O hrozbe a phishingu, v ktorom ide o „rybárčenie“ (fishing) citlivých informácií, bude na konferencii Cypherconf 2015 rozprávať Josef Mruzek  zo spoločnosti ESET. Niečo o tom ako sa pred nimi chrániť, nám porozprával už v predstihu.

Čím sú phishingové útoky špecifické a s akými typmi sa stretávate najčastejšie?
Môžeme ich zaradiť do arzenálu útokov, pri ktorých sa využíva sociálne inžinierstvo, čiže znalosť manipulácie ľudí.  V zásade sa snažia využiť nátlak, nepozornosť, alebo neznalosť užívateľa a prinútiť ho vykonať nejakú akciu, či poskytnúť informáciu. Často krát sa im to darí vďaka tomu, že sa tvária ako nejaká oficiálna inštitúcia, napríklad banka.

Najčastejšie sa môžeme stretnúť s plošnými phishingovými útokmi, ktoré cielia na ľudí používajúcich internetové bankovníctvo alebo elektronické platobné prostriedky. Veľmi časté sú aj phishingové útoky, ktoré chcú získať prihlasovacie údaje do emailových schránok.

Forma útoku je najčastejšie pomocou e-mailu, keď je zaslaný odkaz na stránky, ktoré kopírujú napríklad stránky internetového bankovníctva. Druhou, veľmi častou formou je zasielanie spustiteľných príloh, ktoré obsahujú malware. Ten modifikuje stránky napríklad spomenutého internetového bankovníctva.

Ako môže takýto phishingový útok konkrétne vyzerať?
Dostanete email  s odkazom a úvodným textom. Ten napríklad hovorí, že si musíte zmeniť prístupové heslá do banky, pretože bol zistený útok na váš účet. Užívateľ, ktorý na odkaz klikne, je opäť presmerovaný na stránku, ktorá vyzerá ako web banky, ale v skutočnosti vedie niekam inam.

Ďalším častým prípadom je získavanie prístupu do emailovej schránky človeka, pretože tá býva bránou do ďalších služieb na internete a často má rovnaké heslo ako ostatné služby, ktoré užívateľ používa. Nemusí to byť teda len banka, ale takisto napríklad internetové platobné systémy (Paypal, Skrill), sociálne siete a iné internetové služby.

V posledných mesiacoch sa aj u nás objavilo viacero článkov, ktoré varovali pred týmito útokmi. Dá sa teda povedať, že títo kybernetickí rybári objavili Slovensko?
Stále trvá, že väčšina útokov je smerovaná na USA. Phishing, ktorý smeroval na Slovensko alebo do Česka, bol väčšinou v angličtine, alebo vo veľmi skomolenom domácom jazyku. Dnes sa však už stretávame s tým, že útočníci spolupracujú s človekom, ktorý jazyk danej krajiny pozná. 

Je tu teda nárast jazykovo upravených a lokalizovaných phishingov najmä na klientov našich bánk, vrátane lokalizovaných textov vo phishingových e-mailoch. To spôsobuje, že tieto emaily pôsobia dôveryhodnejšie.

Čo potom útočníci s týmito informáciami robia?
Najčastejšie sa zameriavajú na zbieranie prihlasovacích údajov do bankovníctva, na zber informácií o platobných kartách a osobné údaje. Tieto údaje môžu následne zneužiť na to, aby previedli peniaze klienta na svoj účet, uskutočnili platby na internete, alebo aby mohli urobiť nejaký podvod s cieľom získania peňazí.

Existujú rôzne skupiny, ktoré spolupracujú a vymieňajú si informácie. Niektoré sa zameriavajú na získavanie údajov od obetí, iné na získanie peňazí z bankových účtov, napríklad za pomoci nastrčených a nič netušiacich ľudí a tak ďalej.

Útok môže smerovať aj k získaniu cudzej identity, alebo v prípade útokov cielených na zamestnancov organizácií k získaniu citlivých informácií, ktorými disponuje len konkrétny zamestnanec. 

Načo si má užívateľ dať pozor, aby sa nestal obeťou phishingového útoku?
Tých vecí je pomerne dosť, ale asi najdôležitejšia je obozretnosť. Pokiaľ dostane email od neznámeho zdroja, ktorý ho niekam odkazuje, tak by si ho mal preveriť, alebo vôbec nereagovať a hlavne neklikať na odkazy, ktorých zdroj nepozná.

Samozrejme, nikde okrem oficiálnej stránky prihlasovania by nemal zadávať svoje heslá a údaje z karty. Banka po ňom tiež nikdy nebude chcieť, aby ich nahlásil cez e-mail alebo telefón. Pokiaľ by mu prišiel oficiálne vyzerajúci mail, tak by mal do inštitúcie zavolať a informovať sa, či je to skutočný email od banky, alebo podvrh, prípadne vstúpiť na webové stránky obvyklým spôsobom a nie cez odkaz, ktorý prišiel e-mailom. 

Ďalšia veľmi dôležitá vec je používanie antimalwarového softwaru, ktorý má v sebe väčšinou zabudovanú aj ochranu proti phishingovým útokom.

Na konferencii budete hovoriť o phishingu za oponou, čo za ňou môžeme nájsť?
Takzvané phishing kity, z ktorých sme schopní získať informácie o tom, kam sa získané dáta odosielajú a akým spôsobom máme na útok reagovať, s cieľom dostať ho pod kontrolu a napokon aj úplne zastaviť. To je vo chvíli, keď sa inštitúcia dozvie o prebiehajúcom útoku, najdôležitejšie.

Miesto, kam sa informácie odosielajú, sa snažíme „zablokovať“ a ideálne získať informácie o tom, kto už aké údaje zadal. Inštitúcia tak môže analyzovať, či sú relevantné alebo nie.

Ďalšou dôležitou vecou za závesom sú aj informácie o tom, ako si útočníci phishingové útoky stavajú. Na ich techniky tak môžeme nadväzovať efektívnou ochranou.

Existujú nejaké štatistiky úspešnosti phishingových útokov?
Keď sa zameriame na phishing, ktorý cieli na klientov bánk, tak to vedia asi len tie banky. Napríklad jedna z posledných štúdií spoločnosti RSA odhadovala za december 2014 globálne straty spôsobené phishingovými útokmi na 450 miliónov dolárov.

Ako si útočníci vyberajú svoje ciele? Globálne alebo sa sústredia na konkrétny subjekt?
Najmä u plošných útokov si zvolia konkrétnu inštitúciu, napríklad nejakú slovenskú banku. Pripravia si „zrkadlo“ jej stránky tak, aby vyzeralo presne ako prihlasovacia stránka do ich bankovníctva. Potom odošlú mail s falošným linkom na všetky e-mailové adresy, o ktorých sa môžu domnievať, že sú slovenské.

Môže sa však stať aj to, že niektorej spoločnosti unikne zoznam zákazníkov. Vtedy môže útočník cielene poslať maily iba klientom danej banky.

Pokiaľ sa budeme baviť o cielených phishingoch, keď chcú útočníci získať tie najdôvernejšie informácie konkrétnej firmy, tak sa najčastejšie zamerajú na jej manažment. Ten má totiž často výnimky z bezpečnostných pravidiel.

ilustračný príklad phishingu: email je poslaný z inej domény ako je oficiálna doména služby PayPal, text emailu obsahuje chyby a odkaz, ktorý má viesť na stránku služby PayPal vedie na úplne inú adresu, zdroj obrázku: wikimedia.org/Crysman

Ako vedia „ušiť“ takýto útok na mieru?
Útočník snaží o konkrétnom človeku získať čo najväčšie množstvo informácií, v čom mu v súčasnej dobe pomáhajú najmä sociálne siete, na ktorých o sebe ľudia zverejňujú množstvo informácií o svojom osobnom a pracovnom živote.

Následne sa snaží zacieliť phishing tak, že pošle konkrétnemu človeku e-mail, s cieľom čo najviac ho zaujať a motivovať k akcii. Často sa mail môže tváriť, že pochádza od známej osoby.

Ak je jeho obeť vášnivým golfistom, tak mu môže poslať napríklad odkaz na článok o golfe. Na odkazovaných stránkach vedľa samotného článku je umiestnený malware, ktorým sa počítač obete môže infikovať. Ale to sú už naozaj prešpekulované a cielené útoky, s ktorými sa stretávame menej.

Pomáha pri obrane pred útokmi osveta?
Áno, ale je to ťažké, pretože phishingové útoky zväčša mieria na najslabší článok reťazca, ktorým je užívateľ. Vo fyzickom svete nás najskôr učia prežiť rodičia, či škola, kde vám povedia, že nemáte chodiť na červenú a podobne. Nikto vás však neučí ako prežiť vo virtuálnom svete, pretože to veľakrát sami nevedia. Vzdelávať užívateľov je práve na finančných inštitúciách, prípadne na strane školstva. Pokiaľ sa na to pozrieme z pohľadu útokov na zamestnancov organizácií, tak je na zamestnávateľoch, aby robili priebežné školenia.

Je phishing u nás legálne postihnuteľný?
Nie som právnik, ale keď sa na to pozriem z pohľadu laika, tak pri bankovom phisingu od užívateľov podvodom vylákate informácie o platobných prostriedkoch a prihlasovacích údajoch, čo je v rozpore s Trestným zákonníkom. Keď tieto informácie následne zneužijete v platobnom styku, určite porušuje aj ďalšie zákony. Napriek tomu nájsť a usvedčiť páchateľa takéhoto tesného činu, je v súčasnej dobe veľmi ťažké. Predovšetkým kvôli tomu, že väčšina páchateľov nepochádza z Českej ani Slovenskej republiky a ani sa tu nenachádzajú.  

Sú teda naše dáta podľa vás v bezpečí?
Vo všeobecnosti dáta v informačných systémoch na internete nie, rovnako, ako nie je v bezpečí naše auto, či už na parkovisku, alebo v garáži.

Samozrejme, je mnoho subjektov, ktoré pre zlepšenie bezpečnosti robia veľmi veľa, no na druhú stranu je aj mnoho takých, ktoré bezpečnosť ignorujú a k únikom dát teda dochádza.