Lažno predstavljanje, oziroma phishing po domače, predstavlja vedno večji varnostni problem tudi v Sloveniji. Kljub temu, da podjetja namenjajo vedno več pozornosti izobraževanju zaposlenih in zaposleni razumejo, zakaj ni dobro klikniti na čisto vsako povezavo, ki je pripeta v e-sporočilo, pa tudi avtorji phishing mailov postajajo vedno bolj iznajdljivi in kar pogosto uspejo skriti svoje zle namene.
Če se vam kot vodji podjetja še vedno zdi, da je vaše podjetje zaščiteno pred tovrstnimi napadi, potem vas izzivamo, da nas kontaktirate in skupaj izvedemo brezplačen phishing test v vašem podjetju. Rezultati znajo kar precej presenetiti.
Razvijanje dobre kibernetske higiene zahteva stalno pozornost. Samo simulirani phishingi in redna izobraževanja sicer pripomorejo k ozaveščenosti, zadostujejo pa ne. Zakaj?
- Ker je usposabljanje o zavedanju kibernetske varnosti pogosto ločeno od resničnosti. Posledice klika na simulirano phishing e-pošto niso enake kliku na resnično.
- Ker usposabljanje ni prilagojeno izkušnjam uporabnikov – računovodje in zdravstveni delavci ne prejemajo enakih vrst e-poštnih groženj.
- Ker ozaveščenost uporabnikov pada s časom med vadbami.
Phishing je še nedolgo nazaj bil usmerjen predvsem na potrošniški trg, zlonamerna programska oprema pa je veljala za največjo grožnjo podjetjem. Danes predstavlja phishing največji družbeni napad na podjetja.
Kaj je potrebno razumeti glede lažnega predstavljanja?
Phishing
Lažno predstavljanje je vrsta prevare, pri kateri heker poskuša zbrati osebne podatke tako, da se lažno predstavlja kot zakonita blagovna znamka in uporabnike pošlje na zlonamerno spletno mesto. Pogost primer tega je napad z lažnim predstavljanjem storitve Office 365: Heker pošlje e-poštno sporočilo, za katerega se zdi, da prihaja iz Microsofta in prosi uporabnika, naj se prijavi v svoj račun Office 365. Ko uporabnik klikne povezavo v e-poštnem sporočilu, ga vodi na ponarejeno prijavno stran za Office 365, kjer se pridobijo njegove poverilnice. Z Microsoftovo blagovno znamko in logotipi tako v e-poštnem sporočilu kot na strani z lažnim predstavljanjem, neizurjen uporabnik e-pošte ne bo prepoznal kot poskus lažnega predstavljanja.
E-poštni naslovi. Kateri so pravi, kateri ponarejeni?
Nikoli ne zaupajte e-pošti, ki temelji zgolj na domnevnem pošiljatelju. Avtorji zlonamerne programske opreme uporabljajo veliko načinov za prikrivanje e-pošte. Razumejo kako prevarati svoje žrtve, da le te mislijo, da je pošiljatelj legitimen, ko e-poštno sporočilo prihaja iz zlonamernega vira. Najpogostejši vrsti ponarejanja sta ponarejanje prikaznega imena in domene. Pri ponarejanju z imenom lažnega predstavljanja pošiljatelj e-pošte uporablja legitimno ime podjetja, na primer microsoftsupport@microsoft.com, vendar je e-poštni naslov pod tem imenom naključen naslov, kot bi na primer bil xyz@yahoo.com. Prevara prikazanega imena je najučinkovitejša, če si uporabnik ogleda e-pošto v mobilni napravi, ker je pošiljateljev e-poštni naslov skrit. Avtorji phishinga računajo na to, da večina mobilnih uporabnikov ne bo razširila imena pošiljatelja, kjer bi se prikazal tudi e-poštni naslov.
Pri lažnih domenah pa je tako, da so videti skoraj enake kot legitimen e-poštni naslov, vendar so vseeno nekoliko spremenjene. Na primer, za ponarejanje e-pošte Apple.com lahko heker uporabi Apple.co. V nekaterih drugih primerih lahko hekerji za prevare uporabnikov uporabijo razširitve. Nekateri primeri vključujejo apple-support.org, apple-logins.net in apple-securities.com. Opaženo je bilo tudi povečanje dolgih, zmedenih poddomen, kot na primer icloud.accounts@apple.it.support.zqa.ca.
Predmeti in e-poštni naslovi pogosto vključujejo privlačen ali grozeč jezik
Spletni prevaranti lahko prvim 100 anketirancem obljubijo "brezplačne telefone iPhone" ali pa grozijo, da bodo "vašo kreditno kartico začasno ustavili brez takojšnjega ukrepanja." Pogosto se uporablja taktika vzbujanja občutka panike, nujnosti ali radovednosti. Uporabniki se običajno hitro odzovejo na e-poštna sporočila, ki kažejo na potencialno finančno izgubo ali pa nekakšno osebno korist.
E-poštna sporočila, ki imajo agresiven ton in trdijo, da je treba nemudoma ukrepati, da bi se izognili posledicam, je potrebno obravnavati kot potencialno prevaro. Ta tehnika se pogosto uporablja za strašenje ljudi, da bi se odrekli zaupnim informacijam. Primeri takšnih sporočil so recimo e-poštna sporočila z lažnim predstavljanjem, ki uporabnikom sporočajo, da so njihovi kritični računi zaklenjeni, ali da je potrebno plačati račun, da ne pride do začasne ustavitve storitev.
V nekaterih phishing napadih se s prilagojenimi e-poštnimi sporočili domnevnih kolegov vzbuja strah pred posledicami na delovnem mestu. Klasičen primer tega je nujno e-poštno sporočilo direktorja, ki zahteva darilne kartice ali bančno nakazilo. Prejem takšne zahteve najvišjega vodstvenega delavca ustvarja pritisk na zaposlenega in poveča verjetnost, da se bo hitro odzval, ne da bi o tem premislil. Drug primer je e-poštno sporočilo, ki je namenjeno pritisku na zaposlenega v kadrovski službi, da bi ta spremenil podatke o neposrednem nakazilu.
Napadi postajajo bolj usmerjeni in personalizirani
Številni napadi lažnega predstavljanja v preteklosti so bili naenkrat poslani večji skupini uporabnikov, kar pa je imelo za posledico ne ravno preveč osebne pozdrave. E-poštna sporočila so uporabnika pogosto naslovila s splošnim izrazom, kot je »kupec«, »zaposleni« ali »bolnik«. Vsi uporabniki e-pošte bi morali biti previdni pri teh izrazih, saj podjetja in organizacije v e-pošti pogosto nagovarjajo uporabnike z njihovim imenom, vendar osebno prilagojeno e-sporočilo ni zanesljiv znak zakonitega e-poštnega sporočila. Današnji avtorji phishingov vključujejo ime žrtve v vrstico z zadevo sporočila.
Phishing napadi postajajo inteligentnejši
Vsak bi moral skrbno prebrati svojo elektronsko pošto in je ne samo preleteti. Številni phishing napadi in usmerjeni phishing napadi se izvajajo iz drugih držav. Čeprav lahko to povzroči očitne slovnične in slogovne težave, so ti »lažni predstavniki« postali bolj izpopolnjeni, saj imajo namreč orodja za sestavljanje čistih e-poštnih sporočil v ciljnem jeziku in naredijo manj napak. Vsi bi torej morali skrbno prebrati e-poštna sporočila, saj lahko na tak način najdemo očitne napake, ki lahko nakazujejo na prevaro. Na strani z lažnim predstavljanjem storitve Office 365, ki jo je odkril Vade Secure, je prišlo do samo enega neskladja med pravo stranjo Office 365 in lažno stranjo: dodaten presledek med “&” in “Cookies” v povezavi “Privacy & Cookies” v nogi e-poštnega sporočila.
Povezave niso vedno to, kar mislimo da so
Vsako e-poštno sporočilo z lažnim predstavljanjem vsebuje neko povezavo, za katero pa ni nujno, da je očitna. V besedilu povezave bi lahko pisalo »Pojdi na račun Office 365«, URL pa potem uporabnika pripelje do lažne strani, ki bi bila videti kot Microsoftova. Preden kliknemo na povezavo, bi morali s kurzorjem »polebdeti« nad njo, prikazati pa bi se moral pravi cilj povezave. Če link spletne strani ni ravno tisti, ki ga pričakujemo, gre verjetno za phishing napad.
Najpomembneje se je prepričati, da je jedro URL-ja pravilno. Še posebej previdni moramo biti pri URL-jih, ki se namesto .com ali .org končajo z nadomestnimi imeni domen. Poleg tega avtorji phishingov uporabljajo kratice URL-jev, kot je Bitly, da bi obšli e-poštne filtre in prevarali uporabnike. Na spletni strani IsItPhishing.AI lahko ugotovimo, ali je URL prava ali lažna povezava. Če dvomimo v legitimnost spletnega mesta, si lahko s pomočjo IsItPhishing prihranimo kar precej komplikacij.
Phishing v prilogah e-pošte
Vsa e-poštna sporočila z lažnim predstavljanjem vsebujejo povezavo, vendar le ta ni vedno v samem e-poštnem sporočilu. Da bi se izognili zaznavanju z varnostnimi filtri po e-pošti, napadalci v prilogo, kot je dokument PDF ali Word, namesto vsebine e-pošte vključijo povezavo z lažnim predstavljanjem. In ker tehnologija sandboxov v prilogah išče zlonamerno programsko opremo in ne povezav, bo e-poštno sporočilo videti čisto. E-poštno sporočilo se pojavi kot sporočilo pravega podjetja ali osebe, v katerem nas prosijo, da odpremo prilogo in kliknemo povezavo za pregled ali posodobitev informacij.
Uporaba resničnih slik in logotipov blagovnih znamk
Slika1: Phishing stran
Slika2: Prava stran
Logotipi in blagovne znamke niso zagotovilo, da je e-poštno sporočilo resnično. Slike so javne in jih je mogoče prenesti z interneta ali enostavno kopirati. V e-poštna sporočila lahko vstavimo tudi značke antivirusnih programov in tako prepričamo prejemnike o pristnosti e-poštnega sporočila in vira. Medtem ko večina e-poštnih filtrov lahko zazna znan lažni URL, ponarejene slike ne more zaznati, če nima možnosti strojnega učenja.
Prejeli smo phishing email. Kaj pa zdaj?
Obravnavanje posledic lažnega napada ni le dolgotrajno, ampak drago. En nepreviden klik lahko ogrozi celotno omrežje, zato je pomembno, da vsi skupaj zaščitimo podjetje kot ekipa. Prepričajmo se, da imamo vzpostavljen sistem za poročanje o napadih in da vsi razumemo, kako pomembno je napad prijaviti in slediti postopkom. Brisanje e-poštnega naslova ni rešitev - IT mora vedeti, da je naše podjetje tarča. Usposobimo zaposlene, da se takoj obrnejo na oddelek za IT, da bo lahko IT ustrezno ukrepal, in ustvarimo povratno zanko za izboljšanje e-poštnega filtra.
Vsake pol leta, ali vsaj enkrat na leto bi bilo priporočljivo izvesti izobraževanje o kibernetski varnosti in neposredno usposabljanje. Če nekdo klikne na povezavo z lažnim predstavljanjem, mora takoj prejeti povratne informacije in dodatno usposabljanje.
Uporabniki Vade Secure prejmemo opozorilo ob kliku, če je bil URL prepoznan kot lažno predstavljanje. Če uporabnik klikne povezavo z lažnim predstavljanjem, IT pa prejme obvestilo skupaj s povezavo do izročila za usposabljanje za lažno predstavljanje. Če obstaja sum na lažno predstavljanje, uporabniki v e-poštnem sporočilu prejmemo opozorilno pasico, ki nam svetuje, da nadaljujemo previdno.
Vas mika VadeSecure?