Google ostrzega firmy przed atakami phishingowymi wspieranymi przez rząd

Ataki phishingowe pozostają głównym elementem wielu naruszeń bezpieczeństwa, o których donosi prasa, z jednego bardzo ważnego powodu – działają.

Często zdarza się, że atakujący wcale nie musi wykorzystywać luk w zabezpieczeniach (praktyki typu „zero-day exploit”) ani tworzyć złośliwego oprogramowania, które przechwyci znaki wprowadzane z klawiatury śledzonego komputera. Wystarczy, że posłuży się on fascynującą inżynierią społeczną, pozwalającą zmylić nieświadomego użytkownika i nakłonić do kliknięcia linku, który przeniesie go na wiarygodnie wyglądającą fałszywą stronę proszącą o podanie hasła.

Ostatnio pojawiły się liczne wiadomości o atakach phishingowych, które wydają się być zorganizowane przez hakerów mających poparcie agencji wywiadowczych i rządów..

Takie sponsorowane przez państwo ataki phishingowe mogą pojawiać się rzadziej niż te, które są organizowane przez złodziei danych osobowych i pospolitych przestępców internetowych, ale nie umniejsza to ich skuteczności oraz szkodliwości. Oprócz phishingu prowadzonego z zamiarem zwykłego oszustwa, pewna – niezbyt liczna – część użytkowników na całym świecie wciąż jest atakowana przez wyrafinowanych, wspieranych przez rząd, napastników. Prób takich ataków dokonuje się z dziesiątków krajów.

Takie sponsorowane przez państwo ataki phishingowe mogą być wymierzone w osoby (np. dziennikarze i krytycy polityczni) oraz firmy. Ostatecznie, jeśli wspierana przez rząd grupa hakerów nie jest w stanie pozyskać potrzebnych informacji z konta Gmail konkretnej osoby, może ona zamiast tego przeprowadzić atak na organizację, z którą inwigilowany podmiot współpracuje lub z którą jest w jakiś inny sposób powiązany. - komentuje Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken.

Ponad cztery miliony firm na świecie korzysta z G Suite – zbioru hostowanych w chmurze zintegrowanych narzędzi Google, które mają pomagać pracownikom biurowym w efektywnej współpracy. Niektóre z nich są niewątpliwie interesujące dla różnych agencji wywiadowczych i rządów na całym świecie.

Aby lepiej chronić swoich klientów korporacyjnych, na początku tego miesiąca Google ogłosił, że administratorom G Suite udostępniana jest opcja zapewniająca otrzymywanie ostrzeżeń w sytuacji, gdy Google oceni, że wspierany przez rząd haker próbował – metodą wyłudzenia informacji, użycia złośliwego oprogramowania lub inną – uzyskać dostęp do konta bądź komputera użytkownika.

Część ostrzeżenia brzmi następująco:

"Być może jest to fałszywy alarm, ale uważamy, że wykryliśmy wspieranych przez rząd napastników, którzy próbowali ukraść Twoje hasło.Dotyka to mniej niż 0,1% wszystkich użytkowników Gmaila.Nie możemy zdradzić szczegółów, ponieważ napastnicy śledzą te ostrzeżenia i mogą zmienić swoją taktykę, ale jeśli ich atak się powiedzie, uzyskają dostęp do Twoich danych lub będą mogli wykonać inne szkodliwe czynności, chronione Twoim hasłem".

Ostrzeżenia, które – jak Google przyznaje – mogą wzniecać fałszywy alarm, nie powinny być ignorowane przez korporacje, lecz traktowane jako przypomnienie o konieczności podjęcia dodatkowych środków zaradczych, w celu ochrony i zabezpieczenia kont.

Jakie mogą być te dodatkowe środki?

Oczywistym kandydatem jest dwuetapowa weryfikacja, w której każdy logujący się do konta zostanie poproszony o wpisanie jednorazowego hasła (OTP – ang. one-time-password) poza hasłem podstawowym. Nawet jeśli hasło podstawowe zostanie przechwycone przez atak phishingowy, napastnicy nie będą mogli zalogować się do witryny, chyba że zdołają ustalić sześciocyfrowy kod OTP, który zmienia się zwykle co 30 sekund.

Gdy wymagany jest wyższy poziom obrony, można skorzystać z wprowadzonej w ubiegłym roku przez Google funkcji zaawansowanej ochrony(ang. Advanced Protection feature) przeznaczonej dla użytkowników, którzy czują, że są najbardziej narażeni na ryzyko naruszenia ich kont. Zaawansowana ochrona poszła o krok dalej niż istniejące mechanizmy uwierzytelniania Google, zastępując je kluczem sprzętowym.

Na początku tego roku, pomimo alarmującego wzrostu liczby problemów związanych z elektroniczną pocztą biznesową i ataków phishingowych na organizacje, Google przyznał, że mniej niż 10% użytkownikówwłączyło dwuetapową weryfikację, którą uważam za bezwzględne minimum wymagane dla bezpieczeństwa ich kont.

Jeśli ta statystyka nie ulegnie radykalnej poprawie, będziemy nadal świadkami wspieranych przez rządy ataków phishingowych, które w zdecydowanie zbyt wielu sytuacjach okażą się skuteczne.