ataki hackerskie
cyberbezpieczeństwo
phishing
28 kwietnia 2025
Time 4 minut czytania

ITPunkt na celowniku – analiza próby phishingu

Ataki phishingowe są codziennością w cyfrowym świecie, jednak niektóre z nich potrafią zaskoczyć nawet dobrze zabezpieczone organizacje. Dziś dzielimy się kulisami rzeczywistego incydentu, który dotknął naszą firmę – ku przestrodze i edukacji. Dzięki czujności naszego zespołu zagrożenie zostało szybko zidentyfikowane i zneutralizowane. Oto, jak wyglądał cały atak i co możemy z niego wyciągnąć.

Wszystko zaczęło się od maila, który otrzymała znaczna część naszego zespołu. Temat wiadomości był chwytliwy i sprytnie nawiązywał do artykułu opublikowanego niedawno przez nasz dział marketingu – wyglądał więc bardzo wiarygodnie. Wiadomość została przesłana z konta Gmail znajdującego się na zaufanym serwerze pocztowym, co pozwoliło jej ominąć nasze zaawansowane, wielopoziomowe zabezpieczenia.

W treści maila znajdował się link do rzekomego pliku PDF. Po kliknięciu, użytkownik był przekierowywany na naszą autentyczną stronę internetową – do artykułu pt. „Internet vs. Darknet – co czai się po ciemnej stronie sieci?”. I tu zaczynają się schody.

Atakujący sprytnie ukrył naszą stronę za URL mającym na celu przekierowanie na stronę  itpunkt.pl. Owe przekierowanie, które trwało ułamek sekundy i było dla użytkowników niewidoczne, rozpoczynało pobieranie dużego pliku – można mieć wrażenie, że pobiera się go z naszej strony.

Co się naprawdę pobrało?

Po kliknięciu w link na komputerze użytkownika automatycznie rozpoczęło się pobieranie dużego pliku – podejrzanie dużego jak na zwykły PDF. Co więcej, mimo że skanery antywirusowe nie wykryły zagrożenia, ponieważ plik był spakowany w archiwum zip i sam w sobie nie zawierał wirusa, nie był tym, czym się wydawał.

Zamiast dokumentu PDF, pobrany został plik .exe, który podszywał się pod PDF, a wraz z nim – ukryta biblioteka .dll. Po uruchomieniu aplikacji dochodziło do instalacji oprogramowania, które miało na celu wdrożyć ransomware.

Cel ataku – przejęcie środowiska

To nie był przypadkowy wirus. Uruchomiony plik dawał atakującemu zdalny dostęp do komputera – tzw. dostęp typu „człowiek przy klawiaturze”. To znacznie bardziej niebezpieczne niż klasyczne szyfrowanie przez ransomware, ponieważ napastnik może świadomie analizować środowisko, wykorzystywać luki w systemie i próbować przeniknąć głębiej do infrastruktury firmy.

W efekcie, celem ataku mogło być:

  • przejęcie wrażliwych danych,
  • dalsze rozprzestrzenianie się po sieci,
  • ostateczne zaszyfrowanie całego środowiska.
Jak się bronić przed takimi atakami?

1. Edukacja użytkowników

Nawet najlepsze zabezpieczenia mogą zostać ominięte, jeśli człowiek po drugiej stronie kliknie w niebezpieczny link. Regularne szkolenia i kampanie świadomościowe są kluczowe.

2. Zaawansowane filtrowanie wiadomości

Stosowanie wielopoziomowych systemów antyspamowych, które analizują nie tylko nadawcę, ale również zachowanie i zawartość maila, może pomóc w wychwyceniu podejrzanych treści.

3. Reagowanie na incydenty

Procedury reagowania na incydenty (IR – Incident Response) muszą być przygotowane, przetestowane i znane zespołowi IT oraz kluczowym pracownikom.

4.  Hardening środowiska oraz uprawnień użytkowników w celu zminimalizowania strat

Jeżeli użytkownik, który stał się celem ataku został zainfekowany, dzięki dobrym politykom bezpieczeństwa w zakresie uprawnień, atakujący ma związane ręce, co pozwala ograniczyć straty.

5. Polityki ASR – Atack Surface Reduction

Są to polityki ograniczające użytkowników oraz akcje, które mogą podejmować. Dzięki takim politykom możemy np. zablokować uruchamianie PowerShell, aplikacji bez odpowiedniego certyfikatu, bądź oprogramowanie np. Outlook lub Acrobat Reader przed tworzeniem kolejnych procesów.

6. EDR – Automatyczna analiza i odpowiedź

Oprogramowanie, które w czasie rzeczywistym analizuje komputer i w razie wykrycia zagrożenia lub anomalii automatycznie jest w stanie podjąć działania, takie jak zabicie procesu, zablokowanie użytkownika lub odcięcie tzw. końcówki (użytkownika końcowego) od internetu.

7. Zarządzanie podatnościami

Ataki często opierają się na wykorzystaniu podatności, warto w firmie wdrożyć oprogramowanie do zarządzania podatnościami w celu ich skutecznej remediacji.

Wnioski

Atak phishingowy, który opisywaliśmy, był dobrze zaplanowany i trudny do wykrycia przez automatyczne zabezpieczenia klasy enterprise. Pokazuje, że cyberprzestępcy coraz częściej stosują zaawansowane techniki socjotechniczne i omijają zabezpieczenia techniczne. Tylko połączenie technologii, edukacji i czujności zespołu pozwala skutecznie bronić się przed tego typu zagrożeniami.

Masz pytania dotyczące bezpieczeństwa Twojej organizacji? Zachęcamy do kontaktu – wspólnie ocenimy poziom ochrony i pomożemy wdrożyć skuteczne rozwiązania. Wypełnij poniższy formularz lub napisz na: eksperci@itpunkt.pl

Chcesz porozmawiać o cyberbezpieczeństwie?

Zostaw kontakt.

Newsletter:


* Pola wymagane

Image
Artykuły eksperckie
Jak chronić firmę przed phishingiem?

Phishing to jedna z najczęstszych form cyberataków, której celem jest wyłudzenie poufnych danych poprzez podszywanie…

cyberbezpieczeństwo
nis2
phishing
12 marca 2025
Image
Artykuły eksperckie
Audyt NIS2: klucz do cyberbezpieczeństwa Twojego biznesu

Czy Twoja firma jest gotowa na wymagania dyrektywy NIS2? Przeprowadzenie profesjonalnego audytu NIS2 to pierwszy…

cyberbezpieczeństwo
dyrektywa NIS2
nis2
21 stycznia 2025
Image
Artykuły eksperckie
Aurora FaaS – skuteczny system zarządzania podatnościami w ramach NIS2

Zarządzanie podatnościami jest jednym z fundamentów skutecznej ochrony przed cyberzagrożeniami w kontekście wymagań Dyrektywy NIS2.

aurora faas
fortianalyzer
nis2
28 lutego 2025