Włam do poczty po incydencie u dostawcy. Co zrobić, gdy problem zaczyna się poza Twoją organizacją
Styczniowy atak na polskiego hostingodawcę pokazał, co się dzieje, gdy zawodzi zewnętrzna infrastruktura. Kiedy hakerzy przełamią zabezpieczenia partnera, od razu wchodzą do Twojej korespondencji. Wykradają z niej dane, a to może wywołać kryzys finansowy. Co sprawdzić u siebie w pierwszych godzinach po takim włamaniu?
Przejęty serwer partnera oznacza ataki BEC na kontrahentów
Awaria u operatora to często włam na dziesiątki skrzynek. Przez to atakujący zyskują wgląd w poufne maile, a Ty musisz tłumaczyć się przed UODO z wycieku informacji. Później napastnicy wykorzystują je do oszustw typu BEC. Podpinają się tam pod firmowe wątki, by wyłudzać płatności od kontrahentów.
Dowiedz się więcej: Jak wyglądają testy socjotechniczne?
Co sprawdzić na skrzynkach pocztowych po alarmie bezpieczeństwa?
Zacznij szukać śladów ataku hakerskiego na skrzynkach od przejrzenia logów. Warto sprawdzić, w nich obce adresy IP i nietypowe godziny logowania - wskażą one, które konta zostały przejęte.
Następnie skontroluj reguły sortowania poczty. Chociaż w opisywanym incydencie u polskiego dostawcy nie stwierdzono modyfikacji takich reguł, zawsze jest to punkt obowiązkowy. Często ukrywają one mechanizmy, by wiadomości automatycznie i po cichu trafiały do włamywaczy. Ponadto potrafią przenieść odpowiedzi od zaniepokojonych klientów głęboko do kosza.
Na koniec zbadaj uprawnienia do wysyłki w imieniu innych oraz nieznane delegacje.
Jak ograniczyć skutki przejęcia korespondencji?
Kiedy tylko usuniesz ewentualne szkodliwe reguły, intruzi nadal pozostaną w otwartych sesjach. Dlatego natychmiast wyloguj wszystkich użytkowników z urządzeń mobilnych oraz komputerów, a następnie wymuś zmianę haseł. Ostatnie włamanie udowodniło, że konta z włączonym MFA skutecznie oparły się atakom.
Jednak samo hasło to za mało, dlatego trzeba skonfigurować dwuskładnikowe uwierzytelnianie (2FA) na każdej skrzynce, aby zablokować hakerom drogę powrotu. Szerszy kontekst ochrony przed takimi zagrożeniami znajdziesz w naszym wpisie: Atak na łańcuch dostaw: awaria u dostawcy, straty u Ciebie - jak ograniczyć ryzyko.
Jakie zapisy wpisać do umowy z operatorem?
W umowie SLA od razu ustal konkretne zasady:
- czas reakcji - ile maksymalnie minut ma operator, by zgłosić Ci włamanie;
- raportowanie - jak często dostajesz wykaz załatanych luk w systemie;
- prawo do audytu - Twoi inżynierowie mogą osobiście sprawdzić konfigurację poczty;
- wymóg 2FA - obowiązkowa autoryzacja dla wszystkich nowo zakładanych skrzynek.
Dzięki temu ułatwisz sobie egzekwowanie odpowiedzialności, gdy serwery partnera zawiodą. Jednak sama umowa nie zablokuje kolejnego ataku, dlatego przeprowadź z nami rekonesans cyberbezpieczeństwa, a stały monitoring środowiska oddaj analitykom z
SOC Exea. Dzięki temu wyłapiesz intruzów, zanim zdążą skopiować firmowe maile. Im szybciej zdiagnozujesz zagrożenie, tym bezpieczniejsi będą Twoi partnerzy biznesowi.
Zrób szybki przegląd bezpieczeństwa poczty, kont uprzywilejowanych i polityki MFA, zanim podobny incydent dotknie Twoją organizację.
