Phishing představuje útok, který přímo souvisí se sociálním inženýrstvím. Phishing je všeobecně založen na e-mailech, které zločinci využívají k získání přístupu nebo informací. Phishingové útoky mohou být základní, nebo přizpůsobené vzhledem k obětem a jejich organizaci.
Phishingový útok s přímým zaměřením se nazývá spear phishing. Pokud by se například zločinci zaměřili na skupinu nebo osobu v rámci společnosti, použili by spear phishing k tomu, aby e-mail vypadal a působil jako legitimní.
Obvykle se to dělá pomocí správného jména a titulu oběti, odkazu na legitimní projekty, známé spolupracovníky nebo předstíráním e-mailu od vedoucího pracovníka.
Vishing je pojem označující phishing probíhající telefonicky. Používají se stejné cíle, stejné emocionální spouštěče, jen namísto e-mailu zločinci zavolají své oběti přímo.
Příklady běžných vishingových útoků zahrnují podvody typu IRS a podvody s technickou podporou. V obou případech zločinci doufají, že získají osobní informace a peníze.
Nezáleží na tom, jaký typ phishingového útoku probíhá. Cílem je přimět oběť, aby něcoudělala, například vyzradila uživatelská jména a hesla nebo sdílela dokumenty a další citlivé informace.
Phishingové útoky obvykle využívají důraz na naléhavost nebo hrají na ochotu osoby pomoci. Phishingové útoky mohou také vyvolávat pocit strachu varováním před vážnými důsledky.
Někdy to má podobu hrozby pozastavení služeb, ztráty důležitých dat nebo různých osobních důsledků. Nejběžnějším případem však je, že phishingové útoky začínají vyvoláváním zvědavosti oběti. To je důvod, proč oběť otevře e-mail, kterým to začíná.
Co je phishingová sada?
Phishingová sada je webovou komponentou nebo podpůrným prostředkem pro phishingový útok. Je to poslední krok ve většině případů, kdy zločinec replikoval známou značku nebo organizaci.
Sada je navržena tak, aby vytvořila zrcadlo legitimních webů, například webů firem Microsoft, Apple nebo Google.
Cílem je přesvědčit oběti, tak aby zadali své přihlašovací a další citlivé údaje, které se liší v závislosti na podvodném phishingu.
Většina phishingových sad využívá kombinace základních kódů HTML a PHP a je uložena na kompromitovaném webovém serveru nebo webových stránkách a obvykle existuje jen zhruba 36 hodin, než dojde k jejímu odhalení a odstranění.
Pokud se používají vhodné způsoby detekce a zabezpečení, mohou správci obvykle blokovat phishingové pokusy, když se dostanou na e-mailový server, a detekovat sady, jakmile dojde k jejich nahrání.
To je ale výjimka, nikoliv pravidlo. Zločinci registrují nové domény po tisících, a jakmile se jedna z nich označí jako zkompromitovaná, nahradí ji jiná.
Další nevýhodou je to, že zločinci příliš dobře znají základní metody detekce phishingu a vyvíjejí své skripty tak, aby byla sada neviditelná.
V oblasti back-endu (webový server) vypadají jejich sady jako normální weby a obvykle z důvodu neutrální či dobré pověsti kompromitovaného hostitele dokážou uniknout pasivní detekci.
Phishingové sady zcela běžně blokují IP adresy patřící největším bezpečnostním společnostem (jako třeba Kaspersky, Symantec, McAfee, Palo Alto, Blue Coat apod.) stejně jako univerzitám, výstupním uzlům Toru a technologickým gigantům typu Google nebo Amazon.
Tyto vrstvené bezpečnostní přístupy zločinců jsou užitečné, zejména když správce serveru zaostává v oblasti proaktivních opatření.
Jak to funguje?
Stručně? Přesně stejně jako normální web. Zobrazí se hlavní stránka, přihlašovací pole a poté buď krátká zpráva „děkuji“, nebo formulář se žádostí o další informace. Někdy budete po zadání informací do formuláře přesměrováni na legitimní web, jako by se nic nestalo.
Phishingové útoky fungují, protože lidé mají povahu pomáhat, jsou zvědaví a zpravidla neočekávají, že by se jim stalo něco špatného, když se zabývají každodenní rutinou.
Phishing a sociální inženýrství jsou jedny z nejrychlejších způsobů, jak zkompromitovat síť. Někdy je zkrátka to nejlehčí, jak proniknout dovnitř, prostá žádost o přístup, a proto budou některé testy Red Team Assessment označovat phishing a sociální inženýrství za nepatřící do svého záběru (což podle názoru autora jde proti účelu posouzení).
Nejúspěšnější útoky typu phishing se zaměřují na jednu osobu a jsou pro ni přizpůsobené takovým způsobem, že to vůbec nevypadá jako útok. Ve skutečnosti vypadá phishingový útok spíše jako typická osobní či firemní interakce.
Představte si, že pracujete v oddělení lidských zdrojů a dostanete e-mail od služby, jako je např. Indeed, kterou vaše společnost používá. Je určen vám, službu již znáte, a oznamuje vám nějakou chybu související s nedávným oznámením pracovní pozice.
Toto oznámení jste udělali osobně, takže jste přirozeně zvědaví na tuto chybu a všechno ostatní je vám již důvěrně známé.
Kliknete na odkaz v e-mailu a zobrazí se vám přihlašovací stránka, která po zadání vašeho uživatelského jména a hesla požádá o další základní informace. Po vyplnění všech formulářů jste přesměrováni na webovou stránku Indeed a stále nejste přihlášeni. Podlehli jste phishingu?
Ano, právě se vám to stalo. Práce s weby pro nábor zaměstnanců je prostě součástí práce personalistů, takže si ještě dlouho nemusejí uvědomit, že bylo něco špatně.
Většina školení pro zvyšování povědomí nezahrnuje služby třetích stran a útoky s využitím dodavatelského řetězce, takže triky, jako je ten v příkladu se službou Indeed, jsou z krátkodobého hlediska téměř vždy úspěšné, zvláště pokud oběti používají stejná hesla pro více účelů.
Obecnější phishingové útoky jsou důsledkem lenosti, ale přesto jsou efektivní. Jsou to e-maily, které upozorňují na zmeškané zásilky nebo problémy s doručováním pošty. Směřují k tisícům lidí denně a obětí těchto podvodů se stane možná půl procenta lidí či méně.
Pokud jsou zločinci důslední, může jim to měsíčně přinést tisíce čerstvých obětí. Vzhledem k tomu, že je recyklace hesel trvalým problémem, mohou tyto oběti znamenat stovky účtů sociálních sítí a e-mailových účtů, což zvyšuje počet obětí zločinců, protože nyní mohou zahájit nový útok s využitím známého kontaktu jakožto zdroje původu.
Jak se chránit?
Pochybujte o všem a používejte dvoufaktorovou autentizaci (2FA), kdekoli je to možné. Dostali jste e-mail od šéfa, který požaduje citlivé údaje? Zavolejte šéfovi a ujistěte se.
A příklad se službou Indeed výše? Nepoužívejte odkazy z e-mailu a přejděte na weby ručně, abyste tak zajistili, že půjde o správnou doménu. Dostali jste e-mail od banky, který vás vyděsil? Zavolejte místní pobočku a promluvte si se zaměstnancem.
Může se zdát, že je přemrštěné všechno zpochybňovat, a ještě méně důvěřovat, ale bezpečnosti je potřeba si vážit a ověřování je dobrý zvyk.
Ve firemním světě, obzvláště v případě citlivých dokumentů nebo finančních záležitostí, se může ověřování považovat za přidanou hodnotu a důkaz, že berete své povinnosti vážně.
Neposílejte žádost o potvrzení příslušným odesílatelům e-mailu, ale zatelefonujte jim nebo se jich zeptejte osobně (zejména ve firemních záležitostech). Jinak můžete dostat odpověď od zločince, který vám napíše, že je vše v pořádku.
Tento příspěvek vyšel v Security Worldu 3/2018. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU