CLOUDY podcast | #05 Ak by to bolo naozaj vážne, určite by mi neprišiel iba mail.

Piaty diel podcastu CLOUDY sa venuje téme phishing-u. Moderátor Andrej Kratochvíl a Michal Srnec, CISO Aliter Technologies, sa rozprávali o tom, čo to phishing je, ako spoznať takýto škodlivý mail, keď si ho nájdem v schránke a čo s ním (ne)robiť.

Čo to teda je ten phishing?

Je to nejaké podvodné správanie na internete s tým, že cieľom je získať osobné, citlivé alebo cenné údaje. Vo všeobecnosti sú to maily a v podstate celá tá idea je, že ten útočník vytvorí nejakú návnadu, ktorá vyzerá ako reálna a jej účelom je získať citlivé informácie. A ten kto sa na nejaký taký phishing chytí je ako tá rybička.

Veľmi veľa a často sa stretávame s tým, že sa v mailoch útočníci vydávajú za rôzne organizácie typu pošta, banka a tí útočníci chcú doplniť údaje, napr. v štýle: „Prišla ti zásielka, potrebujeme ešte úhradu...“ , patria sem aj emaily, ktoré hovoria: „zomrel ti starý otec niekde z ďaleka a zanechal ti nejaké bohatstvo“..., aj to je phishing. Plejáda scenárov je veľká.

Podvodný mail nie je o tom, že sa snaží zneužiť nejakú technologickú zraniteľnosť. Phishingový email je legitímny mail, ktorý nám prišiel, ale ten samotný obsah využíva techniky sociálneho inžinierstva, teda nejako sa snaží pôsobiť na našu psychológiu ako my fungujeme ako ľudské bytosti.

Väčšina phishingových mailov sa snaží vyvolať pocit urgentnosti. „Zaplať do ďalšieho dňa, aby si neprišiel o zásielku.“ alebo „Teraz hneď si zmeň heslo pretože link exspiruje za 24 hodín.“... Práve pocit urgentnosti je jedna z techník sociálneho inžinierstva.

Ešte som nevidel taký email, že ak by som naozaj teraz hneď nejednal, tak sa niečo strašné stane. To by mi predsa len neprišlo mailom. Platí dva razy meraj a raz rež. Treba si spraviť od takejto správy odstup a overiť si informáciu alternatívnym kanálom.

Čo všetko zahŕňa phishing? Aké má úrovne?

Ako to vidím ja, sú tri úrovne phsihingu. Prvý je taká „základná škola“. Email „Vyhrali ste..“ alebo ten email s dedičstvom... Je tam lámavá slovenčina, zlé formátovanie, rozhádzané obrázky... jednoducho na prvý pohľad viete, že je to phishing.

Potom je druhá úroveň – „stredná škola“. To už sú cielené útoky na spoločnosť. Nemusí byť na celú, ale napríklad na HR oddelenie, marketing, finančné oddelenie. Vytvorí sa už na mieru šitý scenár a útočník pošle mail na konkrétne oddelenia. Už aj formátovanie, obrázky, pravopis sedí, email vyzerá dôveryhodnejšie.

Tretia úroveň – „vysoká škola“ je zameraná na konkrétne osoby, väčšinou vyšší manažment, teda na tie tzv. „veľryby“ firmy – preto sa to aj volá „whaling“. To sú celé kampane, kedy útočníci vytvárajú falošné firmy, ktoré sú zapísané v registri, komunikujú legálne dopredu, vytvárajú falošné profily, blokujú čísla atď. Ide o tím ľudí, ktorý to celé spravuje. To si samozrejme vyžaduje už veľkú snahu.

Ako rozoznať phishing keď už je naozaj dobre urobený?

Aj pre skúsených užívateľov to môže byť problém. V prvom rade si treba uvedomiť, že môžu byť nastavené všetky technické opatrenia správne, ale dôležitý je ten koncový užívateľ. Ten musí byť obozretný. Napokon rozhoduje práve ľudský faktor.

Každopádne základným spôsobom ako rozoznať phishing je všímať si v maili prvky ako pravopis, formátovanie, neosobné oslovenia (vážený užívateľ, drahý pán atď.), pocit urgentnosti vykonať nejakú akciu (kliknúť, otvoriť, stiahnuť, platiť) alebo si všímať ako vyzerá adresa, z ktorej mail prišiel (jemné preklepy v názve banky a pod.). Prípadne odkazy – treba prejsť kurzorom na link pred kliknutím, či je to naozaj relevantný link.

Môže mať phishing aj iný cieľ ako získanie údajov napr. k platobnej karte?

Veľakrát phishing nie je primárnym cieľom. Samozrejme sú phishingy, ktorých cieľom je získanie práve týchto citlivých údajov, ale cieľom phishingu môže byť aj „otvorenie dvierok“ do infraštruktúry spoločnosti. Nájdenie tej chyby a následne ponúknutie týchto „dvierok“ niekomu ďalšiemu.

Ak som si to uvedomil, že som spravil chybu a údaje som zadal, čo mám robiť?

V prvom kroku treba kontaktovať napríklad tú banku. Poprosiť o resetovanie hesla, zastavenie platby, zmrazenie účtu. Je možné, že platba sa ešte bude dať stopnúť. Prípadne potom riešiť situáciu cez políciu.

Vieme nejako vyjadriť, že akú úspešnosť môže mať takáto phishingová kampaň?

Čo sa týka úspešnosti, tak ten phishing má veľmi malú úspešnosť. Možno jednotky percent. Treba si uvedomiť, že posielanie emailových správ je veľmi lacné. Hovoríme o desiatkach možno stovkách eur.

Podvodníci ale vedia ten email poslať na veľké množstvo ľudí a samozrejme, že gro tých ľudí neodpovie, zahodí ten mail, už to je známe... Ale vždy sa nájde nejaké percento, ktoré reaguje, zadá tam tie platobné údaje a väčšinou to tým útočníkom stačí na to, aby boli v globálnom meradle v zisku.

Čo som urobil zle, ak mi príde phishingový email?

Tá chyba mohla byť úplne triviálna, že som na nejakom fóre, napríklad na LinkedIn-e a mám tam zverejnenú emailovú adresu. Na verejnom priestore sú reálne crawlery, ktoré zbierajú tieto adresy po internete.

Druhá možnosť je, že som chybu nespravil ja, ale napríklad som nakupoval na nejakej stránke, a tej spoločnosti niekto ukradol dáta.

Kam to ešte môže smerovať? Čo nás čaká v budúcnosti?

Tie kampane, ktoré na nás chodia budú sofistikovanejšie, čiže akoby tá stredná škola sa bude posúvať aj medzi bežných používateľov

Celý podcast si môžete vypočuť na SPOTIFY alebo pozrieť na YouTube.

decor

Novinky a články