Akármilyen rémisztőnek hangzik, bárkit érhet kibertámadás! Egy Tolna megyei faluban lévő kisvállalkozást is. Pedig mindez elkerülhető lett volna, ha nagyobb figyelmet fordítanak az alapvető IT biztonsági beállításokra. Olvasd el a történetüket, és tegyél megelőző lépéseket, hogy a Te cégeddel ez ne fordulhasson elő!
A Tomolik Euro-Trans Kft. egy barátságos Tolna megyei teherszállítási és fuvarozó családi vállalkozás. Vezetője, Géringerné Tomolik Marianna egy átlagos novemberi hétfőn nyugodtan indította a munkát azzal, amivel a legtöbben kezdik a napot: az emailek megnézésével.
De szokatlanul csendes volt a délelőtt. Pont hét elején, amikor a heti szállítások szervezése szokott zajlani, a fuvarbörzén keresztül sok kérésnek kellett volna már beesni. Nem írt senki? Összedugja a fejét a család, privát email címükről tesztelik és kiderül, hogy nem érkeznek be a levelek! A pánik szint emelkedik: nem tudnak emailt küldeni a céges email címről! Partnereik felével stabil, bizalmas a kapcsolatuk, tehát elkezdenek jönni a telefonok is: mi történik, miért nem reagáltok, mikor olyan gyorsan szoktatok emailben megrendelést visszaigazolni? Kellemetlen, magyarázkodni kell, még nem tudják mi a gond. Tizenketten nem tudnak dolgozni, senki se tudja, hogy most akkor ki és mit csináljon. Miközben privát emailcímről próbálják a tüzet oltani üzleti téren, aközben a postafiókokban próbálnak leveleket törölni, mert valahogy megtelt. Furcsa, de legalább a bejövő levelek beérkeztek ezután, de küldeni még mindig nem tudtak.
Hogy lesz zombi gép a kis magyar faluban?
Mi a hibaüzenet? A kiküldött levelekre válaszul a következő üzenetet kapja a feladó:
Ez nem az a meglepetés, amire vágyunk! De akkor mi ez?!
A levelezés a Microsoft 365 Exchange Online rendszerével működik, amit a Telekomtól vásároltak. Jelezték hamar a Telekom ügyfélszolgálatán (Telekom IT szolgáltatások esetében munkanapokon +3680202500 díjmentesen hívható), hogy nem működik a küldés.
A Telekom által megbízott szakértővel megvizsgáltuk az esetet, ő a hibaüzenetből már sejtette is, hogy mi lesz a gond: Mivel ez a hibaüzenet azt jelenti, hogy az előfizetéshez tartozó küldési korlátot haladta meg az ügyfél, tehát valószínűleg külső támadás érte a rendszert. Feltörték a levelezést!
Az Exchange Admin felületén találtunk egy connector-t, ami bizonyos ip címekről lehetővé tette az ellenőrzés nélküli küldést külső címekre. Ezen kívül két szabályt is létrehoztak a támadók, amelyekkel a levelek fejlécét módosították. A cég nevében (valószínűleg kártékony tartalommal) spam levelek sorozatai mentek ki, és a Microsoft automatikusan észlelte, majd letiltotta a levélküldést. A támadók általában sok ilyen feltört postafiókkal működtetnek spamküldő hálózatot, melyet pl. adathalászatra, vagy zsarolóvírusok küldésére is használhatnak – nagy számok törvénye alapján akár sikeresen. Így épülnek a botnet avagy zombi hálózatok. Így lesz egy átlagos, Tolna megye, Tevel falu Fő utcájában működő notebookból kibertámadásban résztvevő zombi gép.
Elhárítás és védekezés
A hiba elhárításához először biztosítanunk kellett a támadók kizárását a rendszerből, ezért az ügyfél M365 adminisztrátori fiókokon jelszót változtattunk, kiléptettük őket az aktív folyamataikból és kötelezővé tettük a többtényezős hitelesítés (Multi-Factor Authentication – MFA) használatát számukra.
Ezután töröltük a connector-t és a szabályokat, majd egy szolgáltatási kérést adtunk fel a Microsoft-nak, hogy szüntessék meg a kimenő levelek blokkolását.
A hibát így pár órán belül el tudtuk hárítani, de az eset ennél mélyebb nyomot hagyott. 12-en nem tudtak dolgozni, állt a pénzügy, nem ment a fuvar szervezés és késlekedett a bérszámfejtés. Dolgozók pedig a torlódott problémák miatt pár nap csúszással kapták meg a fizetésüket. Az akkori legjobb fuvarozási melókat nem tudták elvállalni, nem volt egy jó hét üzleti szempontból a vállalkozásnak.
Tanulságok mindenkinek
Magyarországon is erősödött az IT támadások intenzitása az elmúlt időszakban, a fiókok feltörése nem ritka, bárkivel előfordulhat, hogy hasonló helyzetben találja magát.
Azért mutattuk be a Tomolik Euro-Trans Kft. esetét, mert számos tanulsága van:
A többtényezős hitelesítést (Multi-Factor Authentication – MFA) mindenhol be kell kapcsolni. Nem csak a céges M365-ben, hanem a gmail, facebook stb. helyeken is. Mert a jelszavak és az adatok ellophatók. A rendszer biztonságos lett volna, ha jól van beállítva.
Ne tároljunk jelszavakat simán a böngészőben: számítógépet érintő vírustámadás esetén így kikerülhetnek. A Tomolik esetében is ez történhetett. Ennél jobb a google fiók, vagy jelszó kezelő alkalmazás által történő tárolás. Windows Hello és az M365 segítségével beállítható pl. hogy az arcfelismerés és a Microsoft Authenticator alkalmazással történjen a bejelentkezés. Így többtényezős hitelesítés történik, de mégsem kell jelszót beírni, csak a notebook kamerájába nézni és a mobilon ujjlenyomattal jóváhagyni.
Az informatikai eszközöket nem elég birtokolni, használni is tudni kell. Ha az IT szaktudás nem áll rendelkezésre a cégen belül, akkor kiemelten fontos, hogy megbízható, mindig elérhető informatikai partnert válasszon a vállalkozás. Érdemes Windows 10 Pro-t és M365 Vállalati Prémiumot használni, és szakértővel beállíttatni.
Legyetek résen: ne kattintsatok gyanús kinézetű levelekben levő linkekre, ne töltsetek le ismeretlen forrásból származó tartalmat. Különösen az ünnepek előtti akció hullámok idejében könnyű a gyanútlan felhasználókat rászedni.
Szerző:
Katona Tamás – Telekom Digitális Transzformációs szakértője
Kép forrása: https://www.facebook.com/TomolikEuroTrans/about
Mondd el véleményedet a cikkről, hogy minél jobb tartalmat tudjunk írni számodra!
Átlag értékelés 4.7 / 5. Összes értékelés: 3
Legyél te az első, aki értékeli a cikket!