Mail bombing to wyglądający niepozornie atak, który może wygenerować poważne szkody – zarówno dla finansów firmy, jak i jej wizerunku. Gwałtowny przebieg „bombardowania” może ponadto stanowić zasłonę dla poważniejszych ataków przeprowadzanych poza obszarem uwagi (tzw. lateral movement). Jak obronić pocztę elektroniczną przed atakiem i jakie podjąć kroki, by zminimalizować ryzyko jego wystąpienia?
Mail bomber – co to jest i jak działa?
E-mail bombing to specyficzne zagrożenie należące do grupy ataków DoS, czyli ataków typu „odmowa usługi” (Denial of Service). Osoba przeprowadzająca taki atak powoduje masowy napływ nowych wiadomości e-mail, posługując się rozmaitymi metodami. Celem takiego działania jest uniemożliwienie korzystania z poczty elektronicznej poprzez przeciążenie serwera i paraliż podstawowych procesów biurowych. Zdarza się, że tego rodzaju atak przeprowadzony jest w celu zamaskowania skutków innego ataku – zalew bezwartościowych wiadomości może np. skutecznie ukryć istotne e-maile, informujące m.in. o zmianie haseł do kont czy próbach logowania do profili.
Rodzaje e-mail bombingu
W zależności od celu, możliwości oraz umiejętności atakującego, mail bombing można przeprowadzić na kilka różnych sposobów. Najczęściej spotykane są trzy metody ataku, które przedstawiamy poniżej.
- Masowa wysyłka wiadomości przez botnet to jedna z podstawowych metod wykonywania e-mail bombingu. Atakujący wykorzystuje kontrolowany przez siebie botnet (sieć zainfekowanych komputerów-zombie, które mogą wykonywać określone zadania bez wiedzy ich właścicieli) do wysyłania tysięcy wiadomości z różnych adresów e-mail na skrzynkę odbiorczą ofiary. Wiadomości pochodzą z różnych adresów, co utrudnia zablokowanie napływającego ruchu. Silniki systemów antyspamowych działają dodatkowo z niewielkim opóźnieniem, szczególnie w stosunku do wiadomości nadchodzących z nowo zarejestrowanych domen.
- E-mail cluster bomb. Ta metoda polega na zapisaniu adresu e-mail ofiary do setek różnych list mailingowych. Proces jest zwykle w pełni zautomatyzowany, a osoba doświadczająca ataku otrzymuje tysiące wiadomości potwierdzających rejestrację, proszących o aktywację konta czy przedstawiających ofertę lub warunki subskrypcji. W celu ochrony przed takim atakiem wykorzystuje się jednak coraz częściej warunek potwierdzenia zapisu do listy mailingowej.
- Atak z wykorzystaniem plików ZIP, czyli zip bombing. Ta metoda może być zastosowana w połączeniu z powyżej wymienionymi sposobami. W przesyłanych do ofiary wiadomościach załączone są pliki w formacie ZIP. Pliki mają zazwyczaj postać tekstową i mogą zawierać kilka milionów identycznych znaków. Taka strategia obciąża filtry antyspamowe i inne narzędzia, których zadaniem jest kontrola załączników oraz treści. W przypadku spakowanych plików, w dodatku zabezpieczonych hasłem, rozwiązania ochrony poczty zwyczajnie nie mogą przeprowadzić analizy załącznika.
Odrębną metodą e-mail bombingu jest wysyłanie wiadomości zawierających duże pliki. Ich zadaniem jest wykorzystanie całej dostępnej przestrzeni dyskowej przeznaczonej dla poczty elektronicznej, czego efektem jest brak możliwości przyjmowania legalnej korespondencji.
Dlaczego firmy stają się celem e-mail bombingu?
Jako że mail bombing nie jest skomplikowanym technicznie atakiem, może być przeprowadzany przez osoby niezwiązane na co dzień z działalnością hakerską. Ta metoda ataku jest więc często wykorzystywana przez złośliwą konkurencję, która chcąc sabotować procesy biznesowe, paraliżuje działanie poczty elektronicznej. E-mail bombing może być też formą zemsty któregoś z pracowników.
Często atak jest jednak tylko przykrywką i pełni rolę dywersyjną w znacznie bardziej skomplikowanej kampanii. Tysiące niechcianych wiadomości o zróżnicowanej, krzykliwej treści, obniżają czujność użytkownika. Uwaga zespołu ds. IT jest wówczas skupiona na wycięciu szkodliwego ruchu i przywróceniu równowagi. W takiej sytuacji łatwo jest zignorować krytyczne alerty bezpieczeństwa dotyczące logowania do profili z innych urządzeń czy informacje o nieudanej autoryzacji.
Przykładem takiego zastosowania e-mail bombingu była kampania wymierzona w klientów amerykańskiej sieci sklepów Walmart. Dzięki bazie kompletów danych, która wyciekła do sieci, oszuści mogli logować się na konta klientów i dokonywać zakupów zapisanymi kartami kredytowymi. Aby opóźnić moment, w którym klienci zorientują się, że zostali oszukani, hakerzy zasypywali ich skrzynki tysiącami wiadomości mówiących o rejestracji na różnych portalach i potwierdzających subskrypcję newsletterów.
Jakie zagrożenia niesie e-mail bombing dla firm?
Choć e-mail bombing jest niepozornym atakiem, to powoduje, że w zalewie niechcianych wiadomości giną także te istotne, pochodzące od kontrahentów czy partnerów biznesowych. Branże, takie jak logistyka czy e-commerce, opierają się w dużej mierze na korespondencji elektronicznej, a udany atak może sparaliżować procesy firmowe na wiele godzin, np. poprzez brak możliwości wysyłki czy otrzymania wiadomości przez jakiś czas.
W przypadku niektórych obszarów biznesu, takich jak sprzedaż, reklamacje czy wsparcie techniczne, kilkugodzinny brak kontaktu może poważnie nadszarpnąć zaufanie klientów, a także spowodować niewywiązanie się z umów SLA i w efekcie dotkliwe kary finansowe.
Pod uwagę należy wziąć także koszt obsługi incydentu wynikający z zaangażowania firmowego zespołu IT, a nierzadko także skorzystania z zewnętrznych usług cybersecurity.
Trwający atak na skrzynkę e-mail może ponadto oznaczać, że w jego tle dzieje się coś znacznie poważniejszego, a zagrożenie może przeniknąć do wnętrza sieci. Masowo wysyłane wiadomości mogą też nieść dodatkowe ryzyko w postaci linków phishingowych i zainfekowanych załączników. Hakerzy mogą chcieć wykorzystać w ten sposób panujący chaos do osiągnięcia swoich celów.
Jak chronić firmę przed e-mail bombingiem?
Największe znaczenie dla ochrony przed e-mail bombingiem mają prewencja i unikanie ryzykownych zachowań. Pracownicy powinni znać dobre praktyki cyberbezpieczeństwa oraz za wszelką cenę unikać wykorzystywania firmowej skrzynki poczty elektronicznej do celów prywatnych oraz subskrybowania usług czy wiadomości. W Netii w ramach usługi IT security pracownicy mogą zostać przeszkoleni z security awareness – bez względu na to, czym dokładnie zajmują się w firmie.
Istotne jest także ograniczanie eksponowania bezpośrednich adresów e-mail w sieci publicznej, a zamiast tego używanie formularzy kontaktowych.
Nie bez znaczenia jest także infrastruktura zaprojektowana z myślą o zapewnieniu wysokiej dostępności (High Availability), co pozwala osiągnąć ciągłość działania systemów pocztowych nawet w przypadku awarii jednego z komponentów lub trudności wynikających z doświadczanego ataku. Kluczowe jest również stosowanie rozwiązań do równoważenia ruchu na serwerach pocztowych (tzw. load balancerów), które poprawiają wydajność i odporność na przeciążenia. Specjaliści Netii zajmują się m.in. projektowaniem, wdrażaniem i utrzymaniem tego rodzaju środowisk dopasowanych do potrzeb firmy.
Przydatne są proste do wdrożenia usługi cyberbezpieczeństwa – na przykład te dostarczane przez Netię. Model outsourcingu pozwala w prosty sposób wdrożyć zaawansowane mechanizmy bez inwestowania w licencje i dodatkową infrastrukturę. Dzięki usłudze Netia Ochrona Poczty firmowa skrzynka zyskuje zabezpieczenie przed popularnymi zagrożeniami, takimi jak SPAM, phishing, malware i inne. Dzięki możliwości filtrowania określonych rodzajów wiadomości możliwe jest zatrzymanie lub przynajmniej ograniczenie skutków ataku na skrzynkę e-mail.
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Inne formy kontaktu
-
Infolinia dla nowych klientów
(Codziennie 8:00 - 18:00) +48 22 35 81 550 -
Obsługa klienta i wsparcie techniczne
(Dostępne 24/7) 801 801 999
biznes@netia.pl -
Adres korespondencyjny Netia S.A.
skr. pocztowa nr 597
40-950 Katowice S105