Průvodce phishingem
aneb jak nebýt snadným cílem
Nejrozšířenější typ útoku sociálního inženýrství je phishing, který má zpravidla podobu rozesílání hromadných podvodných e-mailů.
Na první pohled dávno nemusíte nutně poznat, že čtete falešný e-mail. Odesílatel, text i vizuální podoba budou vypadat věrohodně, jako kdyby vám je opravdu poslala škola, banka či jiná instituce nebo přítel. Co vás ale vždycky musí vyburcovat k pozornosti, je požadavek – třeba na změnu hesla, aktualizaci, vypršení lhůty služby, všelijaké potvrzení informací a účtů. Útočník může požadavky zabalit i do kreativnějšího příběhu: oznámení o blížící se exekuci, nezaplacená objednávka, upozornění na šířící se útoky na e-mailové účty. Dokonce vám může přijít e-mail od vás samotných, což opravdu vzbuzuje dojem zcizeného účtu. Zpráva se vás jednoduše bude snažit přesvědčit k řešení (naléhavého) problému, které obvykle začíná nabídkou rychlé pomoci. Tou může být například otevření přílohy nebo kliknutí na odkaz, který vás přesměruje na věrohodně vypadající, přesto ale podvodné stránky konkrétní instituce či služby. Otevřete přílohu či zadáte na falešném webu přihlašovací údaje = a je to, dostal vás. Následky mohou být zřejmé okamžitě, mnohdy trvá týdny, než se vyjeví.
Uložte si odkaz pro hlášení incidentů,
v případě (nejen phishingového) útoku ho budete mít rádi po ruce
Nač si dát pozor aneb jak poznáte phishing?
(Domnělá) autorita
Vedoucí IT oddělení, poskytovatel licenční smlouvy, obyčejný helpdesk, který jsme využili v našem příkladu. Za ty všechny se budou útočníci vydávat, přesto nikdo z nich a žádný jiný správce po vás nikdy nebude chtít zaslat heslo. Nenechte se zmást, vy přece také dokážete podepsat e-mail jako vládce vesmíru (a přitom jím pravděpodobně nejste).
Jak může takový phishing vypadat?
„Vážený uživateli, nyní dochází k útokům na data, proto s okamžitou platností přijímáme opatření. Je nutné změnit heslo. Učiňte tak do 48 hodin na odkaze htttp://is-muni.cz/ics/zmena_hesel. Pokud tak neučiníte, nezajistíme přístup ke všem datům v účtu.“
Helpdesk MUNI helpdesk@muni.cz
Časový pres
Máte hodinu, dva dny, udělejte to okamžitě, odpovězte aspoň na něco? Nedejte se! Vždycky máte čas vyhodnotit relevanci požadavku a případně jeho pravost ověřit – kontaktujte příslušnou instituci. Útočník apeluje na zvědavost, strach... – na lidskost.
Jednoduché řešení
Je jedno jak komplikovaný problém útočník vykreslil, řešení se zdá být vždycky zcela jednoduché (nadiktovat údaje, kliknout na odkaz, přihlásit se do aplikace a něco změnit). Společně s časovým presem to funguje dokonale.
Chybka sem, hrubka tam
Čeština je zákeřná. I proto se sem tam ještě u podvodníků objeví zvláštní chybky, nepřesnosti nebo divná stylistická úprava (oproti tomu grafická stránka už je často velmi zdařilá). I to vám může napovědět, že nekomunikujete zrovna s ředitelem.
Jak se nenechat zmanipulovat?
Nespěchejte & ověřujte
Nikdy se nenechte uhnat k rychlému jednoduchému řešení. Útočník vám často dá limit (do 24 hodin, do konkrétního dne) a je jasné, že některé fabulované situace vás mohou vyděsit (například vybídnutí k zaplacení drahé objednávky, se kterou samozřejmě nemáte nic společného, ale jste upozorněni na případný časový limit jejího stornování). Dopřejte si čas a požadavek ověřte u zdroje (instituce, služba).
Přepište URL adresu
I kdybyste neměli zaplacenou objednávku, jak vám útočník napíše, neklikejte na odkaz v e-mailu, ale otevřete si nové okno, zadejte adresu instituce a proveďte potřebné tam. Jednoduše: čiňte podle sebe, neklikejte na odkazy, které vás k akci vybízejí ve schránce.
Nesdílejte citlivá data necitlivou cestou
Zlozvyk vyžadovat po někom či dobrovolně posílat svoje citlivá data po e-mailu či je sdělovat po telefonu, je v nás hluboko zakořeněný. Soubor (smlouva, potvrzení, osobní údaje pro zaměstnavatele atp.) můžete poslat jako .zip s heslem, přičemž je nutné heslo adresátovi sdělit jiným kanálem (telefonem, přes sociální síť, tedy i tam, kam byste jiné heslo než jednorázové nikdy nenapsali).
Jak to, že o vás tolik věděli?
Ještě vychytralejší varinatou je cílený phishing (spear phishing), jehož podstatou je využití konkrétních informací o vaší osobě nebo pracovišti. Kde je útočník vezme? Inu, kolik informací na sebe prozradíte na internetu dobrovolně, potažmo to za vás dělá někdo jiný (kamarád, zaměstnavatel)? Čím více veřejných citlivých údajů o vás lze dohledat, tím snazší je pro útočníka se vám vnutit – a tím obezřetnější musíte být vy sami. Toto platí nejen pro sdílnost, ale i pro zvědavost (jednoduše: neklikejte na každý odkaz).
Kvíz: rozpoznáte podvodný e-mail?
Hotovo? Ať jste dopadli jakkoliv, je nutné si přiznat, že u testu si člověk dá mnohonásobně větší pozor. Zásadním doporučením zůstává být obezřetný.
Prohlédněte si skutečné příklady
* A co že je na příkladech špatně? Nezapomeňte se pro kontrolu podívat na text pod obrázkem.