Každý únik dat a on-line útok, zdá se, zahrnuje nějaký druh pokusu o phishing za účelem odcizit přihlašovací údaje, zahájit podvodné transakce nebo někoho přesvědčit ke stažení malwaru. Začátkem roku 2016 doručovalo 93 procent phishingových e-mailů nějaký ransomware, uvádějí statistiky PhishMe.
Podniky pravidelně připomínají uživatelům, aby si na phishingové útoky dávali pozor, ale mnoho uživatelů ve skutečnosti neví, jak je rozpoznat. Jedním z důvodů je skutečnost, že tyto útoky mohou mít mnoho podob.
„Phishingové útoky mají různé formy a velikost a mohou se zaměřovat na jednotlivce v organizaci, kteří mají přístup k citlivým datům,“ uvádí Shalabh Mohan ze společnosti Area 1 Security.
Uživatelé obvykle nedokážou dobře rozpoznávat podvody. Podle zprávy společnosti Verizon o kybernetické bezpečnosti má útočník, který pošle deset e-mailů s phishingem, 90% šanci, že útoku alespoň jedna osoba podlehne.
To se zdá na první pohled absurdní, ale dává to smysl, když se uvažuje v kontextu uživatelů mimo technologické bubliny jako například v oblasti výroby a vzdělávání.
Přidejte fakt, že ne všechny phishingové podvody fungují stejným způsobem – některé jsou jen jakousi záplavou obecných e-mailů, zatímco jiné jsou pečlivě napsané, tak aby se zaměřovaly na velmi specifický typ osoby – je potom těžší vyškolit uživatele, aby poznali, když taková zpráva není důvěryhodná.
Podívejme se na různé typy phishingových útoků a jak je rozpoznat.
Co je phishing?
Nejběžnější formou phishingu je obecný, hromadně odeslaný typ, kdy někdo pošle e-mail, vydává se v něm za někoho jiného a snaží se oklamat příjemce, aby něco udělal – obvykle se má přihlásit na web nebo stáhnout něco, co obsahuje malware.
Útoky často využívají spoofing e-mailu, kdy je hlavička e-mailu (pole Od: resp. angl. From:) zfalšovaná, aby e-mail vypadal, jako by byl odeslán důvěryhodnou osobou.
Phishingové útoky však nevypadají vždy jako e-mail upozorňující na doručení zásilky od služby UPS, varovná zpráva společnosti PayPal o expiraci platnosti hesel nebo e-mail Office 365 o kvótách pro ukládání dat.
Některé útoky jsou vytvořeny tak, aby se specificky zaměřovaly na organizace a jednotlivce, a jiné se spoléhají na odlišné metody než na e-mail.
Co je spear phishing?
Phishingové útoky dostaly své jméno podle představy, že podvodníci jakoby rybaří a loví náhodné oběti pomocí podvodného e-mailu, který slouží jako návnada. Útoky spear phishing rozšiřují analogii rybolovu (lov harpunou či oštěpem), protože se útočníci specificky zaměřují na oběti a organizace s vysokou hodnotou.
Namísto pokusu získat přihlašovací údaje do banky od 1 000 spotřebitelů útočník považuje za lukrativnější zaměřit se na několik firem.
Útočník zaměřený na stát se může soustředit na zaměstnance pracující pro další vládní agenturu nebo státního úředníka, aby ukradl státní tajemství.
Útoky spear phishing jsou mimořádně úspěšné, protože útočníci tráví hodně času tvorbou informací specifických pro příjemce, jako je například odkaz na konferenci, kterou příjemce právě navštěvoval, nebo poslání škodlivé přílohy, kde název souboru odkazuje na téma, o něž má příjemce zájem.
V nedávné phishingové kampani se skupina Group 74 (známá také jako Sofact, APT28, Fancy Bear) zaměřila na profesionály v oblasti počítačové bezpečnosti pomocí e-mailu, který předstíral souvislost s americkou konferencí Cyber Conflict, již společně pořádali Vojenský kybernetický institut Vojenské akademie USA, Společná vojenská kybernetická akademie NATO a Centrum excelence společné kybernetické obrany NATO.
Přestože je CyCon skutečnou konferencí, byla příloha dokumentem obsahujícím škodlivé makro jazyka Visual Basic for Applications (VBA), který by stáhl a spustil průzkumný malware nazývaný Seduploader.
Co je whaling?
Jiné oběti, jiné peníze. Phishingový útok, který se specificky zaměřuje na vrcholové manažery společnosti, se nazývá whaling (lov velryb), protože jsou oběti považované za vysoce hodnotné, a lze jim tak odcizit cennější informace, než má k dispozici běžný zaměstnanec.
Přihlašovací údaje patřící výkonnému řediteli otevřou více dveří než informace zaměstnance na základní úrovni. Cílem je ukrást data, údaje o zaměstnancích a hotovost.
Whaling také vyžaduje další výzkum, protože útočník potřebuje vědět, s kým zamýšlená oběť komunikuje a jaký druh diskuzí vede.
Příklady zahrnují odkazy na stížnosti zákazníků, předvolání k soudu, nebo dokonce problém na úrovni vysokých manažerských pozic.
Útočníci obvykle začínají se sociálním inženýrstvím, aby shromažďovali informace o oběti a společnosti předtím, než vytvoří phishingovou zprávu pro použití v rámci whalingu.
Kompromitovaný firemní e-mail
Kromě hromadně distribuovaných obecných phishingových kampaní se zločinci zaměřují na klíčové osoby v odděleních financí a účetnictví prostřednictvím podvodů napodobujících firemní e-maily (BEC) a e-maily výkonného ředitele.
Vydáváním se za finanční manažery a výkonné ředitele se tito zločinci snaží podvodem přimět oběti k převodům financí na neautorizované účty.
Útočníci obvykle zkompromitují e-mailový účet vysokého manažera nebo finančního úředníka tak, že využijí existující infekci, nebo pomocí útoku spear phishing. Útočník číhá a určitou dobu sleduje e-mailové aktivity manažera, aby se seznámil s procesy a postupy uvnitř společnosti.
Skutečný útok má podobu falešného e-mailu, který vypadá, že pochází z kompromitovaného účtu manažera a je odeslán někomu, kdo je běžným příjemcem.
E-mail vypadá jako důležitý a urgentní a požaduje, aby příjemce zadal bankovní převod na externí nebo neznámý bankovní účet. Peníze nakonec skončí na bankovním účtu útočníka.
Podle Centra pro stížnosti na internetovou kriminalitu FBI způsobily podvody BEC více než 4,5 miliardy dolarů skutečných a potenciálních ztrát a jsou obrovským globálním problémem.
Co je clone phishing?
Clone phishing (klonování) funguje tak, že útočník vytvoří téměř identickou repliku legitimní zprávy, aby přesvědčil oběť, že je zpráva skutečná. E-mail je odeslán z adresy připomínající legitimního odesílatele a tělo zprávy vypadá stejně jako předchozí zpráva.
Jediným rozdílem je, že příloha nebo odkaz ve zprávě jsou zaměněny za škodlivé. Útočník může napsat něco, co vysvětlí, proč posílá „stejnou“ zprávu znovu, nebo že posílá aktualizovanou verzi.
Tento útok je založen na dříve přečtené legitimní zprávě, čímž je pravděpodobnější, že uživatelé útok nerozpoznají.
Útočník, který již nakazil jednoho uživatele, může tuto metodu použít proti jiné osobě, která také obdržela zprávu, jež je klonována. V jiné variantě může útočník vytvořit klonovanou webovou stránku s podvrženou doménou, aby oběť podvedl.
Co je vishing?
Vishing je zkratka pro „voice phishing“, tedy hlasový phishing, a využívá k tomu telefon. Oběť obvykle přijme hovor s hlasovou zprávou maskovanou jako sdělení od finanční instituce.
Taková zpráva by například mohla požádat příjemce o zavolání na číslo a zadání informací o jeho účtu nebo PIN pro zabezpečení nebo jiné oficiální účely. Váš hovor však zazvoní na čísle útočníka pomocí přesměrování službou VoIP (hlas přes IP).
Nedávno začali zločinci volat obětem a předstírali, že jsou technickou podporou společnosti Apple, a dali uživatelům číslo k vyřešení „bezpečnostního problému“. Podobně jako starý podvod s technickou podporou Windows tyto úskoky využívají obavy uživatelů z toho, že se jejich zařízení dostanou do hackerů.
Co je snowshoeing?
Spam šířený formou snowshoeing, nebo také „hit-and-run“, vyžaduje, aby útočníci odeslali zprávy přes více domén a IP adres. Každá IP adresa odešle malé množství zpráv, takže technologie filtrování nevyžádané pošty založené na reputaci a na objemu nemohou škodlivé zprávy okamžitě rozpoznat a zablokovat. Některé zprávy se tak dostanou do e-mailových schránek dříve, než se je filtry naučí blokovat.
Kampaně využívající princip hailstorm (krupobití) fungují stejně jako snowshoe (sněžnice) kromě toho, že jsou zprávy odesílány během velmi krátké doby.
Některé útoky hailstorm skončí v okamžiku, když je antispamové nástroje zachytí a zaktualizují si filtry, aby blokovaly budoucí zprávy – útočníci však v tu chvíli již přešli k další kampani.
Jak je rozpoznat?
Uživatelé nerozumějí dobře důsledkům podlehnutí phishingového útoku. Přiměřeně znalý uživatel dokáže posoudit riziko kliknutí na odkaz v e-mailu, protože by to mohlo mít za následek stahování škodlivého softwaru nebo následné podvodné zprávy se žádostí o peníze.
Naivní uživatel si však může myslet, že by se nic nestalo nebo by to skončilo jen spamovými reklamami a vyskakovacími okny. Jen nejzkušenější uživatelé dokážou odhadnout potenciální škody způsobené krádeží přihlašovacích údajů a kompromitací účtu.
Tato propast v posuzování rizik uživatelům ztěžuje odpovědné rozpoznávání škodlivých zpráv.
„Navzdory neustávajícím investicím phishingové e-maily nadále pronikají přes technologickou hranici a končí každý den ve schránkách doručené pošty zaměstnanců,“ upozorňuje Rohyt Belani, výkonný ředitel společnosti PhishMe.
Organizace potřebují uvážit potřebný rozsah interních kampaní zvyšujících povědomí a zajistit, aby měli zaměstnanci nástroje k rozpoznávání různých typů útoků.
A také by měly posílit obranu zabezpečení, protože některé tradiční nástroje pro zabezpečení elektronické pošty, jako jsou spamové filtry, dostatečnou obranou proti některým typům phishingu nejsou – například spamové filtry před útoky typu BEC vás neochrání.
Tento příspěvek vyšel v Security Worldu 1/2018. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.