23. 5. 2022
Phishing, nebo-li podvodné vylákání citlivých údajů uživatele, začíná většinou na základě podvodného e-mailu s falešným obsahem za účelem další akce.
Na internetu je stále dokola omílaná poučka "Neklikejte na neznámé přílohy, odkazy či obrázky." nebo "Buďte k doručeným e-mailům skeptičtí a vždy nejdříve přemýšlejte.". Bohužel je (a bude) to málo - doba funguje opačně, nenutí lidi s technologiemi příliš přemýšlet, člověk při procházení svého inboxu dělá další dvě věci (poslouchá hudbu, cestuje v MHD apod.). Soustředí se tedy na obsah a přílohy e-mailu?
Příklad z praxe
Nedávno jsem objevil poměrně úspěšný phishing, který za pouhých 5 dní dokázal obelhat stovky lidí. Konkrétně šlo o uživatele e-mailových schránek u centrum.cz a centrum.sk. Ti dostali zprvu e-mail, že jejich e-mail je omezen. Pro obejití antispamových a antivirových filtrů třetí strany od virusfree.cz, které centrum.cz od roku 2018 používá, stačilo e-mail ručně rozeslat ze serverů centrum.cz. Jak prosté je obejití "špičkového" filtračního řešení :-)
Foto: opravdu takto primitivně může vypadat úspěšný phishingový e-mail.
Odkaz "ÄKTUALIZÄCE" vedl na podvodnou stránku na cizí doméně, která vypadala totožně, jako přihlašovací stránka do e-mailu na Centrumu a vybízela k přihlášení. Podvodnou stránku stačilo ověřit pohledem do URL adresy v prohlížeči, kde byla nezašifrovaná cizí doména.
Foto: falešný formulář je téměř k nerozeznání od originálního (většina kódu je zkopírovaná).
Sebrané údaje si útočník posílal na svůj Gmail, odesílal si je do aplikace v Telegramu a mj. je ještě zapisoval do logu na serveru. Po získání přihlašovacích údajů se pokusil podstrčit rovnou falešnou stránku na platbu kartou s titulkem "Peníze nebudou strženy jen za účelem ověření účtu". Tam úspěšnost útoku naštěstí již rapidně klesla (i když pár jedinců se našlo a údaje své karty vyplnili také!).
Foto: log s identifikátory a přihlašovacími údaji uživatelů.
Rizika zneužití
E-mail pro útočníky představuje lehký cíl a zároveň velký zisk - pro většinu lidí je e-mail jakási elektronická vstupenka do digitálního světa. Většina služeb na internetu se registruje právě na e-mail. A pokud k němu má útočník přístup, nebude mít problém např. resetovat hesla k požadovaným dalším službám a získat k nim plné přístupy vč. sociálních sítí apod. Další dopady a rizika ať si každý domyslí.
V rámci své iniciativy jsem všechny postižené uživatele kontaktoval s informacemi o bezpečnostním incidentu a doporučeními na změny hesel ke svým e-mailům / službám. Dále úzce spolupracuji s příslušným oddělením Policie ČR.
Závěrečná doporučení
1) Informovat, informovat, informovat
Tým je tak silný, jako jeho nejslabší článek. Na internetu to platí dvojnásob. Pokud například účetní pustí do firemní sítě sofistikovaný ransomware v dobré víře, že jde o fakturu od odběratele či kolegy, tak počítejte s tím, že návrat sítě a systémů do původního stavu nebude stát jednotky a mnohdy ani desítky tisíc korun (pokud Vám tedy nebude stačit čistý formát bez záchrany dat :-)). Proto je dobré pravidelně investovat do školení zaměstnanců. Řádově jde o zlomky nákladů v porovnání s riziky.
2) Používejte pouze kvalitní infrastrukturu
Při vší úctě a respektu k freemailům od Seznam.cz, Centrum.cz či Volny.cz (v roce 1996 to byla opravdu revoluce!), dnes tito poskytovatelé nepředstavují kvalitní ani bezpečné řešení (navíc mnohdy je zcela nevyvíjené). Na firemní ani soukromou komunikaci bych také nedoporučoval E-mail Profi od Seznamu. Soukromí dat je velkou otázkou (viz Smluvní podmínky služby). Vývoj a provoz poskytovatele stojí miliony korun ročně a monetizace služby žádná. Navíc kvalita služby, sdílená infrastruktura s desítkami tisíc uživatelů, není to pravé pro stabilitu a korektní doručování/odesílání e-mailů.
3) Aktualizujte svá hesla
Čas od času si změňte své heslo, nelépe ke všem důležitým službám. Nikdy nepoužívejte shodné heslo pro více služeb (heslo pod hvězdičkami opravdu není šifrované a je zcela čitelné!). V nejnutnějším případě použijte software pro správu hesel (např. KeyPass).
4) Pravidelně zálohujte
Ať už jde o důležité e-maily, data, software, operační systém, virtualizace, síťová nastavení - vše zálohujte, nejlépe šifrovaně a do offline režimu (ne do Google Disku, OneDrive, AmazonCD apod.!). Ať už pomocí speciálního zálohovacího softwaru (např. Acronis) nebo formou celých kopií disků (tzv. snapshotů). Ten navíc chrání v případě hardwarové poruchy pevného disku či proti zašifrování dat škodlivým softwarem.
Méně starostí a více radostí na internetu!