Piše: Tino Šokić, CNV-IBIS, DobarDan.net
Pandemija koronavirusa postala je plodno tlo za kibernetičke kriminalce, a posebno je na udaru e-pošta. Najčešća je tehnika 'phishing', napad kojim se preuzimaju osjetljivi osobni podaci napadnute osobe ili tvrtke. U gorem slučaju može biti platforma za lansiranje napada ucjenjivačkog softvera kad se traži otkupnina za ukradene podatke
Četvrtak je, uobičajeni radni dan u vašoj tvrtki. Malo poslije 14 sati stiže u odjel nabave zanimljiva e-pošta s naslovom 'Poziv na plaćanje'. Zaposlenik je odmah prosljeđuje računovodstvu da ispita o čemu je riječ. Računovođa prima e-poštu, otvara je i klikne na privitak koji kompletno kriptira lokalno računalo. Analizirajući takav događaj, možemo odmah zaključiti da je sporna e-poruka vrlo lako prošla ljudski sigurnosni zid jer ju je zaposlenik u računovodstvu primio od kolege iz drugog odjela. Tako je zanemarena bilo kakva provjera sporne e-pošte, primjerice, tko je poslao ili sumnjive poveznice i privitka unutar e-poruke.
Takva situacija nije hipotetska, već nešto što se doista dogodilo mom klijentu. Sreća u nesreći bila je što sporni privitak nije počeo putovati po cijeloj poslovnoj mreži i nanositi još veću štetu. Tako može početi bilo koji radni dan, jer svi su meta. U ovom primjeru opisana je tehnika phishinga kao platforma za lansiranje napada zvanog ucjenjivački softver ransomware – kad hakeri nakon što su uspjeli kriptirati ili šifrirati sve vaše podatke potražuju ucjenom novac za njihov povrat.
‘Pecanje’ na mreži
Riječ phishing na tragu je engleske riječi fishing, što u prijevodu znači 'pecanje' ili 'ribarenje'. Phishing je oblik kriminalne radnje i ponašanja u kojem se prikrivanjem pravog identiteta pokušavaju ukrasti osjetljivi osobni podaci napadnute osobe ili tvrtke. Ti podaci mogu biti pristupne generalije kao što su korisničko ime (username) i lozinka (password), brojevi kreditnih kartica (credit card number), osobni identifikacijski broj i/ili drugi osobni podaci. Uz potencijalnu krađu navedenih podataka cilj napada može biti da žrtva učini nešto (npr. da pokrene ili otvori privitak) čime će napadač steći prednost i potencijal za širenje započete kriminalne aktivnosti. Pojam phishing prvi je put opisan kao tehnika još 1987. u objavljenome radu, odnosno prezentaciji, međunarodne organizacije HP User Group Interex. Najčešće se provodi elektroničkom poštom.
Postoje i druge vrste krađe takvih podataka koje se oslanjaju na model phishinga: vishing, za telefonske prijevare, i smishing, kao što naziv naslućuje, za prijevare SMS-ovima.
Zlonamjerni softver
Drugi pojam, ransomware, zlonamjerni softver (eng. malware, skraćeno od malicious software), korisniku uskraćuje pristup podacima, odnosno onemogućuje upotrebu računala. Nakon zaraze ransomware može šifrirati većinu datoteka i traži otkupninu u zamjenu za daljnje normalno korištenje računala. Pojam je nastao od engleskih riječi ransom (otkupnina) i ware (od engl. malware). Nakon što je šifriran sustav, čak dobijete upute kako vratiti podatke uz anonimno plaćanje otkupnine, jer ipak je to poslovni model (!?).
S obzirom na to da su nam u ovom članku tema prijavare e-poštom, fokusirat ćemo se na phishing. Metodu phishinga podijelio bih na dvije velike cjeline: općeniti (general, untargeted) i ciljani (targeted). Takva je podjela iznimno važna zbog toga što je izravno povezana s ishodom, odnosno s uspješnošću te vrste phishing-napada.
Općenito i ciljano 'pecanje'
Općeniti napad, odnosno phishing-napad koji nije specijaliziran i ograničen na ciljanu skupinu, često je manje učinovit od ciljanoga. Ta vrsta napada jednostavno se oslanja na statistiku. Maliciozne e-poruke nisu posebno osmišljene za primatelja, nego se oslanjaju na količinu, pa se broj primatelja često odnosi na stotine tisuća elektroničkih adresa. Iako mogu nanijeti štetu, već su sustavi za primanje e-pošte postavljeni tako da takve vrste e-poruka označe kao neželjenu poštu (spam).
Druga vrsta, ciljani phishing-napadi, šalju se malom broju primatelja, npr. u nekoj tvrtki ili organizaciji. Takve e-poruke pažljivo su napisane i oslanjaju se na socijalni inženjering kao metodu manipulacije i utjecaja na primatelja e-poruke da učini nešto što nije dobro za njega ili nju. Takve napade mnogo je teže otkriti i zaustaviti, stoga su često edukacija i testiranje korisnika najbolja obrana. Za razliku od općenitih phishing-napada takav, ako je uspješan, često napravi mnogo veću štetu na ciljanim informacijskim sustavima.
Pandemija bolesti COVID-19 postala je plodno tlo za kiberkriminalce u kontekstu kibernetičkih napada elektroničkom poštom.