Pár száz dollárért bárki bevetheti az adathalászok Halálcsillagát, a PhaaS-t

Nyílt titok, hogy napjainkban a kiberbűnözők egyre kevésbé foglalkoznak a vállalati tűzfalak feltörésével. Azokat megkerülve a szervezetek informatikai védelmének leggyengébb láncszemét, a munkavállalókat és a beszállítókat csalják lépre a legtöbbször megtévesztő emailek, weboldalak használatával. Eddig ezek megalkotásához javarészt professzionális hackerek kellettek, akik a célba vett cégekre szabottan programozták le a sikeres adathalászathoz szükséges felületeket, eszközöket. Most már igazán rájuk sincs szükség. Immár szinte bárki indíthat ilyen jellegű támadást, mert komplett adathalász szolgáltatások (Phishing-as-a-Service – PhaaS) jelentek meg a világhálón, amelyek pár száz dolláros (250$ – 850 $) előfizetési díjért cserébe gyorsan és egyszerűen létrehozható adathalász kampányok indítását teszik lehetővé bárki számára.

„A PhaaS szolgáltatásokkal személyre szabott adathalász eszközöket lehet létrehozni. Többek közt olyan oldalakat, amelyek megszólalásig hasonlítanak az eredeti vállalati weboldalra, vagy olyanokat, amelyek átirányítási funkciót töltenek be, viszont csali felületeként is roppant hitelesnek tűnnek az azokon található tartalmak. A legmegdöbbentőbb, hogy ezekhez a szolgáltatásokhoz egyáltalán nem bonyolult hozzáférni. Akad köztük olyan, amely teljesen nyitott regisztrációs folyamattal rendelkezik, azaz akár egy e-mail címmel is bárki feliratkozhat rájuk” – hívta fel a figyelmet Selmeczi János, a vállalati belső biztonság növelésére, a nem megfelelően kezelt hozzáférési jogosultságok kiszűrésére és az adatlopásra irányuló informatikai támadások megelőzésére szolgáló szoftver, a TheFence magyar és európai forgalmazásáért felelős vállalatvezetője.

A szakember hozzátette, hogy ezeket az adathalász programcsomagokat is pont úgy fejlesztik, mint a legális szoftvereket. Ennek megfelelően egyre szofisztikáltabb módon képesek csapást mérni a velük célba vett szervezetekre. Ráadásul a magyar nyelv sem ad védettséget. A világnyelvek után már az olyan lokálisan beszélt nyelvekre is, mint a miénk, nyelvtanilag egyre pontosabb és ezáltal megtévesztésre teljes mértékben alkalmas adathalász szolgáltatások érhetőek el. Ha az egyik támadás kudarcot vall, azt a kiberbűnözők gyorsan leállítják, eltüntetik és máris egy másik készlettel indítják az újabb adathalász kampányukat. Ez a gyors adaptáció pedig párosul azzal, hogy a felhasználók zöme – a digitális transzformáció sebességének köszönhetően – nem ismeri fel az általa igénybe vett informatikai szolgáltatásokkal, online csatornákkal járó potenciális veszélyeket. Az ismerethiány miatt az óvatosság is csökken, amit viszont az adathalászok azonnal kihasználnak. Ebből fakadóan a néhány száz dolláros PhaaS-előfizetéssel könnyen több millió dolláros kárt lehet okozni a világon bármely vállalatnak.

Védekezni többféleképpen lehet a PhaaS ellen. A leggyakrabban a dolgozók képzésével és rendszeres tesztelésével. A biztonsági tudatosság terén nálunk előrébb járó országokban teljesen bevett szokás, hogy a vállalatok maguk kreálnak az adatszivárgás lehetőségével járó belső krízishelyzeteket, hogy a szenzitív adatokhoz hozzáférő munkavállalók éberségét fenntartsák. Mindezekhez szélsőséges esetben kapcsolódhat a zéró bizalom, mint működési elv bevezetése is, ami szigorú kontroll alá veszi az adatkezeléseket, viszont ezzel együtt lassítja a vállalati működést és csökkentheti a hatékonyságot. Selmeczi János szerint ugyanakkor van ennél kevésbé sokkoló módszer is a felkészülésre. A vállalatoknak érdemes fejlett elemzéseket bevezetniük a folyamataikba, amelyek többek közt kiterjednek a hozzáférésekhez, jogosultságokhoz kapcsolódó kockázatok automatikus azonosítására. Ez a megközelítés sokkal célravezetőbb, a működést sem zavarja meg és a támadási felületeket is redukálja. Ennél a megoldásnál csupán arra van szükség, hogy adatgazdák (jellemzően a középvezetők) pontosan meghatározzák és kockázati alapon időről – időre felülvizsgálják, hogy személy szerint ki, mihez férhet hozzá és elejét vegyék a túlzott, a szükségtelen, illetve az összeférhetetlenséget jelentő jogosultságok kiosztásának – emelte ki a TheFence magyar és európai forgalmazásáért felelős vállalatvezetője.