Cyberprzestępcy operują na firmowych kontach w sieciach społecznościowych

Cybergang z Wietnamu odpowiedzialny za ataki Ducktail po ostrzeżeniach firm bezpieczeństwa zmienił całkowicie taktykę i obecnie operuje poprzez LinkedIn i WhatsApp, aby przejmować konta biznesowe na platformie Facebook Ads i Business. Straty mogą być bardzo wysokie, nie tylko finansowe, ale i w reputacji, a zagrożona może być każda większa firma. Także i w Polce cybergangsterzy z Wietnamu już udowodnili że doskonale znają nasz rynek.

Ducktail to metoda ataku obecna w sieci od 2021 r., ale na dużą skalę rozwinięta od jesieni 2021 r. Mimo iż upłynął cały rok, odpowiedzialni za ten typ ataku są na tyle elastyczni, że ich kryminalny „biznes” wciąż radzi sobie bardzo dobrze. Obecnie wykorzystuje LinkedIn do namierzania firm i osób odpowiedzialnych za marketing i reklamę na platformie Facebook Ads i Business. Celem jest przejęcie wszystkich kont firmowych. Używane przez nich jest malware typu infostealer w odmianie specjalnie stworzonej do przejmowania kont Facebook Business. Wykrada ono cookies przeglądarki i wykorzystuje uwierzytelnione sesje Facebooka w celu pobrania informacji z konta ofiary. W efekcie przejmowane są wszystkie konta Facebook Business, którymi zaatakowana osoba zarządza lub ma dostęp.

Według Mohammada Kazema Hassana Nejada, analityka z fińskiej firmy bezpieczeństwa WithSecure, prawdopodobnie zespół cyberprzestępców zaangażował „nowe siły fachowe”. Widać to choćby po uruchomieniu nowych kanałów ataku jak WhatsApp, zdecydowanym dopracowaniu fałszywych dokumentów i plików wideo, tak, że po otwarciu nadal wyglądają jak prawdziwe czy kontrasygnowaniu certyfikatów. Zakładane są firmy-widmo w Wietnamie i innych krajach regionu.

Efekty są już widoczne – jeden z ataków kosztował już dużą firmę stratę 600 tys. dol. na kontach reklamowych. Na ogól straty wynoszą kilka do kilkunastu tysięcy dolarów jednorazowo, ale ataki mogą się powtórzyć. Analitycy bezpieczeństwa mają z tego typu atakami spory kłopot, bowiem określenie „dziury” w systemie bezpieczeństwa, przez którą atakujący uzyskali i mogą uzyskiwać nieautoryzowany dostęp wymaga niejednokrotnie dostępu do historii konta danej osoby czy nawet plików prywatnych, co jest związane z częstym używaniem tych samych zasobów do celów zarówno prywatnych jak i służbowych. Może to rodzić nieprzewidziane konsekwencje prawne czy nawet etyczne.


Rozmowa ISBiznes.pl: Każda firma może stać się celem

Mniejsze firmy prawdopodobnie nie będą nękane celowanymi atakami. Natomiast, są nadal w jednakowym stopniu podatne na ataki oportunistyczne, również te, które są skierowane w stronę konkretnego kraju lub określonej branży – mówi Leszek Tasiemski analityk, VP of Products w firmie bezpieczeństwa With Secure

Marek Meissner: Wiele osób częstokroć decyzyjnych w biznesie przeglądając doniesienia o kolejnych atakach stwierdza: „mnie i mojej firmy to nie dotyczy, te ataki skierowane są przeciw korporacjom, taka średnia firma jak moja nie może być celem”. Czy się mylą i jakie najczęstsze zagrożenia dotyczą właśnie polskich firm MSP?

Leszek Tasiemski

Leszek Tasiemski: Są różne typy ataków. Rzeczywiście, mniejsze firmy – o ile nie mają do czynienia z istotnymi danymi – prawdopodobnie nie będą nękane celowanymi atakami. Natomiast są nadal w jednakowym stopniu podatne na ataki oportunistyczne, również te, które są skierowane w stronę konkretnego kraju lub określonej branży.

Ponadto, nawet małe firmy mogą paść ofiarą ataków na łańcuch dostaw. Polegają one na penetracji dostawcy usług lub technologii, z których korzysta organizacja będąca rzeczywistym celem ataku. W takim przypadku podstawowym celem ataku jest inna firma, ale straty dla dostawcy mogą być bardzo wysokie – zarówno finansowe, jak i wizerunkowe.

MM: Jednym z najpoważniejszych zagrożeń dla firm europejskich są obecnie ataki na media społecznościowe, zwłaszcza na konta firmowe, jak choćby Ducktail. Jaki jest mechanizm tego ataku i jakie szkody może spowodować dla firmy i jej komunikacji z klientami?

LT: Większość firm kreuje swój wizerunek za pomocą mediów społecznościowych. Przejęcie oficjalnego konta firmowego może wyrządzić istotne i trwałe szkody wizerunkowe i finansowe. Przykładem może być sytuacja z 10 listopada. Atakujący, wykorzystując chaos ze zweryfikowanymi kontami w serwisie Twitter, podszył się pod konto producenta insuliny, firmę Eli Lilly, fałszywie deklarując, że od teraz insulina będzie darmowa. To był bardzo prymitywny atak, nie wymagający żadnej wiedzy, którego koszt wyniósł 8 dol. Jednak straty płynące z tego incydentu dla zaatakowanej firmy są liczone w miliardach.

MM: Ransomware jest atakiem niedocenianym, ze względu na to, że masowe ataki tego typu, jakie miały miejsce kilka lat temu ewidentnie nie przyniosły skutków zamierzonych przez gangi, które je wykonywały. Tymczasem zyskują one „drugie życie” przez kierowanie tym razem do grupy instytucji ochrony zdrowia i urzędów. Jak poważne jest to zagrożenie dla polskich instytucji i urzędów?

LT: Ze względu na niską skuteczność w wyłudzaniu okupu za zaszyfrowanie danych, przestępcy rozszerzyli taktykę na podwójny szantaż. Z jednej strony, blokują dostęp do danych poprzez szyfrowanie ich. To jest tradycyjna część ataku. Z drugiej, dane są obecnie również wykradane przed zaszyfrowaniem. Grozi się następnie ich ujawnieniem bądź innym, niekorzystnym dla ofiary wykorzystaniem.

Przykładem może być, już nieistniejąca, duża klinika psychoterapii z Finlandii. Klinika odmówiła zapłacenia okupu więc przestępcy zaczęli się kontaktować z indywidualnymi pacjentami, próbując wymusić okup od nich. W wyniku tego ataku klinika przestała istnieć, ogłosiła bankructwo.

MM: Gdyby miał Pan przedstawić główne trendy w rozwoju malware to jak one by wyglądały? Jakich zagrożeń mogą spodziewać się firmy w nadchodzącym 2023 r., a jakich użytkownicy indywidualni?

LT: Myślę, że możemy się spodziewać większej liczby ataków motywowanych geopolitycznie, zwłaszcza ze strony Rosji. Nie będą one prawdopodobnie zbyt dotkliwe. Mogą to być działania związane z odmową dostępu dotyczące różnych instytucji. W gorszym przypadkach będą to tak zwane vipery, czyli złośliwe oprogramowanie, którego celem jest po prostu niszczenie danych.

Zarówno użytkownicy indywidualni jak i firmy mogą się spodziewać coraz bardziej kreatywnych metod phishingu. Wiadomości phishingowe będą coraz lepiej sprofilowane i skuteczne. Będą docierać do nas różnymi kanałami, czasami wieloma jednocześnie. Może się na przykład zdarzyć, „telefon z banku”, w którym zostaniemy uprzedzeni o jakimś wymyślonym problemie lub sytuacji. Następnie „z tego samego banku” otrzymamy wiadomość z linkiem.

Firmy mogą się spodziewać większej ilości ataków na infrastrukturę chmurową, ponieważ jest to nadal mało wykorzystana, ale potężna przestrzeń do przeprowadzania ataków. Co więcej, dopiero uczymy się, w jaki sposób prawidłowo ją zabezpieczać.