Prakticky každý už se setkal s emailem, který naoko přišel z banky nebo nějaké populární online služby a požadoval „potvrzení“ účtu, přihlašovacích údajů nebo dat z platební karty. Jde o zcela běžné phishingové techniky. Bohužel ne všechny podvody lze snadno prokouknout. Připravili jsme manuál po vás i vaše kolegy, jak takovýto podvod odhalit.
Phishing je forma útoku založená na sociálním inženýrství, zpravidla se útočníci pokoušejí získat přihlašovací údaje, důvěrné informace nebo doručit malware. Navíc phishingové zprávy využívají k distribuci i vývojáři ransomwaru. Předpokládejte, že se podvodníci chtějí prostřednictvím phishingu vlámat do vaší firmy, ostatně je to běžná strategie.
Útočníci dobře vědí, že jejich e-maily bude patrně kontrolovat nějaký software poskytovatele e-mailové schránky. Jak se rozvíjela situace okolo koronaviru, začal se kyberprostorem šířit i malware, který s tématem onemocnění nějak pracoval. Útočníci se rychle zorientovali. Z našich telemetrických dat vyplývá, že mezi prvním a druhým čtvrtletím letošního roku vzrostl počet unikátních URL blokovaných jako phishing o 60 %.
Podle dat Googlu, útočníci rozeslali každý březnový den 18 milionů e-mailů s tematikou koronaviru. V dubnu byl každý pátý phishingový mail podvod, který zneužíval téma pandemie. Není divu, krize vytváří prostředí, které nabízí útočníkům ideální podmínky pro inovace. Proto je pravděpodobné, že se ještě setkáme s novými typy podvodů, které útočníci teprve vytvoří.
Cílený spearphishing, aneb když jste jediný terč
Spearphishing je velmi podobná metoda útoku. Nicméně se nezaměřuje na široké masy uživatelů ale na konkrétní oběti, nejčastěji z řad firem a institucí. Typicky útočníci zneužívají loga a další prvky vizuální identity, typicky tón komunikace nebo i konkrétní jména a zfalšované e-mailové adresy skutečných zaměstnanců. Častou strategií je taky vytvořit falešné přihlašovací stránky do nástrojů, které konkrétní společnost v běžném provozu využívá, jako konkrétní příklad můžeme jmenovat sadu nástrojů Office 365.
Phishingová stránka, které sbírá přihlašovací údaje do služby Office 365 | Zdroj: bleepingcomputer.com
Jde o velmi nebezpečný postup, protože pro neproškoleného zaměstnance je v podstatě nemožné promyšlený a sofistikovaný spearphishing rozpoznat.
Útočníci používají triky se znaky
Od minulého roku útočníci využívají novou taktiku, jak uživatele zmást. Jedná se o tzv homoglyfy. Útok pomocí homoglyfů je založený na nahrazení písmene v URL adrese jiným, které vypadá velmi podobně nebo dokonce zcela shodně, ale patří do jiné abecedy. Lidské oko rozdíl nepozná, ale počítač, který každý znak vnímá pod jiným kódovým označením ano.
Jak fungují homoglyfy
Tyto útoky jsou extrémně nebezpečné, protože uživatel má jen omezené možnosti, jak takovýto podvod odhalit. V praxi promyšlený homoglyfový útok odhalí pouze bezpečnostní program.
Jak poznat podezřelý e-mail
1. E-mailová adresa
V minulosti bylo mnohem snazší identifikovat e-mailovou adresu útočníka, bývaly anonymní nebo obsahovaly generické jméno a číslovky. Také se často neshodovala adresa se jménem odesílatele v hlavičce.
E-mailová adresa by měla být shodná se jménem
Dnes ovšem dostáváte řadu vygenerovaných e-mailů od institucí. Pokud e-mailem nějaký nestandardní požadavek obdržíte, doporučujeme ověřit adresu odesílatele. Prověřte i formu, v jaké je uvedeno případné jméno odesílatele. Jediný rozdíl mezi spearphishingem a legitimní zprávou může být fakt, že ve skutečné emailové adresu neuvádí vaše společnost křestní jména. V některých případech je e-mailová adresa jediným znakem podvodu, návrh a obsah e-mailu působí jinak přesvědčivě.
2. Pozdrav a úvod e-mailu
Pozdrav může napovědět, zda je odesílatel důvěryhodný. Na oslovení „Milý zákazníku/Vážená paní, Vážený pane“ není co zkazit, na druhou stranu vypovídá o tom, že odesílatel vlastně o vás a vaší firmě nic neví. Na druhou stranu vaše jméno není tajná informace, proto se na tento indikátor spolehnout 100 % nelze.
Ukázka podvodného e-mailu s podezřelým oslovením
Vezměte v úvahu také to, jaké jsou ve vašem oboru či firmě zvyklosti. Tykáte si? Oslovujete se křestním jménem? Nebo jste naopak velmi formální?
3. Od příloh a odkazů očekávejte jen to nejhorší
E-mail je nejběžnější způsob, jak šířit malware. Konkrétně phishing stojí za 32 % bezpečnostních incidentů. Opatrnost je tedy na místě. Pokud se vám odkaz či příloha nezdá, neklikejte na ně. V případě odkazu lze najet myší na text odkazu a zobrazí se vám cílová URL adresa. V případě podezření se poraďte s vašimi IT specialisty.
Prověřte si, kam vede odkaz z e-mailu (stačí na něj najet myší). Pokud adresa není legitimní, neklikejte.
Odkaz v tlačítku vede na falešnou stránku v cloudu nikoli na dokument, za který se vydává
4. Špatná gramatyka
(P. S. Víme, jak správně zapsat slovo gramatika - ale útočníci možná ne, takže jako ilustrace se to hodí.)
Nekvalitní text je častý znak phishingu. Při formální komunikaci s obchodními partnery a zákazníky si přece dáváte pozor. Pokud uvidíte neobvyklá slova, strojový překlad, chybně napsaná slova, nereagujte na nic v e-mailu. Útočníci často používají překladače, naštěstí v případě češtiny jsou značně nedokonalé.
5. Urgentní požadavek
Útočníci chtějí, aby adresát zpanikařil a zareagoval hned, než si stihne uvědomit, že jde o podvod. Jakmile obdržíte e-mail, který po vás vyžaduje okamžitou aktualizaci hesla, rychlé provedení platby nebo jinak útočí na emoce, mějte se na pozoru. Případně si ověřte požadavek nezávisle na e-mailu. Nevěřte tlaku vyvíjeném v e-mailu. Častým argumentem je exekuce nebo zablokování nějakého účtu, tak to ale nefunguje. Žádná důvěryhodná společnost nevyžaduje reakci v řádu hodin.
Ukázka phishingu s urgentním požadavkem na kontrolu dokumentu
6. Příliš dobré nebo děsivé zprávy
Sociální inženýrství má za úkol adresáta zmanipulovat. Proto často cílí na naše základní emoce. E-maily, které vám slibují pohádkové dědictví, výhru nového vozu nebo naopak vyhrožují ztrátou účtu na Instagramu jsou zpravidla podvod.
Útočníci také často zneužívají populární služby, například obchody a dopravce. Ve druhém čtvrtletí tohoto roku byla nejzneužívanější značkou DHL. Pokud obdržíte zprávu, že není možné doručit zásilku, ačkoli žádnou nečekáte, mějte se na pozoru. Případně se ke službě přihlaste přes oficiální stránky, nikoli tlačítko ve-mailu.
Ukázka pokusu vylákat z vás data
7. Neobvyklé načasování
Phishingové e-maily často dorazí do schránek v nočních hodinách. To proto, že útočníci pracují v jiném časovém pásmu. Pokud obdržíte mail od kolegy, že potřebuje proplatit fakturu v 3:24 ráno, jsou možné jen dvě varianty: kolega je workoholik nebo jde o podfuk
8. Předmět a obsah nesouhlasí
Předmět slouží jako shrnutí konverzace. Pokud se v předmětu mluví o jablkách a v těle e-mailu o hruškách, je něco špatně.