O-STA

PhishMe : O phishing-u v letu 2018

12.1.2018
PhishMe, promotor človeškega vidika kibernetske varnosti in dobavitelj uspešnega orodja za trening uporabnikov elektronske pošte PhishMe Simulator, ter podjetje REAL security d.o.o. iz Maribora,

sta pripravila kratko mnenje strokovnih sodelavcev o posebnem pod-področju kibernetske varnosti v letu 2018 - socialni inženiring, ribarjenje za podatki, ter na to vezani škodljivi programi in hekerski napadi.

Ljudje so nas večkrat povprašujejo o prihodnosti phishing-a, kaj naj pričakujejo v novem letu, bolj splošne ali usmerjene napade, predvsem po e-pošti ali pa bo morda težnja prešla na socialna omrežja, instantne sporočilne sisteme in druge mrežne aplikacije kot so Instagram-i, Twitter-ji in podobno. V bistvu smo vsi dojeli, da je na storitvah kot so Twitter ali spletne strani kot so Reddit že danes kar precej spam-a, a večino organizacij še vedno napadejo in zlorabijo največkrat preko sporočil elektronske pošte. Temeljni nasvet za prihajajoče leto je:

Naučite se prepoznati in izzvati hekerska blefiranja

Leta 2018 bi radi videli predvsem bolje odigrane partije proti hekerjem. Partije? Da, phishing in podobni napadi, ki temeljijo na socialnem inženiringu, so neke vrste blefiranje, lahko si zamislite, kot da igrate partijo pokra. Poker je igra na srečo, edino morebitno igralčevo znanje je sposobnost razumevanja nasprotnika oz. prepoznavanje stila igranja. Kdaj blefira in kdaj drži v rokah zares močne karte. Potem ga je treba prisiliti, da odstopi od igre, in sicer preden odkrijemo karte, ki so - njegove in naše - pogosteje kot ne dokaj šibke. To je blefiranje. Hekerji so lani s phishing-om predvsem blefirali. Žrtve so izgubljale, ker niso znale naučene prepoznati blefiranja.

Cilj hekerskega blefa je pretentati žrtev v odstop od igre, pa čeprav ima pogosto boljšo pozicijo. Velikost in pogostost blefiranja določata dobiček, tukaj se nekoliko razhajamo s pokrom, seveda le glede na kak turnir svetovnega razreda na TV. Tam so zneski ogromni, blefov je manj. Globalni phishing cilja na mnogo nasprotnikov, znesek za posameznika je nižji, a zaradi frekvence blefov in velikega števila "nasprotnikov" so dobički hekerjev vseeno veliki.

Ransomware - napadi so običajno globalni in na širok spekter tarč. Ransomware je škodljiv program, ki zaklene računalnik ali šifrira dokumente tako, da je mogoče pridobiti dostop šele proti plačilu odkupnine. Ransomware sam po sebi ni blef, ko se okužimo, smo načeloma že izgubili. Blef je v načinu kako se prenese do žrtve. Včasih je ransomware tudi del bolj usmerjenega napada - BEC.

BEC - Business Email Compromise, to je napad s phishing-om sprožen sporočila elektronske pošte. V sporočilu se pošiljatelj predstavlja kot avtoritativna oseba, na primer kot direktor podjetja, pravnik, finančnik ali vodja kadrovskega oddelka. Preko te komunikacije poskuša od "sodelavca" ali pridobiti tajne podatke, a primer o dostopu do kakega sistema ali podatkovne baze, ali pa celo pretentati žrtev v neko dejanje, na primer da sproži finančne transakcije oz. plačilo fiktivnega računa.

BEC je igra pokra, phishing sporočilo je blef, sodelavec, ki ga prejme, je hekerjev nasprotnik v tej igri. V bistvu vsebuje dva blefa - (1) nasprotnik se lažno predstavlja kot avtoritativna figura, ter, (2) dodatna laž, ki bi sprožila reakcijo zaposlenega, na primer trditev o poteklem roku plačila, obnavljanju gesel, neplačanih izvajalcih ipd. Primer takega sporočila v angleškem jeziku je na sliki.

To je le model, ki pa lahko ob elektronski pošti deluje tudi na drugih platformah. V nekaterih regijah so na primer zelo pogoste goljufije po telefonu. To se bo nadaljevalo tudi v leto 2018 in sicer zato, ker, prvič, je to enostaven način kako se izogniti vsem še tako naprednim in dragim rešitvam kibernetske varnosti, ter, drugič ker je za goljufe precej profitabilen, ne samo v zadnjem času, temveč že desetletja oz. celo stoletja.

Blefiranje ter izsiljevanje nista nič novega!

Prvo dokumentirano izsiljevanje (vsaj v ZDA, prav gotovo pa so že stoletja prej ugrabljali na primer princese) iz leta 1876 dokazuje, kako uspešen je blef strašenja z grozljivimi ali neznanimi posledicami, in to že dolga leta. Takrat je izpred doma izginil štiriletni Charles Brewster Ross, njegovi ugrabitelji so poslali grozilno sporočilo, ki se prične tako (puščamo v originalnem jeziku):

"Mr Ros, be not uneasy, you son charley bruster be all writ we is got him and no powers on earth can deliver out of our hand", in nadaljuje z "You wil have to pay us before you git him from us, and pay us a big cent to", ter zaključi z "if you put the cops hunting for him you is only defeeting yu own end."


Podrobnosti o primeru lahko poiščete na URL naslovu (https://www.smithsonianmag.com/history/the-story-behind-the-first-ransom-note-in-american-history-180948612), tukaj se osredotočimo na podobnosti med tem zgodnjim izsiljevanjem ter modernim malware-om in phishing-om (ugrabitelja so odkrili in jih v spopadu ustrelili, zato se nikoli ni izvedelo kam ali h komu sta fantka skrila). Ker so grožnje in odkupnine uspešne že od nekdaj, so se preselile v digitalno tehnologijo, kjer uspešno strašijo še naprej.

Takrat, leta 1876, so se stvari še bolj zapletle, čeprav bi dandanes te zaplete imeli za samoumevne. Ko se je v javnosti razvedelo o ugrabitvi in odkupnini, so iz svojih lukenj in skrivališč zlezli drugi goljufi in se poskušali okoristiti s primerom. Eni si so razglasili za jasnovidce in strokovnjake, ki lahko proti nagradi pomagajo poiskati žrtev. Drugi so dajali lažne informacije za proti-nagrado. Tretji so celo preoblekli lastne otroke v upanju (takrat fotografije še niso bile na voljo), da jih bodo pri oblasteh izven mesta zločina zamenjali z žrtvijo in bodo pokasirali nagrado, nato pa se nekako izmuznili.

Enako je danes. Ko se neka hekerska tehnika izkaže za profitabilno, se je lotijo mnogi, tehnologija in druga sredstva za sprožanje večine napadov so namreč dokaj poceni in enostavno dobavljiva.

Kako do boljših kart oziroma ustreznega odgovora na hekerski blef?

Naši sodelavci naj bodo naši v rokavu skriti asi

Sodelavci podjetja so glavne tarče napadov in naš glavni adut, hekerji namreč predvsem njih izzovejo v igranje te igre. Zato se moramo zanašati predvsem nanje oz. jih ustrezno usposobiti za igranje igre phishing-a. Najprej pa moramo biti odkriti, dajmo jih podučiti, da v nekaterih primerih vsa naša napredna informacijska tehnika enostavno ne more učinkovati, nekaj vedno pride skozi varnostni perimeter, zato potrebujemo njihovo sodelovanje, pomoč. PhishMe in REAL Security tukaj nista edina, večina ponudnikov rešitev informacijske varnosti v zadnjih mesecih poudarja predvsem fokusiranje na ljudi in nekoliko manj (ali enako kot doslej) na tehnologijo. Tudi tekom leta 2018 bodo zlobneži še naprej napadali po liniji najmanjšega odpora in ta linija teče preko sodelavcev in mimo vseh tehničnih varnostnih ukrepov. Tehnologija učinkuje v določenih primerih kot prva obramba, naši ljudje pa so naša zadnja obrambna linija.

Ljudje nam lahko pomagajo hitro pridobivati informacije o phishing-u in socialnem inženiringu. Večino partij pokra bomo zmagali z njihovo pomočjo, zato jih moramo naučiti prepoznavati phishing (in druge moteče dejavnike) v sporočilih elektronske pošte. A ne jih prestrašiti, vzpodbujajmo jim zaupanje v elektronsko pošto in jih naučimo verifikacije informacij v njej, naj bodo pozorni in naj se zanašajo na svoje z varnostno izobrazbo pridobljene občutke, pomembna je predvsem pozornost na sumljive stvari. Z ljudmi lahko zmešamo karte v našo prid in zmagamo več partij kot doslej.

2017 in 2018

O phishing-u, taktikah socialnega inženiringa ter pripravljenosti PhishMe strank se lahko podučite v PhishMe poročilu "2017 Phishing Defense and Resiliency Report":

https://phishme.com/phishing-resiliency-report-2017/

V letu 2018 pa si lahko pri izobraževanju osebja pomagamo tudi s produkti podjetja PhishMe ali podobnimi rešitvami. PhishMe je informacijsko podjetje, ki že dlje časa usmerja tržišče izobraževanja poslovnih uporabnikov elektronske pošte. Podjetje se je sicer legalno ustanovilo kot samostojna entiteta leta 2011, prve storitve PhishMe pa so razvili in ponujali uporabnikom že od leta 2008. Njihov cilj je omogočiti ljudem boljše poslovanje, predvsem lažje in varno sodelovanje in večjo produktivnost, in sicer s sprotnim zagotavljanjem aktualnih informacij o varni rabi elektronske pošte. Vodilna tematika rešitev podjetja je izobraževanje sodelavcev v organizaciji o problematiki 'ribarjenja za podatki' - phishing - ter preizkušanje varnostne 'imunitete' poslovnega okolja na napade te vrste z vodilnim produktom podjetja PhishMe Simulator.

Avtor / prevod: Robert Lubej

Povezava do originalne novice:

https://phishme.com/2018-learn-call-attackers-bluffs/

### ### ###

O podjetju PhishMe

PhishMe je informacijsko podjetje, ki že dlje časa usmerja tržišče izobraževanja poslovnih uporabnikov elektronske pošte čigar rešitve so fokusirane na ljudi namesto na tehnologijo. Podjetje se je sicer legalno ustanovilo kot samostojna entiteta leta 2011, prve storitve PhishMe pa so razvili in ponujali uporabnikom že od leta 2008. Njihov cilj je omogočiti ljudem boljše poslovanje, predvsem lažje in varno sodelovanje in večjo produktivnost, in sicer s sprotnim zagotavljanjem aktualnih informacij o varni rabi elektronske pošte. Vodilna tematika rešitev podjetja je izobraževanje sodelavcev v organizaciji o problematiki 'ribarjenja za podatki' - phishing - ter preizkušanje varnostne 'imunitete' poslovnega okolja na napade te vrste z vodilnim produktom podjetja PhishMe Simulator.

Več o PhishMe najdete na spletnih straneh: https://phishme.com/

Dodatne informacije:

Matic Knuplež, Product Manager

matic.knuplez@real-sec.com

REAL security d.o.o.

Žolgarjeva ulica 17

2000 Maribor

tel.: 02 234 74 74

http://www.real-sec.com

info@real-sec.com