Közös közleményben [PDF] figyelmeztet az FBI és a CISA (Cybersecurity and Infrastructure Security Agency) az adathalász, azon belül is a vishing módszerrel elkövetett támadások elharapódzására. A két hatóság a támadási vektor látványos növekedését egyértelműen azzal hozza összefüggésbe, hogy a szervezetek jelentős része kényszerült dolgozóit távmunkában foglalkoztatni.

Bár a közlemény nem emlegeti fel, érdemes megjegyezni, hogy tulajdonképpen adathalászattal szereztek meg kritikus hozzáférési jogokat azok a hekkerek is, akik július közepén lényegében a Twitter teljes rendszere fölött képesek voltak átvenni a hatalmat. (A támadás elkövetésével egy 17 éves floridai fiút vádolnak.) Bár a közösségi oldal elleni súlyos támadás mindössze 120 ezer dollár kárt okozott naiv embereknek (illetve ennyi hasznot hozott az elkövetőknek), egy súlyos következményre rávilágított az eset.

A home office-ba küldött emberek sokkal kiszolgáltatottabbak a social engineering különböző válfajainak – ezáltal az adathalászatnak –, mint a zárt irodákban dolgozók. Ráadásul a Twitterrel egy olyan céget ért támadás, melynek vezérigazgatója, Jack Dorsey a távmunka egyik szószólója.

Erre a tömegre nem voltak felkészülve

Mint a közlemény fogalmaz, a világjárvány következtében tömegesen tértek át a vállalatok az otthoni munkavégzésre, ami a kommunikációt átterelte a vállalati VPN-ekre, és csökkentette a személyes ellenőrzés lehetőségét. Ez pedig eleve magában hordozta az adathalász támadások elszaporodásának lehetőségét. Az FBI és a CISA szerint még egy látványos hatással járt ez: a világjárvány előtt főleg a távközlési szolgáltatókat és az internetszolgáltatókat támadták ilyen módszerekkel, azóta viszont válogatás nélkül céloznak olyan szervezeteket, melyekben magas a távmunkások, otthonról dolgozók aránya.

Persze nem a két szervezet találta fel a meleg vizet – írja az Engadget. A Krebs on Security nevű blogján Brian Krebs hívta fel a figyelmet arra, hogy nem csak elszaporodtak az adathalász támadások, hanem a megszerzendő adatok köre is változott. A módszerek az új helyzethez igazodva tökéletesedtek. Krebs szerint már elérhetők olyan ún. vishing szolgáltatások, amelyek a hamis adathalász webhelyek és a telefonos social engineering módszerét kombinálva minden eddiginél nagyobb hatékonysággal gyűjtenek be kritikus hozzáférési adatokat. A fő célpontok most a VPN-hitelesítő adatok. Az FBI is több ilyen támadást figyelt meg a nyár folyamán.

A vishingelők jellemzően az új alkalmazottakra vadásznak. Ők még bizonytalanul mozognak új munkahelyük virtuális terében, nem ismernek senkit, így könnyebben bedőlnek, ha valaki felhívja őket cégük IT-csapatából. A támadók felkészültek, azaz "megtanulják" a vállalatot, még hamis LinkedIn oldalakat is létrehoznak, hogy az se keltsen gyanút, ha esetleg a dolgozó ott ellenőrizné, hogy van-e ilyen nevű IT-s az új munkahelyén. És ha a bizalom megvan, már egyszerű a dolguk, hogy a dolgozót rávegyék egy olyan hamis VPN-link megnyitására, amin az alkalmazottnak meg kell adnia a bejelentkezési adatait. (Így még a kétfaktoros bejelentkezések is könnyebben megszerezhetők.)

Mindenkitől nagyobb fegyelmet kérünk!

Az FBI és a CISA szerint ezek a támadások csak a rendszabályok szigorításával védhetők ki. Például VPN-en is csak vállalat által menedzselt eszközökkel lehessen távolról hozzáférni a belső rendszerekhez. Alkalmazzanak domainmonitoringot, és minden kommunikációs csatornán hitelesítési eljárást. A helyzet a végfelhasználóktól is nagyobb fegyelmet követel: például az URL-eket minden esetben ellenőrizni kell, gyanakvóbban kell kezelni az ismeretlen telefonhívásokat, és minimalizálni kellene a közösségi oldalon közzétett személyes adatokat is.