Niedawny incydent, który miał miejsce w jednej z zagranicznych firm, rzuca światło na ryzyko związane z narzędziami do zdalnej pomocy, takimi jak Quick Assist od Microsoftu. Atakujący wykorzystali popularność tego narzędzia, by uzyskać nieautoryzowany dostęp do systemów firmowych. Warto przeanalizować, jakie działania umożliwiły to włamanie i jakie lekcje płyną z tego zdarzenia dla organizacji dążących do zwiększenia swojego poziomu bezpieczeństwa.
Quick Assist to narzędzie oferujące możliwość zdalnego dostępu do komputera, co przypomina działanie popularnych aplikacji takich jak TeamViewer czy AnyDesk. Choć narzędzia te mogą być niezwykle przydatne dla działów IT w kontekście wsparcia technicznego, stanowią także potencjalny cel dla cyberprzestępców. W omawianym przypadku atakujący wykorzystali fakt, że językiem roboczym firmy był angielski. Ułatwiło to podszycie się pod dział wsparcia technicznego, co jest taktyką powszechnie wykorzystywaną w phishingu – technice polegającej na tworzeniu fałszywych komunikatów mających na celu wyłudzenie danych.
Atakujący, udając pracowników działu IT, skontaktowali się z personelem firmy za pośrednictwem Microsoft Teams. Istotną rolę odegrało tu zaufanie, jakie użytkownicy pokładają w wewnętrznych komunikatorach firmowych. Umiejętny socjotechniczny fortel skłonił pracowników do zaakceptowania sesji zdalnej pomocy przez Quick Assist. W ten sposób cyberprzestępcy uzyskali dostęp do komputerów pracowników i mogli swobodnie przemieszczać się po środowisku sieciowym firmy.
Podatność na tego rodzaju ataki wskazuje na kilka kluczowych problemów związanych z bezpieczeństwem. Po pierwsze, niedostateczna edukacja pracowników na temat zagrożeń zewnętrznych, takich jak phishing i socjotechnika, wciąż pozostaje słabym punktem w wielu organizacjach. Szkolenia z aspektów cyberbezpieczeństwa, zwłaszcza dotyczące rozpoznawania nieautoryzowanych prób uzyskania dostępu do systemów, powinny być regularnie aktualizowane i weryfikowane.
Kolejną istotną kwestią jest kontrola nad narzędziami zdalnego dostępu. Niektóre organizacje mogą rozważyć bardziej restrykcyjne podejście do zarządzania dostępem do takich aplikacji, poprzez skonfigurowanie dodatkowych warstw weryfikacji, jak np. uwierzytelnianie dwuskładnikowe (2FA) dla prób zdalnego połączenia. Ograniczenie dostępu tylko do autoryzowanych adresów IP oraz regularne monitorowanie szybkich i niespodziewanych zmian w regułach połączeń zdalnych również mogą znacznie poprawić bezpieczeństwo.
Warto również zwrócić uwagę na monitorowanie logów połączeń zdalnych i aktywności w systemach. Szybka identyfikacja nietypowych wzorców ruchu sieciowego i działań podejmowanych przez użytkowników może pomóc w wykryciu potencjalnego naruszenia zabezpieczeń w jego początkowej fazie, zanim cyberprzestępcy zdążą wyrządzić poważniejsze szkody.
Podsumowując, incydent związany z wykorzystaniem Quick Assist do uzyskania dostępu do firmowych komputerów jest przypomnieniem o konieczności stałego monitorowania i aktualizacji polityki bezpieczeństwa w firmach. Łączenie edukacji w zakresie rozpoznawania zagrożeń, restrykcyjnego zarządzania narzędziami zdalnego dostępu oraz efektywnego monitoringu aktywności w sieci to kluczowe elementy w tworzeniu silnej ochrony przed nowoczesnymi zagrożeniami cybernetycznymi. Dbałość o te aspekty pomoże firmom nie tylko skuteczniej chronić swoje dane, ale także budować świadomość bezpieczeństwa wśród wszystkich pracowników.
