14 godzin temu
Urząd Ochrony Danych Osobowych alarmuje, iż tradycyjne metody dwuetapowej weryfikacji przestały gwarantować pełne bezpieczeństwo firmowych zasobów. Cyberprzestępcy coraz skuteczniej przejmują tokeny sesyjne, omijając zabezpieczenia bez konieczności łamania haseł. Eksperci rekomendują natychmiastowe wdrożenie rozwiązań odpornych na zaawansowane techniki phishingu.
Korzystanie z platform internetowych w biznesie często wiąże się z aktywacją funkcji stałego logowania, co ułatwia codzienną pracę (odpowiadają za to specjalne tokeny sesyjne). Przejęcie tych danych przez cyberprzestępców stanowi ogromne zagrożenie dla struktur każdej firmy. Taki atak umożliwia uzyskanie nieuprawnionego wglądu do zasobów z pominięciem uwierzytelniania wieloskładnikowego.
– Mechanizmy oparte na kodach jednorazowych lub SMS, które jeszcze niedawno zapewniały akceptowalny poziom ochrony, okazują się niewystarczające wobec współczesnych, wieloetapowych technik ataku – podkreślił Andrzej Zieliński, Naczelnik Wydziału w Departamencie Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych.
Oszuści masowo tworzą fałszywe witryny logowania działające jako ukryty pośrednik pomiędzy użytkownikiem a adekwatnym serwerem. Opisywana technika (określana jako Adversary in the Middle) pozwala przechwycić wpisywane hasło oraz wygenerowany klucz sesji. System traktuje takie działanie jako bezpieczne logowanie, co zwalnia przestępcę z konieczności ponownego podawania danych uwierzytelniających.
– System traktuje taką próbę jako sesję już wcześniej uwierzytelnioną, co pozwala atakującemu działać bez konieczności podawania hasła czy kodu weryfikacyjnego – wyjaśnia Zieliński.
Skutki finansowe oraz globalna skala zagrożenia
Urząd Ochrony Danych Osobowych zwraca uwagę na drastyczne konsekwencje przejmowania tożsamości cyfrowej w przedsiębiorstwach. Przestępcy uzyskują nieograniczony dostęp do wewnętrznej korespondencji, wrażliwych plików oraz dokumentacji finansowej. Skradzione konta pocztowe są później rutynowo wykorzystywane do zaawansowanych oszustw mailowych nakierowanych na wyłudzenia płatności.
Skala opisywanego procederu dynamicznie rośnie na całym świecie, na co wskazują niedawne raporty bezpieczeństwa. Na początku maja odnotowano zmasowaną kampanię phishingową wymierzoną w ponad 35 000 kont korporacyjnych, w której napastnicy podszywali się pod działy prawne firm. Z kolei w drugiej połowie maja amerykańskie służby federalne rozbiły platformę Kali365, która służyła do masowego wyłudzania tokenów uprawniających do dostępu do popularnych pakietów biurowych w chmurze.
Strategie obronne dla nowoczesnego biznesu
Skuteczna ochrona przed nowoczesnymi zagrożeniami wymaga od menedżerów IT wdrożenia uaktualnionych procedur bezpieczeństwa. Podstawową rekomendacją ekspertów jest przejście na fizyczne klucze sprzętowe działające w standardzie U2F, które są całkowicie odporne na wyłudzenia. Konieczne staje się także maksymalne skrócenie czasu ważności sesji oraz ich automatyczne zamykanie wraz z wyłączeniem przeglądarki.
Przedsiębiorstwa powinny zaimplementować systemy rozszerzonego wykrywania i reagowania oraz nowoczesne zabezpieczenia chmurowe. Do bieżącej kontroli firmowej infrastruktury niezbędne są także narzędzia do centralnego zarządzania urządzeniami końcowymi. Jeden z kluczowych elementów ochrony stanowi również cykliczne szkolenie personelu oraz bezwzględne potwierdzanie wszelkich zmian dotyczących kont bankowych dzięki alternatywnych kanałów łączności.
