Podvod „nigérijského princa“, známy aj ako „419 scam“ (podľa paragrafu 419 nigérijského trestného zákonníka), sa začal šíriť v 80. a 90. rokoch 20. storočia s nástupom e-mailovej komunikácie. Hoci korene tohto podvodu siahajú až do 18. storočia, keď bol známy ako „španielsky väzeň“ a šíril sa pomocou listov, s jeho obmenenou formou sa môžeme stretnúť aj dnes v podobne takzvaných phishingových e-mailov. Niektorí sa s phishingovými e-mailmi stretávajú na dennej báze, iní sporadicky, no pevne verím, že sú notoricky známe každému. Málokto však vie, že tieto útoky v rámci plejády možností phishingových útokov predstavujú len úroveň základnej školy. Cielené phishingové útoky či celé kampane nás môžu v pomyselnej úrovni dostať až na strednú školu. Sofistikované kampane mierené na vedúcich pracovníkov dokonca až na vysokú školu.
Tak ako je rozdiel medzi základnou a strednou školou v komplexnosti, ktorú je nutné zvládnuť, aj cielené phishingové útoky sú oveľa komplexnejšie.
Základná premisa pri jednoduchých phishingových útokoch je, že sú posielané veľkému množstvu používateľov s malým percentuálnym úspechom. Keďže však posielanie e-mailov, ako aj získanie e-mailových adries je veľmi lacné, aj tento malý percentuálny úspech je dostatočný. Tieto útoky sú často neosobné, používajú všeobecné informácie a oslovenia a majú za cieľ získať citlivé údaje, ako sú heslá alebo bankové informácie.
Naproti tomu cielené phishingové útoky (spear-phishing) sú založené na opačnej premise. Ako ich názov napovedá, cielený útok je mierený na malú skupinu používateľov či dokonca na jednotlivca. Informácie v týchto e-mailoch sú šité na mieru danej skupine používateľov. Práve dôveryhodnosť informácií v e-mailoch robí tieto útoky oveľa nebezpečnejšími, pretože informácie obsiahnuté v e-maile pôsobia presvedčivejšie. Samozrejme, aj z technickej stránky sú tieto útoky sofistikovanejšie – e-maily používajú podvrhnuté či kompromitované e-mailové adresy, sú napísané bez preklepov, použité logá sú presné a tak ďalej. Práve sme sa dostali na pomyselnú úroveň strednej školy.
Pýtate sa, ako útočník získa informácie, aby takýto cielený phishingový e-mail vytvoril? Jednoducho ste mu ich dali sami. Z verejne dostupných zdrojov, ako sú napríklad webové stránky, útočník získa obrovské množstvo dát. Okrem základných informácií, ako je sídlo vašej spoločnosti, aké e-mailové adresy používate, získa aj prehľad o tom, čo sa vo vašej firme aktuálne deje. Máte na stránke „Novinky“ či „Blog“? Útočník potom poľahky zistí, či u vás prebieha migrácia alebo spúšťate nový produkt. To však ani z ďaleka nie je všetko. Oveľa presnejšie informácie dokáže získať zo sociálnych sietí, ktoré používate na komunikáciu a propagáciu značky. S kým komunikujete na sociálnych sieťach, konkrétne mená na marketingovom oddelení, mená zamestnancov a tak ďalej. Útočník potom všetky tieto informácie použije na zostavenie presvedčivého e-mailu, ktorý bude navyše cielený na konkrétnu skupinu používateľov a situáciu.
Ak vás práve prepadla úzkosť či nervozita, verte, že stále sme len na strednej škole. Keby sme sa chceli pozrieť na vysokú školu, okruh by sme zúžili na ešte menšiu skupinu zamestnancov, napríklad na vedúcich pracovníkov. V takomto prípade útočníci prehľadávajú všetky dostupné sociálne siete, získavajú telefónne čísla, organizujú osobné stretnutia. Celý útok na takúto špecifickú skupinu potom nie je len jedným e-mailom, ale celou kampaňou spolu s kontextuálnymi informáciami, telefonátmi a celými falošnými webovými stránkami. Áno, správne, tak ako vedia podvrhnúť e-mailovú správu, vedia vytvoriť aj falošnú webovú stránku. Práve tento typ útoku cielený na najvyššie postavených členov spoločností sa po anglicky nazýva whaling – lovenie veľrýb.
Útočníci navyše môžu použiť umelú inteligenciu (AI) a tieto kampane doslova vytvárať podľa potreby a takmer na počkanie. Zadania pre AI ako „Vystupuj ako profesionálny marketér potenciálneho zákazníka a vytvor pútavý e-mail na nadviazanie prvotnej komunikácie. Zdôrazni, že pri využití dole uvedeného odkazu mu bude v úvodnom týždni poskytnutá výrazná zľava. Pri získaní kontaktu sa odvolaj na platformu LinkedIn...“ nie sú dnes ničím neobvyklým. Podobné zadania môžu byť použité nielen na vytváranie príbehu z kontextuálnych informácií, ale aj na generovanie samotných webových stránok, respektíve celej kampane. A na tomto príklade vidieť, ako by vyzeral útok zodpovedajúci v našej pomyselnej úrovni vysokej škole.
Phishing ako vektor útoku je medzi hekermi mimoriadne obľúbený. Niektoré prieskumy dokonca ukazujú, že až v 90 percentách prípadov kybernetických útokov bol tento vektor v nejakej forme použitý. Tento fakt je zapríčinený tým, že najmä pri masových phishingových kampaniach samotná phishingová správa nezneužíva technickú zraniteľnosť, ale zameriava sa na psychologické aspekty osoby, ktorá bude e-mail čítať. De facto môžeme povedať, že princíp týchto podvodných správ sa od 18. storočia nezmenil. Zmenila sa iba technická realizácia.
Pri tvorení obrany pred phishingom je teda nutné brať do úvahy ako samotnú technickú stránku, tak aj tento nezanedbateľný psychologický rozmer. Medzi tie technické prvky obrany, ktoré používame pri phishingových e-mailoch ako štandard, patrí viacfaktorová autentifikácia a používanie e-mailových kontrol. Ak sa však chceme zamerať na phishing komplexne, nesmieme vynechať ani vzdelávanie zamestnancov. Navyše obe tieto roviny ochrany musia byť nastavené špecifickejšie pre potenciálne obete cielených phishingových kampaní. Tak ako jedna veľkosť nesedí všetkým, tak aj nastavenie zabezpečenia e-mailovej komunikácie musí reflektovať rôzne potreby zabezpečenia pre rôzne skupiny zamestnancov. Napríklad nastavenie e-mailovej brány môže mať rôzne politiky pre vedúcich pracovníkov a tých, ktorí nevystupujú vo verejnej komunikácii. Najdôležitejšie je však takýmto spôsobom pristupovať aj k vzdelávaniu v oblasti phishingových e-mailov – pracovníci, ktorí vystupujú verejne, by mali mať obsiahlejší phishingový tréning obsahujúci aj problematiku cielených phishingových útokov.
Viac informácií nájdete na www.aliter.com.
Tento článok označovaný ako We Know How vznikol v spolupráci s komerčným partnerom.
