Amikor nem jó a meglepetés – IT biztonságot minden vállalkozásnak!

Akármilyen rémisztőnek hangzik, bárkit érhet kibertámadás! Egy Tolna megyei faluban lévő kisvállalkozást is. Pedig mindez elkerülhető lett volna, ha nagyobb figyelmet fordítanak az alapvető IT biztonsági beállításokra. Olvasd el a történetüket, és tegyél megelőző lépéseket, hogy a Te cégeddel ez ne fordulhasson elő!

A Tomolik Euro-Trans Kft. egy barátságos Tolna megyei teherszállítási és fuvarozó családi vállalkozás. Vezetője, Géringerné Tomolik Marianna egy átlagos novemberi hétfőn nyugodtan indította a munkát azzal, amivel a legtöbben kezdik a napot: az emailek megnézésével.

De szokatlanul csendes volt a délelőtt. Pont hét elején, amikor a heti szállítások szervezése szokott zajlani, a fuvarbörzén keresztül sok kérésnek kellett volna már beesni. Nem írt senki? Összedugja a fejét a család, privát email címükről tesztelik és kiderül, hogy nem érkeznek be a levelek! A pánik szint emelkedik: nem tudnak emailt küldeni a céges email címről! Partnereik felével stabil, bizalmas a kapcsolatuk, tehát elkezdenek jönni a telefonok is: mi történik, miért nem reagáltok, mikor olyan gyorsan szoktatok emailben megrendelést visszaigazolni? Kellemetlen, magyarázkodni kell, még nem tudják mi a gond. Tizenketten nem tudnak dolgozni, senki se tudja, hogy most akkor ki és mit csináljon. Miközben privát emailcímről próbálják a tüzet oltani üzleti téren, aközben a postafiókokban próbálnak leveleket törölni, mert valahogy megtelt. Furcsa, de legalább a bejövő levelek beérkeztek ezután, de küldeni még mindig nem tudtak.

Hogy lesz zombi gép a kis magyar faluban?

Mi a hibaüzenet? A kiküldött levelekre válaszul a következő üzenetet kapja a feladó:

It Biztonsag

Ez nem az a meglepetés, amire vágyunk! De akkor mi ez?!

A levelezés a Microsoft 365 Exchange Online rendszerével működik, amit a Telekomtól vásároltak. Jelezték hamar a Telekom ügyfélszolgálatán (Telekom IT szolgáltatások esetében munkanapokon +3680202500 díjmentesen hívható), hogy nem működik a küldés.

A Telekom által megbízott szakértővel megvizsgáltuk az esetet, ő a hibaüzenetből már sejtette is, hogy mi lesz a gond: Mivel ez a hibaüzenet azt jelenti, hogy az előfizetéshez tartozó küldési korlátot haladta meg az ügyfél, tehát valószínűleg külső támadás érte a rendszert. Feltörték a levelezést!

Az Exchange Admin felületén találtunk egy connector-t, ami bizonyos ip címekről lehetővé tette az ellenőrzés nélküli küldést külső címekre. Ezen kívül két szabályt is létrehoztak a támadók, amelyekkel a levelek fejlécét módosították. A cég nevében (valószínűleg kártékony tartalommal) spam levelek sorozatai mentek ki, és a Microsoft automatikusan észlelte, majd letiltotta a levélküldést. A támadók általában sok ilyen feltört postafiókkal működtetnek spamküldő hálózatot, melyet pl. adathalászatra, vagy zsarolóvírusok küldésére is használhatnak – nagy számok törvénye alapján akár sikeresen. Így épülnek a botnet avagy zombi hálózatok. Így lesz egy átlagos, Tolna megye, Tevel falu Fő utcájában működő notebookból kibertámadásban résztvevő zombi gép.

Elhárítás és védekezés

A hiba elhárításához először biztosítanunk kellett a támadók kizárását a rendszerből, ezért az ügyfél M365 adminisztrátori fiókokon jelszót változtattunk, kiléptettük őket az aktív folyamataikból és kötelezővé tettük a többtényezős hitelesítés (Multi-Factor Authentication – MFA) használatát számukra.

Ezután töröltük a connector-t és a szabályokat, majd egy szolgáltatási kérést adtunk fel a Microsoft-nak, hogy szüntessék meg a kimenő levelek blokkolását.

A hibát így pár órán belül el tudtuk hárítani, de az eset ennél mélyebb nyomot hagyott. 12-en nem tudtak dolgozni, állt a pénzügy, nem ment a fuvar szervezés és késlekedett a bérszámfejtés. Dolgozók pedig a torlódott problémák miatt pár nap csúszással kapták meg a fizetésüket. Az akkori legjobb fuvarozási melókat nem tudták elvállalni, nem volt egy jó hét üzleti szempontból a vállalkozásnak.

Tanulságok mindenkinek

Magyarországon is erősödött az IT támadások intenzitása az elmúlt időszakban, a fiókok feltörése nem ritka, bárkivel előfordulhat, hogy hasonló helyzetben találja magát.

Azért mutattuk be a Tomolik Euro-Trans Kft. esetét, mert számos tanulsága van:

A többtényezős hitelesítést (Multi-Factor Authentication – MFA) mindenhol be kell kapcsolni. Nem csak a céges M365-ben, hanem a gmail, facebook stb. helyeken is. Mert a jelszavak és az adatok ellophatók. A rendszer biztonságos lett volna, ha jól van beállítva.

Ne tároljunk jelszavakat simán a böngészőben: számítógépet érintő vírustámadás esetén így kikerülhetnek. A Tomolik esetében is ez történhetett. Ennél jobb a google fiók, vagy jelszó kezelő alkalmazás által történő tárolás. Windows Hello és az M365 segítségével beállítható pl. hogy az arcfelismerés és a Microsoft Authenticator alkalmazással történjen a bejelentkezés. Így többtényezős hitelesítés történik, de mégsem kell jelszót beírni, csak a notebook kamerájába nézni és a mobilon ujjlenyomattal jóváhagyni.

Az informatikai eszközöket nem elég birtokolni, használni is tudni kell. Ha az IT szaktudás nem áll rendelkezésre a cégen belül, akkor kiemelten fontos, hogy megbízható, mindig elérhető informatikai partnert válasszon a vállalkozás. Érdemes Windows 10 Pro-t és M365 Vállalati Prémiumot használni, és szakértővel beállíttatni.

Legyetek résen: ne kattintsatok gyanús kinézetű levelekben levő linkekre, ne töltsetek le ismeretlen forrásból származó tartalmat. Különösen az ünnepek előtti akció hullámok idejében könnyű a gyanútlan felhasználókat rászedni.

Szerző:
Katona Tamás – Telekom Digitális Transzformációs szakértője
Kép forrása: https://www.facebook.com/TomolikEuroTrans/about

Mondd el véleményedet a cikkről

Mondd el véleményedet a cikkről, hogy minél jobb tartalmat tudjunk írni számodra!

Átlag értékelés 4.7 / 5. Összes értékelés: 3

Legyél te az első, aki értékeli a cikket!

Termékajánló

Oszd meg a cikket!

    Iratkozz fel hírlevelünkre!

    Hírek, események, új termékek és még sok más vár rád hírlevelünkön!


    Kijelentem, hogy elfogadom az Adatvédelmi Szabályzatot.

    Ha szeretnél ehhez hasonló tartalmakról értesítést kapni, akkor
    regisztrálj a hírlevelünkre!

      Hírek, események, új termékek és még sok más vár rád hírlevelünkön!


      Kijelentem, hogy elfogadom az Adatvédelmi Szabályzatot.