fbpx
skip to Main Content

Ettevõtete e-posti kompromiteerimisrünnakud on kasvanud peaaegu 500%

Ettevõtete e-posti
kompromiteerimisrünnakud
on kasvanud peaaegu 500%

E-posti kompromiteerimisrünnakud

Selliste rünnete puhul kasutatakse enamasti sotsiaalset sahkerdamist (social engineering). Rünnatakse peamiselt spetsiifilisi ettevõtte töötajaid, kes tõenäoliselt töötavad finants- või raamatupidamisosakondades. E-posti teel suunatakse ettevõtte töötajaid üle kandma raha pangakontodele, mis on ründajate kontrolli all.

Seda tüüpi rünnakut on keeruline tuvastada tavapäraste endpoint turvavahenditega, kuna e-kirjas ei ole halva reputatsiooniga linke ega manuseid. Töötaja ise ka ei suuda selliseid ründeid tuvastada, kui ta ei oma spetsiifilist väljaõpet.

Levinud rünnakud on veel meiliteesklus (spoofing), kus saatja teeskleb saajale teada olevat isikut ning saaja, nähes usaldusväärset saatja e-posti aadressi, klikkab lingil või maksab manuses oleva arve. Seda rünnakut saab ennetada, kui SPF ja DMARC seadistused on õigesti tehtud nimeserverites.

Viimasel ajal on pressis ja CERT poolt teavitatud Office 365 kontoõiguste hõivamisest. Kas kasutatakse nõrkasid paroole või hangitakse kasutajaõigused muul moel, kuna kasutaja ei kasuta multiaudentimist (two-factor authentication). Tänasel päeval oleme ka teada saanud, et mobiili audentimisäpi kasutamine ei ole piisavalt turvaline ja SMS-audentimine ei ole ammu enam turvaline. Jätkuvalt on turvaline ID-kaart, Mobiil-ID, Smart-ID ja YubiKey teise identsustõendina.

Hea uudis on see, et turul on juba olemas lahendusi, mis kahte eelpool nimetatud rünnet takistada aitavad. Oleme paljudel klientidel Eestis aidanud lahendada e-postiga seotud probleeme Proofpointi lahenduse abil. E-posti proksiserveri kasutamine ettevõtetes hakkab muutuma standardiks ja kogemus näitab, et ka Office 365 meililahendused vajavad tõhusat proksiserverit, et turvalisust tänapäeval tagada.

E-posti rünnete statistika kohta saate lugeda siit.

Turvasündmuste efektiivseks analüüsiks peavad logiandmed tüüpiliselt sisaldama vähemalt järgmist infot:

  • ainulaadne logikirje tunnus (logiidentifikaator, nt ID);
  • sündmuse toimumise aeg (ajatempel);
  • lähteaadress (ingl source IP);
  • sündmuse alustanud protsess (nimi, number);
  • sündmusega seotud kasutajakonto (ingl account);
  • siht-IP-aadress (ingl destination IP);
  • mis sündmus toimus (nt sisselogimine);
  • millisele protsessile/failile/kasutajale jne sündmus mõjus;
  • sündmuse tulemus (õnnestumine, ebaõnnestumine vms).

Järgmistes postitustes räägime detailsemalt e-postiga seotud turvanõrkustest ja võimalikest turvameetmetest.

Kinnita oma
IT-turvavöö!

Kui tahad homsele päevale kindlama tundega vastu minna, registreeru esmasele tasuta infoturbekonsultatsioonile.  Võta meiega ühendust ja räägime täpsemalt.

VÕTAN ÜHENDUST

VIIMASED UUDISED