Warszawska firma zaatakowana metodą “na pizzę”

Najpierw na służbowe adresy e-mailowe pracowników przyszła wiadomość o otwarciu w okolicy nowej pizzerii oraz o 30-procentowej zniżce dla pierwszych klientów. Pracownicy szybko zamówili przez stronę lokalu 8 pudełek. Po kilkudziesięciu minutach od zamówienia dostawca pizzy przywiózł nie tylko jedzenie, ale także LED-owe lampki na USB świecące różnymi kolorami w rytm muzyki – jako upominek. Pracownicy podłączyli urządzenia do swoich komputerów.
pizza
pizza

Po pierwsze, socjotechnika (fot. Pexels)

Cała operacja okazała się być hakerskim atakiem, ale przeprowadzonym przez firmę TestArmy CyberForces, która na zlecenie korporacji przygotowywała audyt bezpieczeństwa.

Zaczęliśmy od stworzenia fałszywej strony www, następnie zamówiliśmy naklejki z nazwą i logiem pizzerii – opowiada Szymon Chruścicki. – Jako wektor ataku wykorzystaliśmy służbowe maile podane na stronie. Po otrzymaniu od pracowników zamówienia dostarczyliśmy pizzę, naklejając na pudełka fikcyjne logo. Posłużyliśmy się regułą wzajemności i sympatii, żeby wymusić podjęcie zaplanowanego działania. W tym przypadku chodziło o podłączenie do komputerów lampek, w które wbudowaliśmy spreparowane pendrive’y ze złośliwym oprogramowaniem. Przed budynkiem czekał nasz specjalista od cyberbezpieczeństwa, który po uzyskaniu zdalnego dostępu do urządzeń zaszyfrował dane w firmowym systemie – tłumaczy przedstawiciel TestArmy CyberForces.

Ataki socjotechniczne są jedną z najbardziej efektywnych metod stosowanych przez hakerów. W Polsce z phishingiem styka się blisko 20% internautów. Rośnie liczba ataków whalingowych, czyli phishingu wymierzonego w instytucje rządowe i duże biznesy. Według raportu Verizon DBIR 2019, menadżerowie wysokiego szczebla i dyrektorzy są 12 razy bardziej narażeni na cyberatak niż rok temu. Wśród głośnych kampanii socjotechnicznych z ostatnich lat warto przypomnieć tę, która dotknęła spółkę Cenzin należącą do Polskiej Grupy Zbrojeniowej. Przestępcy podszyli się pod dostawcę broni z Czech. Pracownicy nie zweryfikowali odbieranych mailowo informacji i przelali na konto hakerów kilka milionów złotych. | CHIP

Więcej:phishing