2. Phishing – manipulácia, ktorá môže pre firmu skončiť pohromou

10 najväčších hrozieb, Firemná bezpečnosť 27. júla 2023
BVF 10 hrozieb phishing

Tento článok je súčasťou seriálu 10 najväčších hrozieb.

Na začiatku ničivých kybernetických útokov voči firmám je väčšinou zamestnanec, ktorý naletí na podvodný e-mail. Kým donedávna sa dali takéto správy pomerne jednoducho rozoznať, s nástupom nástrojov umelej inteligencie sa treba pripraviť na pokusy, ktoré budú takmer na nerozoznanie od legitímnej komunikácie. Druhé miesto v rebríčku 10 najväčších hrozieb obsadil phishing. 

V článku sa dozviete:

  • Aký typ phishingu je najrozšírenejší na Slovensku,
  • s akými formami phishingu sa môžete stretnúť,
  • na akých zamestnancov sa zameriavajú útočníci,
  • a ako sa chrániť pred phishingom?

Phishing ako vstupná brána pre útok

Až 91 % percent kybernetických útokov sa podľa štúdie spoločnosti Deloitte začalo prostredníctvom phishingového e-mailu. Podvodná správa bola napríklad pravdepodobne aj pri začiatku pohromy pre spoločnosť Yahoo, ktorá medzi rokmi 2013 a 2016 utrpela najväčší únik dát používateľov v histórii. Phishingový e-mail pristál pred americkými prezidentskými voľbami v roku 2016 aj v schránke šéfa kampane Hillary Clintonovej. V domnienke, že ide o upozornenie od Googlu, odovzdal útočníkom svoje prihlasovacie údaje, čím získali prístup k jeho komunikácii, ktorú Clintonovej oponenti zneužili v predvolebnom boji.

Ide iba o niekoľko príkladov katastrofických scenárov, ktoré mala na svedomí nepozornosť jednotlivcov. Okrem odovzdania prístupu k systémom organizácií môžu útočníci prostredníctvom phishingu vymámiť od obetí finančné prostriedky či zaniesť prostredníctvom škodlivej prílohy do siete ransomvér alebo iný typ malvéru. Čo to teda je phishing?

Phishing je kybernetický podvod, pri ktorom sa útočníci snažia vylákať od obete prihlasovacie, platobné alebo inak citlivé údaje. Takáto psychologická manipulácia môže mať rôzne podoby, od e-mailovej správy, ktorá cieli na tisícky ľudí až po presne cielené taktiky, pri ktorých útočníci našijú komunikáciu na mieru pre konkrétnu obeť.

Časté znaky phishingových podvodov

Phishing sa za uplynulé roky významne vyvinul. Keďže množstvo útokov vykonávajú zahraniční kyberzločinci, ešte nedávno sa ich pokusy pri určitej dávke obozretnosti dali rýchlo odhaliť pre zlú gramatiku či vetnú stavbu v slovenčine. Takisto podvodné správy často nedávali zmysel v lokálnom kontexte. Tieto varovné signály však vedia útočníci dnes už lepšie tlmiť vďaka nástrojom generatívnej umelej inteligencie ako ChatGPT.

Ako sa dočítate nižšie, motivovaní útočníci dokážu zostrojiť v mnohých prípadoch takmer dokonalé pasce. Všeobecné znaky, ktoré vám môžu pomôcť rozpoznať phishing, sa preto týkajú najmä menej sofistikovaných a spravidla masových podvodov.

  1. Generické oslovenie môže naznačiť, že zločinci skúšajú podvod na mnohých používateľoch.
  2. Žiadosť o osobné údaje indikuje, že niečo nie je v poriadku. Inštitúcie ako banka vás nikdy e-mailom neoslovia so žiadosťou o citlivé informácie. 
  3. Neočakávaná korešpondencia vám môže napovedať, že čelíte podvodu. Prečo vám píše doručovacia služba, keď ste si nič neobjednali?
  4. Časový nátlak využívajú útočníci na vyvolanie rýchleho a nepremysleného konania.
  5. Príliš lákavá ponuka často slúži ako návnada na krádež peňazí či vylákanie údajov.
  6. Akýkoľvek odkaz v neočakávanej či nevyžiadanej správe signalizuje, že sa vás útočníci môžu snažiť dostať k škodlivému obsahu.
  7. Zlá gramatika je v súčasnosti doménou podvodov, na ktorých si útočníci nedali príliš záležať.

Aký phishing poznáme?

E-mailový phishing

Najbežnejšou formou phishingu, s ktorou sa stretol pravdepodobne každý používateľ, je podvodný e-mail. Pri tomto type phishingu sa útočník pokúša získať od náhodnej obete dôverné informácie, ktoré môže zneužiť na krádež peňazí alebo získanie prístupových údajov. Príkladom sú falošné e-maily vydávajúce sa za komunikáciu dôveryhodnej spoločnosti, napríklad banky, ktoré sa obete snažia naviesť na kliknutie na odkaz, na ktorom majú overiť údaje o svojom účte.

E-mailový phishing je suverénne najčastejšie zachytávanou kybernetickou hrozbou aj na Slovensku. Podľa údajov výskumníkov spoločnosti ESET za prvú polovicu roka 2023 tvorila detekcia s názvom HTML/Phishing.Agent viac ako štvrtinu zo všetkých zaznamenaných hrozieb. V porovnaní s druhou polovicou roka 2022 zaznamenal ESET 27 % nárast týchto detekcií.

„V tomto konkrétnom prípade ide o falošné prihlasovacie okno, ktoré sa bežne distribuuje prostredníctvom e-mailov ako HTML príloha a otvorí sa v prehliadači. Zvykne imitovať služby Microsoft Office ako napríklad Outlook či SharePoint. V skutočnosti však slúži na presmerovanie na škodlivý obsah alebo na zber prihlasovacích údajov, ktoré môžu útočníci zneužiť,“ vysvetľuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET.

Na Slovensku phishingové e-maily tiež s obľubou imitujú Slovenskú poštu, pričom používajú aj jej vizuálnu identitu. Tento druh podvodu je aktuálne na masívnom vzostupe a patrí mu tretia priečka spomedzi všetkých najčastejšie zachytených hrozieb za posledný polrok. ESET eviduje až o 277 % častejší výskyt tohto podvodu ako tomu bolo v druhej polovici roka 2022. Útočníci môžu obeť napríklad informovať, že jej bude doručený balík, až keď zaplatí colný poplatok. Obzvlášť obozretní by v tomto prípade preto mali byť zamestnanci firiem, ktorí majú na starosti korešpondenciu.

Spearphishing

Obyčajné phishingové správy majú za cieľ zasiahnuť čo najviac používateľov, pričom útočníci sa spoliehajú na to, že z veľkej skupiny adresátov naletí aspoň určitá časť. V prípade spearphishingu však kybernetickí zločinci svoje pokusy cielia na konkrétne organizácie, prípadne na špecifické skupiny. Takýto podvod s užším zameraním dokáže pôsobiť omnoho presvedčivejšie.

„Autori spearphishingových správ si svoje obete vopred podrobne zmapujú z informácií dostupných online či pri iných útokoch a na základe získaných poznatkov nastavia komunikáciu. Môžu napríklad zistiť, kedy a akou formou vybraná firma vypláca finančné bonusy, a všetkým zamestnancom v mene organizácie rozposlať e-mail, že ak chcú odmenu, majú vyplniť údaje na priloženom odkaze,“ varuje Ondrej Kubovič.

V rámci sofistikovanejších operácií môžu útočníci zacieliť dokonca aj na konkrétne osoby, pričom si o nich dopredu zistia čo najviac informácií. Dobre zadokumentované sú napríklad praktiky severokórejskej hackerskej skupiny Lazarus, ktorá sa vydávala za náborových pracovníkov pre spoločnosť Amazon a vytypovaným obetiam poslala pracovné ponuky, ktoré v sebe skrývali škodlivý kód.

Doposiaľ uverejnené články z rebríčka 10 najväčších hrozieb

2. Phishing
3. Ransomvér
4. Hybridná práca
5. Útoky na dodávateľský reťazec
6. IoT hrozby
7. Fyzické hrozby
8. Pokročilé hrozby
9. Nedostatok bezpečnostných špecialistov
10. Hrozby zvnútra firmy

Whaling

Útočníci sa často zameriavajú aj na tie najväčšie ryby v organizácii vrátane top manažérov. Od toho je aj odvodený názov whaling. Ide o druh presne cieleného phishingu, pri ktorom sa útočníci často snažia zmanipulovať vysoko postavených pracovníkov. Môžu od nich napríklad žiadať schválenie veľkých finančných transakcií či zdieľanie citlivých informácií.

Tento typ útoku je mimoriadne nebezpečný, lebo vysokopostavení zamestnanci disponujú kompetenciami, ktoré v prípade naletenia na podvod môžu spôsobiť ohromné škody. Pri tomto type útoku sa môžu útočníci dokonca vydávať za samotných členov vrcholového manažmentu. Napríklad môžu v mene generálneho riaditeľa (CEO) kontaktovať finančného riaditeľa (CFO), aby previedol veľkú sumu peňazí.

Kybernetickí zločinci sa v roku 2020 pokúsili takýmto spôsobom vydávať za generálneho riaditeľa spoločnosti ESET Richarda Marka. Cieľom tohto neúspešného pokusu bolo predstierať existenciu veľkej ponuky na akvizíciu aktív, ktorá si vyžadovala finančný vklad.   

BVF phishing ukazka

Vishing

Ďalším spôsobom, ako sa môžu útočníci pokúsiť oklamať obeť, je prostredníctvom telefonátu. Tento druh podvodu sa nazýva vishing. Útočníci sa predstavia napríklad ako zamestnanci banky alebo iných inštitúcií a snažia sa získať osobné údaje od svojich obetí. Na Slovensku rezonovali napríklad prípady imitovania technickej podpory Microsoftu či vládnych orgánov. Platí pri tom, že podobne ako v prípade e-mailov, si vedia útočníci dopredu naštudovať informácie a prispôsobiť rozhovor špecifickému cieľu.

Novým a znepokojivým trendom v oblasti telefonických podvodov je využívanie deepfake technológie. Útočníci dokážu prostredníctvom nástrojov umelej inteligencie vygenerovať hlas tak, aby znel napríklad ako váš obchodný partner alebo nadriadený. Zamestnanci tak môžu konať v prospech kyberzločincov a myslieť si, že plnia príkazy svojho zamestnávateľa. Pomocou deepfaku sa útočníci dokážu vydávať za šéfa napríklad aj prostredníctvom videohovoru.  

Zvážte nahradenie hlasového overenia

Mnohé služby vrátane bánk využívajú ako formu autentifikácie hlasové overenie. Výskumníci z univerzity vo Waterloo však odhalili spôsob útoku, pomocou ktorého vedia útočníci obísť hlasové overenie s 99 % úspešnosťou iba po šiestich pokusoch. Očakávame, že klonovanie hlasu sa bude čoraz viac zdokonaľovať a preto bude hlasové overovanie čoskoro zastaralý spôsob ochrany.              

Smishing

Okrem e-mailov či chatovacích aplikácií sú pre útočníkov stále mimoriadne obľúbeným médiom pre podvody SMS správy. Kyberzločincom hrá do kariet, že ide o mimoriadne rozšírený spôsob komunikácie, ktorý vo väčšine prípadov nepodlieha takému dôkladnému zabezpečeniu ako e-maily. 

Útočníci dokážu (aj v prípade telefonátov) prostredníctvom techniky spoofing, maskovania čísla odosielateľa, zmeniť telefónne číslo tak, aby pripomínalo legitímnu inštitúciu, prípadne aby sa ich správa zaradila do SMS vlákna od tejto inštitúcie. Pri SMS podvodoch navyše často využívajú aktuálne témy. Nedávno napríklad v našich končinách rezonovala masívna kampaň informujúca recipientov o obdržaní kryptomien.

Falošné webové stránky

Cieľom podvodných e-mailov, správ v chate či SMS správ je v mnohých prípadoch priviesť obeť na falošnú webovú stránku, ktorá sa vydáva za prihlasovacie okno do nejakej služby alebo internetový obchod. Účelom týchto falošných stránok je pripraviť obeť o prihlasovacie údaje alebo financie.

Pri neopatrnom zaobchádzaní však môžu používatelia natrafiť na falošnú webovú stránku aj pri bežnom surfovaní po internete. Napríklad sa na ňu prekliknú cez vyskakovacie okno na slabo zabezpečenom webe alebo ju nájdu vo vyhľadávači. Sú dokonca známe prípady, keď si útočníci nakúpili reklamný priestor od spoločnosti Google a vyhľadávač následne v sponzorovanej sekcii odkazoval na stránky so škodlivým obsahom.

ESET identifikoval v prvej polovici roka 2023 na Slovensku až 37-tisíc podvodných stránok. Najčastejšie imitovali weby s týmito tematikami:

  • mailové služby (36 %)
  • kryptomeny (18 %)
  • financie (16 %)
  • sociálne siete (7 %)
  • doručovacie služby (6 %)

Falošná stránka s legitímnym odkazom

Niekedy sa môžete na podvodnej webovej stránke ocitnúť, aj keď kliknete na legitímny odkaz. Útočníci môžu infikovať DNS (Domain Name System) server legitímnej webovej lokality a presmerovať používateľa na falošný web, aj keď zadá správnu adresu URL. Takýto kybernetický podvod sa volá pharming.

Ako sa chrániť pred phishingom?

Schopnosť firiem odolávať phishingu pozostáva z komplexného súboru opatrení, ktorý v sebe skĺbi technické aj netechnické parametre:

  • Budovanie povedomia zamestnancov o phishingových nástrahách prostredníctvom pravidelných a interaktívnych školení. Oddelenie internej bezpečnosti môže napríklad zamestnancom posielať testovacie phishingové e-maily, čo zamestnancom pomôže spoznať rôzne druhy týchto hrozieb.  
  • Nasadiť na všetky koncové zariadenia kvalitné bezpečnostné riešenie s funkciou Anti-Phishing, ktorá dokáže úspešne blokovať podvodné e-maily. Nástroj ESET Mail Security zas dokáže odchytiť spam a malvér na serverovej úrovni ešte predtým, ako sa dostane do e-mailových schránok používateľov.
  • Nastavte jasné označenie pre e-mailovú komunikáciu, ktorá pochádza zvonka vašej organizácie.
  • Nezverejňujte o svojej organizácii respektíve o zamestnancoch nadbytočné informácie, z ktorých by mohli čerpať útočníci pri vytváraní phishingových podvodov na mieru. Poučte zamestnancov o ochrane súkromia na sociálnych sieťach.

3. Ransomvér – útok, ktorý šifruje budúcnosť firiem

Predstavte si, že prídete do práce a keď zapnete počítač, privíta vás obrazovka so žiadosťou o zaplatenie výkupného. Nočná mora IT oddelení môže firmu pripraviť o obrovské množstvo peňazí a zničiť jej reputáciu.

Prečítať článok

Odporúčané články

BVF SIEM SOAR ilustracny obrazok
Dešifrujeme pre vás, Firemná bezpečnosť 21. marca 2024
Nástroje tímu SOC: SIEM a SOAR
BVF zranitelnosti VPN ilustracny obrazok
Dešifrujeme pre vás, Firemná bezpečnosť 13. marca 2024
Zraniteľnosti vo VPN sieťach strašiakom pre firmy