Phishing. Czyli o tym, jak połykamy haczyk otwierając mailowy załącznik.

Zamiast wstępu

Koniec miesiąca: pomrukiwanie biurowego radia, palce w pośpiechu wystukują na klawiaturze nerwowy rytm. Rzut oka na Outlooka. Spośród nieodczytanych wiadomości nasz wzrok wyłapuje jedną z najświeższych, tę o niepokojącym tytule - „Niezapłacona faktura”. Zabieganie, chwilowa bezrefleksyjność, poranny brak czujności, która zaspana tkwi jeszcze w niedopitej kawie. Pobieżna tylko lektura nieskładnej treści maila nie powstrzymuje nas od niemal bezwiednego kliknięcia. Po chwili po raz wtóry lewy przycisk mysz dwukrotnie ugina się pod naciskiem naszego palca – właśnie otworzyliśmy podejrzany załącznik...

Kliknięcie wywołuje okno Worda, kursor jeszcze przed wyświetleniem dokumentu na ułamek sekundy zmienia się w kręcące się kółeczko. Zaczynamy czytać. Na samej górze napisane coś o włączeniu makr w celu prawidłowego wyświetlenia treści. Dobra, mamy włączone jak zawsze. Wzrok przeskakuje niżej, a tu – do licha - jakiś znakowy rozgardiasz, wielkie nieczytelne nie wiadomo co. Żadnych dat wystawienia, kwot do zapłaty, żadnych terminów płatności, żadnej faktury - czyli, że co? Czyli, że pozornie to nic, ale ogólnie to nie za fajnie, bo ktoś gdzieś na drugim końcu kabla sieciowego wystrychnął nas na dudka, i nie chodziło mu raczej o niewinną złośliwostkę. Nie za fajnie, ale nie beznadziejnie - zachowajmy spokój. Przy okazji: nie jesteśmy wyjątkowi – możemy przybić „piątkę” z tysiącami innych pracowników z całego świata, którzy codziennie na wpół śpiąco otwierają załączniki w phishingowych mailach.

Tyle tytułem wprowadzenia. Teraz pora na technikalia.

Phishing – czyli co?

Czyli robienie ludzi w konia, by (najczęściej) zarobić. W pojęcie „phishingu” wpisuje się szereg podstępnych działań cyberprzestępców mających na celu wyłudzenie wrażliwych danych użytkownika (najczęściej takich jak login, hasło, numer PIN, numer karty kredytowej i tak dalej) czy bezpośrednio pieniędzy. To dosyć ogólna i pojemna kategoria, nie żadna konkretna technika ataku. „Phishing” niegdyś był terminem określającym atak zorientowany na kradzież danych niezbędnych do logowania do bankowości elektronicznej; do dzisiaj pojęcie wyewoluowało i obecnie oznacza głównie ataki dokonywane przez e-mail. To tylko gwoli terminologicznej ścisłości, nie o definicje tu jednak idzie. Phishing to oszustwo - najpierw skradzione zostają nasze osobiste dane, a później pieniądze.

Z omawianym zjawiskiem ściśle związane jest pojęcie „socjotechniki” (inżynierii społecznej). Jest ono nadrzędne względem phishingu - za socjotechnikę uznaje się ogół działań zmierzających do uzyskania pożądanego zachowania jednostki lub grupy (w tym w większości działań niezwiązanych z cyberprzestępczością). W XXI wieku, w czasach niemal powszechnego dostępu do sieci Internet, jednym z praktycznych wcieleń socjotechniki jest właśnie phishing. Często bazuje on na emocjach, a jeśli jest ściśle ukierunkowany na konkretną osobę (tzw. spear phishing), to także na manipulowaniu wiarygodnymi informacjami.

Załączniki, linki i cała reszta

Przywołałem wcześniej przykład załącznika w wiadomości elektronicznej, ponieważ jest to jeden z najczęściej stosowanych wektorów ataku na użytkowników komputerów, ale nie jedyny. Wiadomości mające na celu wyłudzenie wrażliwych danych przybierają najczęściej formę fałszywych powiadomień z banków, komunikatów od dostawców systemów e-płatności, informacji od partnerów biznesowych, powiadomień o wygranej, przesyłce czy niezapłaconej fakturze itd.
W załącznikach phishingowych maili najczęściej znajduje się złośliwe oprogramowanie (czyli tzw. malware; od „malicious software”), które pozwala atakującemu na kradzież poufnych informacji, a przy tym nierzadko na przejęcie pełnej kontroli nad komputerem ofiary. Pomysłowość przestępców nie zna granic, więc używany przez nich malware może np. „w imieniu prawa” uniemożliwić dostęp do systemu operacyjnego i zażądać zapłacenia grzywny lub zaszyfrować silnym algorytmem pliki zapisane na dysku i wprost poinformować nas o okupie za odszyfrowanie danych (jedno i drugie to przykład tzw. ransomware). Stosowana w sieciach korporacyjnych zasada minimalnych (ograniczonych) uprawnień ma między innymi na celu uniemożliwienie roztargnionemu pracownikowi uruchomienia pliku wykonywalnego dołączonego do maila (rozczulające „Rozliczenie.pdf.exe”). Należy jednak wiedzieć, że złośliwy kod może przyjąć również postać makra w Excelu czy w Wordzie, o czym wspomniałem na początku tekstu, a do otwarcia takiego pliku i wykonania się makropoleceń nie potrzebujemy już uprawnień administratora...
Innym sposobem na „złowienie” użytkownika są linki zamieszczane w sfabrykowanych mailach. Najczęściej prowadzą one do podstawionych witryn (banków, serwisów społecznościowych, portali aukcyjnych itd.), które nierzadko bywają wiernymi kopiami oryginalnych stron. Po przekierowaniu jesteśmy oczywiście zachęcani do wprowadzania wrażliwych danych. Istnieją również metody na przekierowanie użytkownika na fałszywą witrynę po tym, gdy ten wpisuje w pasek przeglądarki zupełnie poprawny adres URL (tzw. pharming/DNS spoofing).
Inne sposoby ataku mogą polegać na mało finezyjnej mailowej prośbie o udzielenie poufnych informacji czy podaniu się w czasie rozmowy telefonicznej za pracownika helpdesku i próbie wyłudzenia wrażliwych danych (tzw. vishing; od „voice phishing”). Kropkę stawiam tu z interpunkcyjnej konieczności, bo przykłady można oczywiście mnożyć.

Spear phishing. Przykładowy scenariusz

Portale społecznościowe to raj dla phisherów. Wielu użytkowników Internetu nie zdaje sobie sprawy, jak dużo informacji o ich życiu prywatnym i zawodowym może zebrać osoba przeglądająca profil na Facebooku. Część osób nie jest świadoma, że udostępnia swoje dane wszystkim, a nie tylko osobom, które dołączyły do jej grona znajomych. Niewielki odsetek internautów jest świadomy, jak przebiegli są przestępcy w wirtualnym świecie, i do czego może posłużyć im tzw. profilowanie ofiary.
Przykładowy scenariusz jest taki. Popijający na tarasie kawę przestępca za sprawą rekonesansu na portalach LinkedIn oraz GoldenLine tworzy na swój użytek bazę pracowników danej firmy. Może zdobyć m. in. personalia, zdjęcia oraz informacje na temat zajmowanych przez pracowników stanowisk. Potem złoczyńca przenosi się na Facebooka. Przy odrobinie szczęścia (wszak nie wszystkich można na FB znaleźć korzystając z tamtejszej wyszukiwarki) poprawnie typuje, która osoba z firmy posiadająca konto na LinkedIn czy GoldenLine nie ma profilu na Facebooku. Nasz czarny charakter, będący przecież w posiadaniu imienia, nazwiska, zdjęcia oraz garści innych informacji o pracowniku, zakłada mu, bez jego wiedzy, konto. Czas ma tu znaczenie, więc prośby o przyjęcie do znajomych są bezzwłocznie wysyłane do rzeczywistych pracowników, którzy mają konta na FB. Jest duże prawdopodobieństwo, że kilka osób przyjmie przestępcę do grona swoich facebookowych znajomych. Złodziej tożsamości może teraz bezpośrednio nawiązać kontakt z osobą pracującą w firmie będącej celem ataku. Ma do dyspozycji tyle zagrywek, na ile pozwalają mu fantazja, czas i umiejętności. Może na przykład wysłać pracownikowi przedsiębiorstwa (przez Facebooka lub na pozyskanego firmowego maila) zdobyty niby przypadkiem plik o wdzięcznej nazwie „Lista płac.xls”. (Dwie rzeczy to pewnik: po pierwsze, takie informacje wyciekają z firm; po drugie, ludzie czasem – abstrahując od rzeczywistej zawartości dokumentu – klikają w pliki o tego typu nazwach). Oczywiście w „liście płac” będzie czyhał malware (np. taki, który „dociąga” z sieci keyloggera rejestrującego naciskane klawisze). Rybka złowiona. Złodziej może też podesłać spakowany 7-zipem plik „wiesia_nagie.zip”. Bach – szarpnęło wędką. Albo link prowadzący do z pozoru wiarygodnej strony z zamieszczonym na niej złośliwym kodem. Plusk – szachraj będzie kroił w dzwonka. To oczywiście tylko kilka przykładów, bo imię ich Legion.

Przytoczony scenariusz jest z grubsza z życia wzięty. Udany atak bywa wynikiem zbieżności wielu czynników, ale statystyki (chociażby z przeprowadzanych w przedsiębiorstwach testów penetracyjnych) pokazują, że nie ma siły, aby spear phishingowe natarcie przy przemyślanym przygotowaniu i odpowiedniej liczbie prób nie zakończyło się sukcesem…

„Kuku” dla firmy

Phishing to proceder najczęściej nastawiony na zysk. Pamiętajmy przy tym, że oprócz gwizdnięcia środków z naszego osobistego konta, pojedynczy mail - w ten czy inny sposób - może też uszczuplić finanse przedsiębiorstwa. Zjawisko potencjalnie niesie ze sobą jeszcze inne konsekwencje, np. spadek reputacji organizacji i utratę zaufania klientów oraz partnerów (właściwie jedno implikuje drugie). Należy mieć świadomość, że otwarcie podejrzanego załącznika może oznaczać nie tylko konieczność oddania pracownikowi działu IT komputera na parę godzin, ale również - np. przy wycieku bazy klientów czy poufnych maili – wizerunkowe tarapaty dla firmy. Zainteresowanych konsekwencjami współczesnych ataków sieciowych - nie tylko samego phishingu, ale też złożonego zjawiska, jakim jest tzw. APT (Advanced Persistent Thread) - odsyłam do lektury artykułów na temat włamań np. do sieci Sony Pictures, JP Morgan Chase czy do francuskiej TV5 Monde.

„Masz platność przychodząca trafi na Twoje konto.”


Bez zbędnej pisaniny – jak ustrzec się przed oszustwem:
  • Zwracajmy uwagę na błędy ortograficzne i poprawność stylistyczną; jeśli e-mail sprawia wrażenie przetłumaczonego np. przez Tłumacza Google – prawdopodobnie jest to phishing; łamana polszczyzna absolutnie nie jest jednak regułą.
  • Podchodźmy ostrożnie do wszelkich e-maili, w których jesteśmy proszeni o podanie danych osobowych czy finansowych (zwłaszcza tych, w których nadawca prosi o pilne logowanie lub wypełnienie formularza). Nie klikajmy w załączane do podejrzanych maili linki; jeśli mamy zamiar wejść na stronę banku czy innego serwisu wpiszmy adres w pasku lub korzystajmy z wcześniej sprawdzonych zakładek (przy tym też zwracajmy uwagę na „kłódkę”, o której będzie mowa dalej).
  • Zachowajmy szczególną ostrożność w stosunku do wszystkich skompresowanych załączników dołączanych do wiadomości. Zwracajmy uwagę na rozszerzenie plików („Przyklad.pdf.exe” a „Przyklad.pdf” to dwie różne sprawy); pod żadnym pozorem nie klikajmy w zawarte w mailach pliki .exe, .scr, .bat, .vbs oraz załączniki innych formatów, z którymi na co dzień nie obcujemy. Pamiętajmy przy tym o potencjalnych zagrożeniach związanych z ogólnie znanymi typami plików (np. .doc, .docx, .xls. .pdf, .ppt). Dobrze wiedzieć, że często stosowanym przez cyberprzestępców wybiegiem jest serwowanie swoim ofiarom złośliwego kodu w postaci pliku .pif (czyli np. „Umowa.pdf.pif”). Rozszerzenie .pif domyślnie nie jest widoczne w systemie Windows...
  • Nawet jeśli otrzymaliśmy maila, którego nadawcą zdaje się być kolega z sąsiedniego biura, nie traćmy elementarnej czujności – komputer współpracownika mógł zostać zainfekowany malware; mało tego, sam charakter protokołów poczty elektronicznej umożliwia modyfikowanie danych nagłówkowych, np. nadawcy maila (sic!) - to tzw. e-mail spoofing.
  • Podczas logowania się na konto (w banku, w serwisie aukcyjnym, na portalu społecznościowym etc.) sprawdzajmy, czy połączenie jest szyfrowane – adres strony będzie wówczas zaczynać się od https://, a nie http://. Na pasku adresu przeglądarki zobaczymy też charakterystyczny symbol zamkniętej kłódki lub klucza.
  • W przypadku wykonywania osobistych przelewów sprawdzajmy dane zawarte w SMS-ie potwierdzającym transakcje (istnieje malware, który po skopiowaniu przez użytkownika numeru rachunku bankowego, podmienia go w systemowym schowku na inny...).
  • Tam, gdzie tylko się da, stosujmy tzw. uwierzytelnianie dwuskładnikowe (najczęściej: hasło + jednorazowy kod przesyłany SMS-em). Takie logowanie umożliwia np. Facebook czy Gmail.
  • Nie hulajmy po podejrzanych stronach, jakby piekła miało nie być.
  • O phishingu na Facebooku i tym podobnych można napisać osobny traktat, więc musicie wierzyć mi na słowo, że nie ma możliwości sprawdzenia, kto oglądał nasz profil, w większości przypadków nie wygramy żadnego iPhone'a czy nie doładujemy sobie konta za półdarmo, a odnośnik do nagrania „Tak się bawią pijane nastolatki na domówkach! [+18]” na stronie wladomosci.pl (widzicie ten haczyk w adresie?) wyprowadzi nas co najwyżej w pole.
  • Miejmy świadomość, że również my możemy w każdej chwili stać się celem ataku. Po prostu bądźmy ostrożni. Jeśli w czasie pracy mamy choćby najmniejsze podejrzenia dotyczące jakiegoś maila czy strony internetowej, skontaktujmy się z pracownikami działu IT.


Aha, jeszcze jedno. Nie lekceważmy okresowych aktualizacji systemu Windows i nie odkładajmy ich na później w nieskończoność – wiele z nich to poprawki dotyczące bezpieczeństwa systemu.

Cholera, kliknąłem!


Byliśmy zmęczeni i stało się. Co robić?
  • Jeśli podejrzewamy, że spotkaliśmy się z próbą phishingu czy udanym atakiem, jak najszybciej odłączmy kabel sieciowy od komputera.
  • Gdy phishing miał miejsce w firmie, bezzwłocznie poinformujmy o tym pracownika działu IT.
  • Jeśli sprawa dotyczy bankowości elektronicznej, przekazywania poufnych danych itp., poinformujmy instytucje, za które podszył się atakujący.
  • Zmieńmy hasła na stronach bankowości elektronicznej, w portalach społecznościowych oraz w usługach webmail (np. Gmail) itp. Pamiętajmy, żeby czynności te wykonać na komputerze, przy którym mamy pewność, że nie jest zainfekowany. 
  • Regularnie sprawdzajmy swoje konto bankowe – dzięki temu będziemy mieć pewność, że nie została wykonana żadna nie zlecona przez nas operacja. (Tak, wiem, do autoryzacji transakcji potrzebne są jeszcze np. kody potwierdzające... które czasem nie są przeszkodą dla atakującego).

Zakończenie

Daj człowiekowi 0-day-a*, a będzie miał dostęp przez dzień, naucz go phishingu, a będzie miał dostęp na zawsze. (znalezione w Internecie)
Zapory sieciowe, IPS-y, IDS-y, filtry antyspamowe, systemy antywirusowe, filtry stron WWW, obwarowane brzegi firmowej sieci, które stykają się z Internetem... Nie jest możliwym, by wszystkie te zabezpieczenia, stosowane w większości przedsiębiorstw, w pełni chroniły pracowników przed zagrożeniami z cyberprzestrzeni. Nie możemy bezgranicznie ufać technologii. Aby program antywirusowy przeoczył uprzednio wykrywany malware, wystarczy czasem nieco zmienić złośliwy kod. Ba, trzeba przecież pamiętać, że podczas przeprowadzania ataku phishingowego cyberprzestępca niekoniecznie musi włamać się do naszego systemu. Przebiegłość oraz poziom skomplikowania ataków często przyprawiają o zawrót głowy. Nierzadko w osiągnięciu celu crackerom dopomaga niezbyt czujny użytkownik komputera... Udane ataki phishingowe to niestety najczęstszy sposób włamań do korporacyjnych sieci.
Moją nieśmiałą intencją było zasygnalizowanie realnego problemu, który staje się coraz bardziej powszechny, oraz wzbudzenie Waszej czujności w obliczu współczesnych zagrożeń związanych z korzystaniem z sieci – w tym przypadku ze zjawiskiem o dźwięcznej nazwie i nierzadko nieobliczalnych skutkach – z phishingiem. Na koniec chciałem jeszcze podkreślić fakt, który czasem może wydawać się mało oczywisty: za bezpieczeństwo informacji w firmie odpowiada każdy z nas. Przypuszczalnie niektórzy uznają tekst za nieco paranoiczny, a inni w przytoczonych historiach może spostrzegą coś niepokojąco znajomego...


*0-day, czyli zero-day exploit, to praktyczne wykorzystanie luki w systemie operacyjnym lub w aplikacji w momencie, w którym producenci oprogramowania nie zdołali jeszcze udostępnić odpowiedniej poprawki bezpieczeństwa (czyli np. windowsowej aktualizacji).



Popularne posty