Cílem phishingového útoku je přesvědčit oběť, že e-mailová adresa, ze které přišel napadený e-mail, je legitimní. Hackeři pak uživatele snadněji přimějí ke konkrétní akci. Když útočníci napadnou (a využijí) e-mailový účet někoho, s kým oběť denně komunikuje, snižuje se tím šance na jejich odhalení.

V nové studii zpracované společností Barracuda, Kalifornskou univerzitou v Berkeley a Kalifornskou univerzitou v San Diegu, výzkumníci analyzovali laterální phishingové útoky vedené proti stovce organizací, zaměřovali se na zvolenou taktiku a na výsledky těchto útoků.

Na rozdíl od BEC útoků, které také zneužívají kompromitované e-mailové účty, slouží laterální phishing obvykle ke krádeži přihlašovacích údajů – častěji než k přesvědčování organizace, aby převedla peníze na podvodné bankovní účty.

Laterální phishingové útoky bývají úspěšné

Studie se zabývala 180 útoky, přičemž 11 % z nich bylo vyhodnoceno jako úspěšné, protože došlo k ohrožení dalších obětí ze stejné společnosti. Navíc 42 % těchto útoků nebylo nahlášeno IT oddělení, ani bezpečnostnímu týmu – tím mohlo dojít k dalšímu využití napadených účtů a k rozšiřování počtu obětí. Útoky byly cílené na konkrétního příjemce, rozesílané celé organizaci, nebo dokonce partnerům mimo společnost.

Většina útoků se vydávala za upozornění, že došlo k problému s e-mailovým účtem příjemce, nebo se prezentovaly jako sdílený dokument. Tyto podvodné e-maily obsahovaly odkazy, které přivedly příjemce na phishingové weby s falešnými přihlašovacími formuláři, které byly následně použity k odcizení jejich přihlašovacích údajů.

Ve 63 % zkoumaných incidentů využívali útočníci běžné zprávy jako „Máte nový sdílený dokument“, nebo zprávy upozorňující na problém s účtem. Až 30 % útoků však obsahovalo rafinovanější text přizpůsobený jazyku organizace, na kterou byli útočníci zaměřeni: „Aktualizovaný pracovní rozvrh rozešlete, prosím, všem členům svého týmu“. A v 7 % šlo o sofistikované útoky, jejichž obsah byl pečlivě cílený na konkrétní organizaci.

Aby majitel účtu neodhalil útočníky, aktivně mazali odeslané a přijaté e-maily. Někteří hackeři dokonce odpovídali na žádosti od příjemců podvodných e-mailů, kteří se ujišťovali, že přijaté e-maily jsou opravdové.

Ataky provádějí aktivní útočníci, kteří se vydávají za legitimní členy organizace. Na uživatele, který je obdrží, mohou proto působit přesvědčivým dojmem. Z tohoto důvodu je nejlepší obranou prevence a ochrana účtů před napadením.

Společnost Barracuda, zabývající se bezpečností, doporučuje, aby organizace umožnily, nebo dokonce vyžadovaly, dvoufaktorové ověřování – aby ochránily účty svých zaměstnanců před hackery. Dále navrhuje, aby se podniky zapojovaly do školení o bezpečnosti a zvyšování povědomí o rizicích. Také by měly investovat do bezpečnostních softwarů, které mohou tyto typy útoků včas odhalit.

V ohrožení není jen podnik

Přestože mohou ataky na celou organizaci přinést útočníkům vyšší příjmy než útok na fyzickou osobu, laterální phishing se zaměřuje i na osobní e-mailové účty.

Jak vypadá útok v praxi? Útočník napadne osobní účet a pak obešle všechny kontakty v adresáři se zprávou, že majitel účtu je uvězněn v zahraničí, odkud se nemůže dostat, protože ho tam okradli a připravili o veškeré peníze. Žádá tedy příjemce e-mailu, aby mu poslali peníze, aby se mohl vrátit domů.

Nebuďte proto překvapení, když vám podobný e-mail přijde například od člena rodiny…

Jakmile budou uživatelé o laterálním phishingu dostatečně informováni, obdobná zpráva z nich neučiní snadnou oběť útoku. Co byste měli udělat, když vám přijde e-mailová žádost o peníze? Zavolat žadateli přímo a osobně zjistit, zdali má váš známý opravdu problémy (mimo to, že byl jeho účet napaden).