Whaling: Nahradí „velrybářství“ klasický phishing?

12. 11. 2008

Sdílet

Bezpečnostní experti doporučují být na pozoru. I když dostanete e-mail s přílohou od někoho, koho „znáte“ (třeba nadřízeného), měli byste si podle nich u onoho člověka ověřit, co má daná příloha obsahovat.

Přesně cílené phishingové útoky menšího rozsahu poháněné daty získanými ze sociálních webů a prolomených korporátních databází se přesunují z neškodné teorie do hrozivé praxe. Oč vlastně ve whalingu jde a jak to funguje?

Již po několik let vědci varují před tím, že phisheři mohou obrátit svou pozornost k vysoce personalizovaným útokům mířeným na konkrétní, vysoce postavené firemní pracovníky – jinak řečeno k „whalingu“. Nyní se hrozba pravděpodobně stává skutečností, neboť na světlo světa vychází stále více náznaků, že tyto typy útoků probíhají ve stále větší míře (koncem minulého roku například vůči společnosti SalesForce.com). Důvody? Zločinci mají stále lepší přístup k informacím, které potřebují k tomu, aby mohli e-maily napsat opravdu věrohodně. Tato data získávají buďto průniky do korporátních databází nebo ze sociálních webů typu LinkedIn či MySpace, kam zaměstnanci píší stále více osobních údajů.

Jako všechny cílené phishingové útoky zahrnuje i whaling využívání osobních informací. Rozdíl je ovšem v tom, že v případě whalingu je vždy mířeno na jedince, jejichž zkompromitované údaje neohrozí jen je, nýbrž celou organizaci (v některých případech nejen jejich). Tyto osoby jsou vybírány s velkou péčí a počet distribuovaných e-mailů je velice omezený. Zatímco při klasických phishingových útocích se prostřednictvím botnetů a v nich obsažených zombie počítačů rozešlou miliardy e-mailů, při whalingu to bývá od několika desítek po maximálně pár tisíc zpráv. Konvenční metody pro identifikaci phishingových útoků většinou staví na detekci velkého množství identických zpráv, což hraje do karet whalingovým e-mailům, které nejsou díky malému objemu klasickými způsoby odhalitelné.

Jelikož je případné oklamání zvolených cílů tak významné, mohou si útočníci dovolit strávit pracemi na falzifikátech legitimních e-mailů mnohem více času a učinit je tak velice věrohodnými. Základem úspěšného whalingového útoku jsou informace o zamýšlených obětech – čím specifičtější, tím lépe. Každá zpráva rozeslaná whalery obsahuje minimálně plné jméno a funkci všech potenciálních obětí, většinou je však konkrétních informací mnohem více.

Zdrojem dat užívaných whalery jsou nezřídka databáze organizací, v nichž potenciální oběti pracují, nebo databáze společností, s nimiž firma zvoleného cíle obchoduje. Útočníci informace někdy získávají také prostřednictvím dalších phishingových výpadů, čímž se dostáváme k velice sofistikovaným plánovaným útokům v několika krocích.

Protože whalingové zprávy nezřídka obsahují i takové informace, jako jsou telefonní čísla obětí a jelikož někdy whaleři nastaví zombie počítače tak, aby na dotazy k bezpečnosti e-mailové přílohy posílaly automatickou odpověď typu: „Neboj se, klidně tu přílohu otevři“, je mnohem těžší rozpoznat takovýto útok. Dalším faktorem hrajícím do karet zločincům je ten, že se whaling většinou zaměřuje spíše než na IT funkcionáře na obchodníky a jiné členy (ne-IT) vedení, kteří nemívají takové povědomí o počítačové bezpečnosti a bývají důvěřivější. Mimoto cílem whalingových útoků většinou není přímé získání informací, ale spíše nasazení malwaru (např. keyloggeru), který zločincům zajistí dlouhodobý přísun aktuálních dat. A protože se e-mail většinou tváří jako pracovní a navíc se neptá na osobní informace jako je číslo kreditní karty, domnívají se oběti většinou, že jde o neškodnou záležitost.

Ačkoli již byly zveřejněny detaily o několika whalingových útocích (největším byl právě ten na Salesforce.com z konce minulého roku), varují experti, že jde o netypické zástupce a většina whalingových útoků zůstává nezpozorována. Publikované případy byly většinou odhaleny kvůli svému přílišnému rozsahu přesahujícímu co do počtu obětí rámec klasického whalingu.

Bezpečnostní experti doporučují být na pozoru. I když dostanete e-mail s přílohou od někoho, koho „znáte“ (třeba nadřízeného), měli byste si podle nich u onoho člověka ověřit, co má daná příloha obsahovat. Zde by organizace měly zapojit bezpečnostní IT experty, kteří vedení vysvětlí, že by mělo být při zacházení s přílohami nanejvýš opatrné, ať už je odesílatelem kdokoli. Někteří analytici však varují, že tato školení nejsou dlouhodobě příliš efektivní. Alternativou je tedy proces nazývaný „očkování“, kdy IT oddělení opakovaně zaměstnancům rozesílá falešné whalingové e-maily a kontroluje, zda se chytí na lep a přílohu otevřou. Pokud ano, zobrazí se jim výstražná zpráva ve stylu „Kdyby toto odeslali zločinci, byl by váš počítač právě napaden…“

Viz také:
Autorům phishingu raději nenadávat
Sociální inženýrství je stále chytřejší