Dlaczego możliwe było rozesłanie fałszywego alertu RCB?
Wyłudzanie danych poprzez podszycie się pod znaną markę, umożliwiające uzyskanie dostępu np. do bankowości elektronicznej użytkownika, to coraz częstszy proceder. To już nie tylko e-maile z błędami stylistycznymi, udające korespondencję z banku. Coraz popularniejsze stają się także przypadki oszustw z użyciem SMS. Jakie konsekwencje grożą firmom dotkniętych smishingiem i jak mogą one zabezpieczyć się przed tego typu atakami?
Oszust czai się za rogiem
W 2017 roku ponad 80 proc. firm działających w Polsce padło ofiarą cyberataku, a co trzecia zaobserwowała wzrost liczby takich incydentów – wynika z ostatniego raportu KPMG. Analiza PwC wykazuje, że blisko połowa zaatakowanych firm poniosła z tego tytułu straty finansowe. Powszechnie znane są doniesienia o spoofingu SMS, czyli sfałszowaniu nazwy nadawcy i rozesłaniu wiadomości jako Biedronka, Lidl czy MediaMarkt, z linkami przekierowującymi do fałszywych witryn. W konsekwencji nieświadomi niczego odbiorcy klikają w link, tracąc dostęp do kont bankowych i tysiące złotych. Podobna sytuacja miała miejsce w ostatnim tygodniu listopada 2018, kiedy mężczyźni zamieszkujący gminy Duka i Horodlo na wschodzie Polski otrzymali wiadomość SMS od nadawcy podpisanego jako “Alert RCB”. Komunikat wzywał do stawienia się na terenie rządów gmin w związku z sytuacją kryzysową na Ukrainie. Rządowe Centrum Bezpieczeństwa następnego dnia poinformowało, że nie wysyłało wiadomości o takiej treści. Tym razem oszust miał na celu wywołanie strachu i chaosu.
Jak dochodzi do ataków?
Najłatwiejszym sposobem sfałszowania pola nadawcy w SMS-ie jest skorzystanie z zagranicznej bramki SMS. W formularzu bramki można spreparować numer telefonu zawierający od 5 do 16 cyfr, a także wpisać dowolną kombinację znaków – cyfr, liter czy symboli. Tym sposobem jako adresat wiadomości może pokazać się np. ING, Play, Andrzej Duda i wiele innych. Trzeba przyznać, że stwarza to ogromne pole do nadużyć.
Gorzkie konsekwencje
Wiadomości, które mają najczęściej na celu wyłudzenie danych, zapłaty czy instalację złośliwego oprogramowania, poważnie nadszarpują wizerunek firmy, od której rzekomo pochodzą. Oszukane osoby najczęściej winnego szukają w firmie, która według nich nie zachowała należytych procedur bezpieczeństwa i pozwoliła na taką sytuację. Przedsiębiorstwo, które padło ofiarą smishingu (phishingu SMS), dopada czarny PR w mediach, utrata reputacji, zaufania klientów i w konsekwencji zysków. Co ciekawe, badanie firmy Deloitte informuje, że nawet 90% całkowitych skutków biznesowych po cyberatakach jest doświadczanych dopiero po dwóch lub więcej latach od wydarzenia.
Jak się bronić?
Przedsiębiorstwa do wysyłki SMS najczęściej używają nazwy firmy w polu nadawcy, czyli nadpisu alfanumerycznego. Ma on nieporównywalną zaletę, że odbiorca od razu widzi, od kogo dostaje wiadomość. Pomimo wielu działań zapewniających bezpieczeństwo tego rozwiązania, operatorzy w Polsce dopuszczają niestety używanie nadpisu dynamicznego bez konieczności jego rejestracji, co oznacza, że ta sama nazwa nadawcy może być użyta przez kogoś innego. To otwiera furtkę dla podszywaczy. Bezpieczniejszą opcją jest używanie numeru shortcode, składającego się z 4 lub 5 cyfr, do wysyłki SMSów.
„Numer shortcode przypisywany jest do konkretnej firmy u wszystkich operatorów komórkowych, co zapobiega podszyciu się pod niego. W efekcie nikt w Polsce ani za granicą nie jest w stanie przesłać wiadomości z tego samego numeru – jest to pokłosie ustawy o przeciwdziałaniu terroryzmowi z dnia 10 czerwca 2016r. Zrozumiała jest początkowa obawa firmy, że taki numer może mylić klientów i że obecnie odchodzi się od ich używania na rzecz nadpisów w polu nadawcy. Jednak wybrany przez firmę numer może być równie łatwy do zapamiętania dla użytkowników co jej nazwa. Warto jednak wypromować dany numer, umieszczając oficjalne informacje np. na stronie o tym, że dana firma komunikuje się tylko z numeru XXXX. Robi tak od kilku lat np. mBank.”
-mówi Kamila Krekora, specjalista ds. marketingu w MessageFlow.
Phishing wciąż możliwy
Większość przedsiębiorstw prowadzących komunikację SMS-ową, korzysta także z kanału e-mailowego. Na skrzynki mailowe coraz częściej spływają wiadomości wykreowane przez cyberprzestępców podszywających się pod znane marki. Aby ktoś niepowołany nie wysyłał w naszym imieniu niezabezpieczonych wiadomości, warto uwierzytelnić swoje wysyłki. Podstawą bezpiecznej komunikacji e-mail jest uwierzytelnienie domeny. Poza funkcją ochronną, ma ono również pozytywny wpływ na dostarczalność e-maili. Istnieją trzy rozwiązania uwierzytelniające nasze wysyłki: SPF, DKIM i DMARC, z czego ten pierwszy należy do absolutnie podstawowych. Kolejnym standardem zabezpieczeń jest certyfikat S/MIME, który ma na celu szyfrowanie wiadomości, aby nie dopuścić do ich podglądu, czy przejęcia przez niepowołane osoby. W desktopowych programach pocztowych, wiadomości podpisane w ten sposób otrzymują wyraźny znak graficzny (przypominający pieczęć).
„Oczywiście nie ma idealnego rozwiązania, zawsze ktoś może kupić domenę łudząco podobną do naszej i z niej wysyłać fałszywą korespondencję. Jednak taki atak ma mniejszą siłę rażenia. Po serii komunikatów prasowych, wielu użytkowników poczty dokładniej przygląda się otrzymanej korespondencji e-mail.”
– mówi Katarzyna Garbaciak, dyrektor zarządzająca w EmailLabs.