώνει και θα προτρέπει τους τελικούς χρήστες να μην εκτελούν αρχεία, να μην επιλέγουν υπερσυνδέσμους και να μην απαντάνε σε email που δεν περιμένουν ή/και δεν είναι 100% σίγουροι πως γνωρίζουν τον αποστολέα.
Κλείνοντας, οφείλουμε να μην παραλείψουμε τον παραδοσιακά αδύναμο κρίκο, τον τελικό χρήστη! Μέχρι να εφευρεθεί η λύση που θα αποτρέπει το χρήστη να τελέσει το επίμαχο κλικ, οφείλουμε να επενδύουμε στη διαρκή του εκπαίδευση, ώστε να μην «ψαρώνει» (έμμεση παραπομπή στο phishing)…
