Jak je možné, že je phishing stále tak nebezpečný

Na konferenci Black Hat na začátku srpna se mimo jiné mluvilo o nebezpečí phishingu. Podle vědců je stále efektivní, protože je dobře promyšlený a téměř polovina uživatelů neví, o co jde.

V rámci jedné z přednášek na konferenci Black Hat 2019 se odborník na bezpečnost Elie Bursztein a profesorka Daniela Oliveira z University of Florida pokoušeli najít důvod, proč je phishing pro útočníky tak efektivní, ačkoli podobné útoky existují několik dekád. Jako klíčový pro úspěch útoků označili neustálý vývoj metod, technik přesvědčování a malé povědomí uživatelů.

Za třetinou bezpečnostních incidentů ve firmách stál phishing

Jako phishing se v kybernetické bezpečnosti označuje podvodná technika získávání citlivých údajů uživatele za pomoci manipulace, např. k získání hesel, čísel kreditních karet apod. Nejčastěji se uživatelé setkávají s phishingovými e-maily. Důsledkem může být instalace malware, odcizení přihlašovacích údajů nebo případně i manipulace s názory uživatele.

Poskytovatelé elektronických schránek se snaží své uživatele před útoky chránit. Například Google zablokuje denně více než 100 milionů phishingových e-mailů. Přesto ale z letošní zprávy společnosti Verizon vyplývá, že v roce 2018 začalo phishingem 32 % případů narušení bezpečnosti a 78 % špionážních či backdoor útoků.

Útoky jsou preciznější

Phishing se neustále vyvíjí, což je jeden z klíčů, proč na něj uživatelé tak snadno naletí. Podle údajů společnosti Google prezentovaných na konferenci se 68 % zablokovaných phishingových e-mailů denně skládá z nových variant. Detekční mechanismy i lidé se tak musí každý den přizpůsobovat. Vývoj útoků v České republice jsme popsali na blogu Dvojklik. Například už neplatí, že jej uživatel pozná podle lámané češtiny.

Další problém jsou znalosti řadových uživatelů. Podle dat z konference jen 45 % uživatelů chápe, co to phishing je.

Umění přesvědčit v e-mailu

Podle výzkumu doktorky Oliveira se z útočníků stali špičkoví manipulátoři. Z psychologického hlediska se každý člověk rozhoduje jinak. Existují ale jisté faktory, které nás ovlivňují. Například, jsme-li v dobré náladě a hormonální hladina oxytocinu, serotoninu a dopaminu je vysoká, je pravděpodobnější, že budeme podvedeni. Když je ale vysoká hladina kortizolu (obvykle to je spojeno se stresem), budeme opatrnější a ostražitější. Oliveira popisuje tři běžné přesvědčovací praktiky, které se ve phishingových zprávách používají. Jsou jimi respektovaná autorita, příslib ekonomické výhody, pokud jednotlivec zareaguje, a nakonec emocionální přitažlivost.

Útoky často míří na konkrétní cíl

Dalším aspektem je přizpůsobení kampaní. Existují tři základní typy – čím jsou cílenější na konkrétní organizaci, tím jsou sofistikovanější a je těžší je odhalit.

Prvním typem je personalizovaný spearphishing. V tomto případě jsou adresovány e-maily konkrétní osobě v rámci dané organizace. Detailně jsme praktiku popsali v samostatném článku.

Dalším typem je „butikový phishing“.  Ten už je adresován na několik desítek jednotlivců nebo organizací. Podle zjištění expertů tento typ trvá pouhých sedm minut.

Třetím typem jsou masové útoky, které jsou zaměřeny na tisíce jednotlivců nebo organizací. Takto cílené kampaně jsou aktivní průměrně 13 hodin.

Útoky snažící se získat přístupy se vydávají za:

  • Poskytovatele e-mailových služeb (42 %)
  • Cloudové služby (25 %)
  • Finanční služby (13 %)
  • E-shopy (5 %)
  • Dodavatele a poštovní služby (3,9 %)

Jak se nestát obětí phishingu 

Útočníci se snaží vyvíjet kampaně, které jsou přesvědčivé. Proto je vzdělání uživatelů zásadní a prakticky jediný spolehlivý obranný mechanismus. Zda sami útok rozpoznáte, si můžete vyzkoušet v online testu. Prvním krokem je vždy naučit uživatele rozeznat potenciální rizika a naučíte je kriticky přemýšlet. Přečíst si můžete tento článek s typy pro laické uživatele.

Dalším faktorem ke snížení počtu obětí je nastavení dvoufaktorové autentizace ke všem dostupným službám a také spolehlivé bezpečnostní řešení.