Malvertising je skrytá hrozba. Nenápadně otevře útočníkům dveře do firmy

Situace, kterou zná každý – otevřete si zpravodajský web, hledáte informace, připravujete se na poradu. Mezi články se zobrazuje reklama. Nic neobvyklého. Kliknutí, které byste ještě před pár lety vůbec neřešili. Jenže dnes se právě v takové chvíli může rozhodnout o bezpečnosti celé firmy.

Malvertising, tedy zneužití online reklamy k šíření škodlivého kódu, patří mezi útoky, které se nesnaží prorazit dveře silou. Využívají jednoduše toho, že lidé pracují online, že firmy fungují v cloudu, že reklama je běžnou součástí digitálního prostředí. A že důvěra je často automatická.

Reklama jako prostředí pro útok

Online reklama dnes není jednoduchý banner, který někdo ručně umístí na web. Jde o dynamický systém, ve kterém se v reálném čase rozhoduje, co konkrétní uživatel uvidí. Každé načtení stránky spouští akci, do níž vstupují desítky subjektů. Reklamní sítě, burzy, zprostředkovatelé, analytické nástroje. Každý článek, každá stránka jsou výsledkem složitého řetězce rozhodnutí a technologií.

Z pohledu marketingu je to efektivní. Z pohledu bezpečnosti jde však o prostředí, které je velmi obtížné plně kontrolovat. Útočník totiž nemusí napadnout konkrétní firmu ani konkrétní web. Stačí mu proniknout do tohoto řetězce a vložit škodlivý kód do reklamy, která následně projde standardním procesem a zobrazí se na zcela legitimních stránkách, ve zprávě nebo e-mailu.

 Ochraňte firemní zařízení

Z pohledu uživatele se nic nemění. Pořád je „v bezpečném prostředí“. Právě to je na malvertisingu nejnebezpečnější. Využívá důvěry, kterou má uživatel k prostředí, v němž se pohybuje.

Jak funguje malvertising?

Malvertising kombinuje marketingovou infrastrukturu s kybernetickým útokem:

• útočník vytvoří nebo kompromituje reklamní obsah
• do banneru vloží škodlivý skript nebo přesměrování
• reklama projde přes reklamní síť a zobrazí se na legitimních webech
• uživatel reklamu zobrazí v aplikaci s neopravenou chybou nebo na ni klikne
• dojde k přesměrování nebo spuštění škodlivého kódu
• zařízení je infikováno nebo uživatel zadá citlivé údaje
• v některých případech není potřeba ani kliknutí – stačí samotné zobrazení reklamy

Co se děje po kliknutí… a někdy i bez něj

Malvertising je ve skutečnosti jen začátek – distribuční kanál, který otevírá cestu dalším útokům. Často k tomu využívá mechanismus drive-by download, kdy stačí načíst stránku a škodlivý skript skrytý v reklamě se pokusí využít neopravenou zranitelnost v prohlížeči nebo jeho doplňcích, v e-mailovém klientu nebo v aplikaci pro zasílání zpráv. Pokud uspěje, stáhne a spustí malware klidně bez jakékoli interakce.

Jiný scénář pracuje s přesměrováním. Reklama vypadá legitimně, ale po kliknutí uživatele přesměruje na stránku, která je na první pohled nerozeznatelná od originálu. Může to být např. přihlašovací stránka do firemního e-mailu, cloudového úložiště nebo CRM systému. Zaměstnanec zadá přihlašovací údaje, protože nemá důvod pochybovat. V tu chvíli o ně ale přichází.

Moderní kampaně jdou ještě dál. Kombinují malvertising s technikami sociálního inženýrství. Například nabízejí „aktualizaci“ běžně používaného nástroje, instalaci pluginu nebo přístup k dokumentu. Ve skutečnosti jde o podvržený soubor, který obsahuje malware. Tím se z jednorázového kliknutí stává vstupní bod do celé firemní infrastruktury. 

Ta je dnes čím dál častěji cloudová, a tak útočníci hojně cílí na SaaS nástroje, kde stačí kompromitovat jeden účet a získají tak přístup k obrovskému množství dat. Stačí falešná přihlašovací stránka, podvržená notifikace, reklama vydávající se za oficiální nástroj. Zaměstnanec se přihlásí a útočník má otevřeno.

Rizika a reálné dopady malvertisingu

Kompromitace účtů

• Získání přístupových údajů útočníkovi umožňuje přihlásit se do firemních systémů a pracovat s nimi jako legitimní uživatel.

Zneužití SaaS nástrojů

• Cloudové služby obsahují citlivá data i klíčové procesy. Jejich kompromitace má přímý dopad na fungování firmy.

Napadení firemní sítě

• Infikované zařízení může sloužit jako vstupní bod do interní infrastruktury a umožnit další šíření útoku.

Finanční ztráty

• Typické jsou podvody s fakturami nebo změnou platebních údajů, které mohou vést k okamžitým ztrátám.

Reputační škody

• Únik dat nebo zneužití komunikace oslabují důvěru zákazníků i partnerů.

Známé případy

• Kampaně šířící ransomware přes reklamní sítě na velkých mediálních webech či v aplikacích.
• Napadení infrastruktury dodavatelů/spolupracovníků a odesílání problematických e-mailů z jejich důvěryhodných adres.
• Útoky zaměřené na přihlašovací údaje do cloudových služeb.

A útok se šíří dál…

Jakmile útočník získá přístup do jednoho účtu, začíná další fáze. Zjišťuje, k čemu má daný uživatel přístup, jaké má oprávnění, s kým komunikuje. Typickým scénářem je zneužití e-mailu. Útočník sleduje komunikaci a čeká na vhodný okamžik, například probíhající obchodní transakci. Do ní pak vstoupí s podvrženou zprávou: změna čísla účtu, urgování platby, zaslání „aktualizovaného“ dokumentu.

Z pohledu příjemce jde o legitimní komunikaci. Přichází z reálného účtu, odpovídá kontextu. Právě proto jsou tyto útoky tak úspěšné. Další možností je šíření malwaru v rámci firmy, například přes sdílené dokumenty nebo interní chat. Infikovaný soubor se dostane k dalším zaměstnancům, kteří mu důvěřují. Z jednoho kliknutí se tak může stát incident, jenž zasáhne více oddělení.

Jedním z problémů malvertisingu je, že jeho dopady nejsou vždy okamžité. Nejde o situaci, kdy se systém zablokuje a firma okamžitě ví, že je něco špatně. Naopak. Útočník se snaží zůstat neviditelný co nejdéle. Může týdny nebo měsíce sledovat komunikaci, sbírat data a připravovat další kroky. Z pohledu firmy se „nic neděje“. Až do chvíle, kdy se objeví konkrétní problém. Neoprávněná platba. Únik dat. Zneužití účtu. A v tu chvíli už je pozdě řešit, kde to začalo.

Obrana není jednorázové řešení

Možná si říkáte, že vaše firma není zajímavým cílem, že útočníci jdou po velkých korporacích. Malvertising ale funguje jinak. Je to masový útok. Nevybírá si konkrétní firmu. Využívá pravděpodobnosti. Stačí, aby se jeden zaměstnanec dostal do kontaktu s infikovanou reklamou. Stačí jeden účet, který nemá dostatečné zabezpečení. Stačí jedna chyba a útok má šanci uspět. Právě to je důvod, proč se malvertising nedá ignorovat. Nejde o otázku, jestli si vás někdo vybere. Jde o to, kdy se s takovou reklamou někdo z vašich lidí setká.

Proto je nezbytně nutné se malvertisingu bránit. Způsobů ochrany je celá řada. Samozřejmostí je technologická ochrana – ta je nezbytná a firma se bez ní neobejde. Ale sama o sobě nestačí. Malvertising využívá kombinaci technických i lidských faktorů, proto musí být i obrana kombinací více vrstev.

Na technické úrovni jde o zabezpečení koncových zařízení, filtrování škodlivého provozu, detekci anomálií. Důležitou roli hraje i ochrana identity, zejména vícefaktorové ověřování. Neméně důležitá je ale práce s lidmi. Zaměstnanci musí rozumět tomu, jak útoky fungují. Musí být schopni rozpoznat podezřelé situace, i když nejsou na první pohled zřejmé. To není jednorázové školení. Je to kontinuální proces.

Jak se malvertisingu bránit?

Technická opatření

• ochrana DNS a filtrování škodlivých domén
• pokročilé zabezpečení koncových zařízení
• pravidelné aktualizace softwaru
• řízení přístupů a vícefaktorové ověřování
• monitoring a detekce anomálií

Práce s uživateli

• pravidelná školení a osvěta
• simulace útoků a testování reakce
• jasná pravidla pro práci s internetem a SaaS nástroji
• důraz na ověřování neobvyklých požadavků

Organizační přístup

• definovaná bezpečnostní strategie
• zapojení managementu
• spolupráce s externími odborníky

Co si z článku odnést?

• Malvertising není jen okrajovou hrozbou. Jde o nebezpečný vstupní bod do firmy.
• Malvertising neútočí na vaše servery. Útočí na vaše lidi a přes ně se dostává dál.
• Tento typ útoku pracuje s důvěrou uživatelů v běžné reklamní služby.
• Pokud chcete chránit firmu, nestačí řešit jen infrastrukturu. Musíte řešit i chování uživatelů a způsob, jakým pracují s internetem.
• Obrana je kombinací technických řešení a vzdělávání uživatelů.

Kateřina Dobrá
Marketingový specialista pro B2B

Káťa se věnuje tvorbě článků, O2 CyberCastu a newsletterů na téma kyberbezpečnosti a moderních technologií. Srozumitelně překládá složitá témata do lidské řeči, propojuje technický svět s praxí a ráda jde pod povrch věcí. Zaměřuje se na bezpečnost dat, nové technologické trendy a jejich reálný dopad na firmy i jednotlivce.