Close

27/10/2015

Spear phishing: Cielený podvod priamo na vás

Jedným z najpopulárnejších kybernetických útokov je phishing. Jeho sofistikovanejšia forma, spear phishing, je síce menej rozšírená, ale o to nebezpečnejšia. Tento druh útoku sa od klasického phishingu zameriava na konkrétnu osobu a nie na masy ľudí.

Útočníkovi nestačí „iba“ kúpa databázy e-mailových adries a zručnosť v písaní dôveryhodne vyzerajúcich správ. Pre zvýšenie svojich šancí na úspešné uskutočnenie útoku musí o potenciálnej obeti zistiťdostatočné množstvo doplňujúcich informácií.

Zneužijú dôveru a verejné údaje

Na prvý pohľad môže vyzerať spear phishing rovnako ako bežný phishingový útok. Obsah správy, ktorú obeť dostane cez sociálne siete, e-mail či SMS, je vytvorený pomocou metód sociálneho inžinierstva. Zámerom útočníka je vyvolať v obeti dôveru a následne ju aj zneužiť.

Cieľom takéhoto útoku je väčšinou menšia skupina ľudí či dokonca len jednotlivci. Zameriava sa na špecifických ľudí, ktorí majú napríklad prístup k citlivým firemným údajom alebo rozhodujú o dôležitých otázkach. Prioritou útoku veľakrát nebýva vylákanie prihlasovacích údajov k internet bankingu obete, ako je to zvykom pri „klasickom“ phishingu.

„Z nášho pohľadu skôr spear phishing vnímame tak, že podvodníci sa snažia útočiť na konkrétne osoby vnútri banky, aby zneužili alebo získali nejaké nie oprávnené prístupy dovnútra banky,“ poukázal šéf bezpečnosti Slovenskej sporiteľne Ján Adamovský.

Útočník sa snaží dosiahnuť to, aby obeť otvorila odkaz alebo stiahla prílohu vo falošnej správe. Pomocou nich sa totiž do zariadenia môže nainštalovať malvér, ktorý potom vykonáva útočníkom kontrolované škodlivé činnosti.

„Po kliknutí na link alebo otvorení prílohy sa počítač obete automaticky infikuje bez akejkoľvek ďalšej interakcie zo strany používateľa,“ upozorňuje výskumník Stefan Tanase zo spoločnosti Kaspersky Lab. „Útočníci sa pri tejto technike zvyčajne spoliehajú na diery v systéme (tzv. „exploity“), čiže škodlivé kódy, ktoré využívajú zraniteľnosti softvéru vo vyhliadnutom počítači,“ dodáva.

Podvodníkovi môže škodlivý kód odosielať rôzne dokumenty a súbory. Mohol by tiež fungovať ako keylogger, čiže mu posielať všetky znaky zadané na klávesnici zariadenia. Útočník je za istých okolností dokonca schopný získať aj úplnú kontrolu nad zariadením obete. Rovnako sa tak vie aj šíriť medzi ďalšími zariadeniami, ktoré sú v internej sieti spoločnosti.

Založené na personalizácii

Výnimočnosť takýchto správ je práve v ich personalizácii. Správa posielaná obeti je totiž vytvorená presne pre ňu, podľa informácií, ktoré o nej útočník v predstihu získal. Podvodník je teda nútený vykonať dôkladnejší prieskum o svojej obeti.

Informácie o svojom cieli môže získať z mnohých zdrojov. „Pri spear phishingových e-mailoch útočník získa najprv dostatočné množstvo informácií z verejne dostupných zdrojov, prostredníctvom sociálneho inžinierstva, prípadne kompromitácie organizácie alebo známych obete (obchodných partnerov, priateľov alebo spolupracovníkov),“ vysvetľujú pre Živé.sk experti z útvaru CSIRT.SK (Computer Security Incident Response Team Slovakia), ktorý sa zaoberá riešením bezpečnostných incidentov.

Opatrne na sociálnych sieťach

Sociálne siete sú bohatým zdrojom informácií, ktoré môžu využívať útočníci pri vykonávaní svojej činnosti. Veľká väčšina ľudí má totiž vytvorené profily na Facebooku či Twitteri, pričom nie vždy dbajú na ochranu súkromia.

Dozvedieť sa, kedy bol človek narodený, kam chodil do školy, kde býva a pracuje teda už nie je veľkým problémom. Z profilu na Facebooku sa často dá aj odsledovať, s kým je vo vzťahu a kto sú jeho blízki priatelia.i

„Sociálne siete sú bohatým zdrojom informácií, ktoré môžu využívať útočníci pri vykonávaní svojej činnosti“

Množstvo informácií sa dá zistiť aj z obyčajných statusov, v ktorých ľudia spomínajú osobné zážitky a situácie. Pri dôkladnom prieskume si útočník vie vytvoriť dostatočný profil svojej obete tak, aby pôsobil dôveryhodne a presvedčil ju o tom, že ju pozná.

Dôležitým aspektom, ktorý môže napomôcť podvodníkovi, je tiež geografická poloha obete alebo podujatia, ktoré plánuje navštíviť. V tejto súvislosti bezpečnostný útvar CSIRT.SK, zriadený Ministerstvom financií SR, varuje: „Útočník v tomto prípade používa referencie na známe skutočnosti, udalosti alebo osoby. Súčasne e-mail môže byť písaný očakávaným štýlom od očakávaného odosielateľa a môže sa týkať očakávanej udalosti.“

„E-mail sa tvári akoby bol odoslaný známou osobou alebo inštitúciou. Odosielateľ e-mailu je sfalšovaný,“ dodáva Jaromír Hořejší, bezpečnostný analytik spoločnosti Avast Software.

Ako príklad môže poslúžiť situácia, keď na sociálnej sieti uvediete, že budúci týždeň sa zúčastníte festivalu. Útočník si môže na danej sociálnej sieti vytvoriť falošný profil pod menom vášho kamaráta a poslať vám správu.

V nej vás bude oslovovať vaším menom, pričom správa sa bude týkať udalosti, na ktorú ste predtým na sociálnej sieti potvrdili svoju účasť. V texte vám takisto pošle falošný odkaz vydávajúci sa napríklad za program daného festivalu, ktorý však v skutočnosti infikuje vaše zariadenie škodlivým kódom.

Hra na falošnú autoritu

Útočník si síce môže vytvoriť falošný profil či e-mailovú adresu, avšak nastať môže aj prípad, že bude reálne písať zo zariadenia vášho známeho. Toto zariadenie musí byť vopred infikované malvérom alebo odcudzené. Pri neoprávnenej manipulácii s ním je pre útočníka nesmiernou pomocou povolenie automatického prihlásenia alebo ukladania hesla na webovú stránku.

Podvodná správa nemusí byť odoslaná len v mene vášho známeho. Útočník by sa totiž mohol pokúsiť vzbudiť vo vás dôveru e-mailom, ktorý odoslala nejaká autorita.

Príklad spear phishingu. Útočník zrejme vedel, kedy a od koho príjemca čaká finančné podklady.

Príklad spear phishingu. Útočník zrejme vedel, kedy a od koho príjemca čaká finančné podklady.

„Základnou metódou spear phishingu je vydávanie sa v e-maile za vedúceho pracovníka firmy, ktorý zasiela niečo svojim podriadeným. Môže sa jednať o tajný dokument, doplnok ku práci, atď.,“ zdôraznil Michal Cebák z AVG VirusLab.

Napríklad na váš pracovný e-mail príde falošná správa, v ktorej je uvedený ako odosielateľ váš nadriadený. V texte môžete byť oslovení ako zvyčajne a môže sa týkať projektu, na ktorom aktuálne pracujete.

„Základnou metódou spear phishingu je vydávanie sa v e-maile za vedúceho pracovníka firmy, ktorý zasiela niečo svojim podriadeným.“

Michal Cebák z AVG VirusLab

Keďže sa útočník snaží vaše zariadenie infikovať, do prílohy nahrá škodlivé súbory. V domnení, že prijímate materiály od nadriadeného, si ich stiahnete, čo spôsobí kompromitáciu zariadenia. V dôsledku toho môžu uniknúť dôverné firemné a osobné dokumenty.

„Najhoršie na spear phishingu je, že častokrát stačí len jedno kliknutie, jedna úspešná infiltrácia z obrovského množstva aj tých neúspešných a útočník je vo vnútri vašej firmy,“ uviedol bezpečnostný expert Pavol Lupták.

Dôležitá je prevencia

To, že ste sa stali obeťou spear phishingu, nemusíte zistiť okamžite. Váš počítač môže byť infikovaný škodlivým kódom, ktorého činnosť sa aktivuje až s odstupom času. Zmiasť vás môže aj povaha e-mailu, ktorého cieľom je pôsobiť čo najdôveryhodnejšie.

„Vzhľadom na to, že e-mail je takto zostavený, nemá obeť v mnohých prípadoch veľa možností ako odhaliť phishingový útok. Existuje ešte možnosť overenia si zaslania takéhoto e-mailu telefonicky alebo osobne,“ dodáva útvar CSIRT.SK.

Dôležité je dôkladne sa pripraviť na možnosť cielenia podobného kybernetického útoku. Rovnako by ste útočníkovi nemali dať šancu ani na zneužitie vášho mena.

Dodržujte pár zásad

Na dosiahnutie čo najvyššej bezpečnosti treba dodržiavať niekoľko zásad:

1. Zariadenia si chráňte

V prvom rade je vhodné zabezpečiť všetky vaše zariadenia heslom, prípadne kódom PIN. Často sa v nich nachádza obsah, ktorý podvodníkovi po odcudzení vhodne poslúži.

2. Zakážte autologin

V súvislosti s minimalizáciou škody, ktorá môže nastať po neoprávnenom použití zariadenia, je rôznym webovým službám, e-mailovým klientom či aplikáciám pre mobilné zariadenia vhodné zakázať automatické prihlasovanie. V prípade prelomenia ochrany zariadenia by totiž útočník mal plný prístup k dôverným informáciám.

3. Menej detailov na sociálnych sieťach

Rovnako je vhodné obmedziť aj informácie, ktoré o sebe zverejňujete na sociálnych sieťach. Ich zneužitie podvodníkovi pomáha vzbudiť dôveru a tá zvyšuje šance na získanie osobných údajov.

Pomôže aj jednoduchá kontrola

V prijatých e-mailoch však netreba vždy krvopotne hľadať skryté náznaky o vylákanie informácií. Zistiť, že ide o útok cielený priamo na vás, sa dá aj prostredníctvom kontroly odosielateľa prijatej správy. Podvodníka by totiž aj napriek dokonalému textu prijatého e-mailu mohla prezradiť adresa, z ktorej ho odoslal.

Ak by totiž váš nadriadený alebo obchodný partner na pracovnú komunikáciu predtým výlučne používal firemný mail, správa prijatá z bezplatnej domény by u vás mala vyvolať aspoň miernu dávku podozrenia.

Stále však nemusí ísť o spear phishing. Na uistenie sa o legitímnosti prijatej pošty je v tomto prípade vhodné najskôr kontaktovať údajného odosielateľa e-mailu iným spôsobom, napríklad telefonicky.

Nemenej dôležitým aspektom ochrany je aj prítomnosť aktuálnej verzie antivírusového softvéru. Útočníci sa totiž k vašim údajom nemusia pokúšať dostať len prostredníctvom metód sociálneho inžinierstva, ale aj cez infikované súbory, na ktoré môžu odkazovať vo falošnom e-maile.

zdroj: zive.sk

 

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *