Rhybičky, rhybičky, rhybáři jedou!
O takzvaném phishingu se toho hodně namluví, ale málokdo si dokáže představit, co vlastně znamená. Odborníci ze společnosti Total Service vám na následující řádcích rádi a s nadsázkou povědí, o co jde, jak se phishingu vyvarovat a proč není dobré nechávat věci náhodě.
Říkanka z dětské hry, ve které jsme běhali proti vyčkávajícím „rybářům“, se mnohým může zdát poněkud nevhodným titulkem, ovšem phishing, v češtině označován též jako „rhybaření“, je aktivita ze všeho nejvíce připomínající právě tuto hru. Česká varianta slova phishing je inspirována Kantůrkovým překladem jazyka zeměplošských Igorů, který češtinu komolí podobným způsobem jako originál angličtinu.
Seriózně, co to ale vlastně je phishing?
Phishing je příkladem techniky sociálního inženýrství, kterou útočník používá k oklamání uživatelů za využití slabých míst současných bezpečnostních technologií, respektive jejich implementace. Ochrana proti rostoucímu množství hlášených případů phishingu zahrnuje legislativu, trénování uživatelů, veřejnou osvětu a technická opatření. Principiálně se jedná o prachobyčejné rozeslání návnady. On je ten internetový rybníček plný kapříků, kteří spolknou návnadu div ne i s navijákem. Onou návnadou je e-mail, tvářící se důvěryhodně, ať už svou úpravou, nebo vydáváním se za důvěryhodný zdroj. Nejčastěji jde odesílateli o šíření viru či o vytvoření backdooru. V roce 2018 bylo velmi oblíbeným útokem rozesílání zprávy o zahájení exekučního řízení. Firmy se taktéž potýkaly se zprávami s přílohou, která vypadala jako PDF soubor, který měl obsahovat fakturu k proplacení či pohledávku. Když pak účetní přílohu chtěla otevřít, jediné, čeho dosáhla, bylo nainstalování viru. V horším případě ransomware.
Co je motivací útočníka?
Pro útočníka je však zásadnější získání přístupu k cizímu počítači a do cizí sítě. Důvěřivý uživatel má instalaci backdooru doslova na dosah ruky. Stačí ho jen přesvědčit, k čemuž rhybář využívá jak jazykové i grafické úpravy a podvržených odkazů, tak i daleko sofistikovanějších metod.
Nebavíme se jen o hromadném rozesílání závadových zpráv, které mají nízkou proklikovost; takové obvykle zachytí spam filtry a antiviry většiny provozovatelů mailingových služeb. Pokud se hacker rozhodne získat přístup do firemní sítě, může toho docílit pomocí přesně zacíleného emailu. Stačí malá chyba, jako je špatně konfigurovaný firemní SMTP server, a hacker se může vydávat za kohokoliv z organizace.
SMTP Spoofing
Třebaže je metoda SMTP spoofingu široce známa, neuškodí si ji připomenout. Za email nebo SMTP spoofing považujeme falšování odesílatele emailové zprávy. Součástí hlavičky emailu je totiž i odesílatel, přičemž tento záznam můžeme poměrně snadno upravit. Za tento nedostatek může SMTP (Simplex Mail Transfer Protocol), který nijak neověřuje, kdo ve skutečnosti email posílá.
Okamžitý přístup
Pro útočníka představuje takto zranitelný SMTP server zlatý důl, protože se díky nim může vydávat za KOHOKOLIV. Není těžké odeslat email s podpisem generálního ředitele, který se dožaduje převedení finančních prostředků firmy, nebo zajištění přístupů pro nějakou osobu do libovolného oddělení, provozu, kanceláře… Následky mohou být nedozírné. Takzvaný spear phishing, neboli phishing zaměřený na vybraný segment, nebo tzv. whaling, což je phishing zaměřený na členy managementu či konkrétního zaměstnance, může být úspěšný právě díky špatně zabezpečenému SMTP serveru.
Obranou je i uživatel
Základní ochrana začíná infrastrukturou. Servery by měly využívat alespoň některý z obranných mechanismů. Jedním z nejpoužívanějších mechanismů je Domain-based Message Authentication, Reporting and Conformance (zkráceně DMARC), což představuje systém pro validaci e-mailových adres nebo alespoň domén. DMARC funguje od roku 2012 a doplňuje dva starší mechanismy, Sender Policy Framework a Domain Keys Identified Mail. Tyto kontrolní prostředky zajišťují, že adresa odesílatele je shodná s doménou, ze které byl e-mail odeslán. Pokud shodná není, může být e-mail s falšovanou adresou odmítnut nebo alespoň označen jako podezřelý.
Jestliže se někdo pokusí podvrhnout adresu z domény, která vyžaduje ověření pomocí DMARC záznamu, bude IP adresa jeho mailového serveru po pokusu o podvrh zablokována. Lze tedy říci, že toto opatření do značné míry omezilo podvrhy e-mailových adres odesílatele. Zdaleka ne všechny domény ale takové ověření umožňují.
„Amatéři nabourávají systémy, profesionálové hackují lidi.“
Bruce Schneider
Uživatelé si musí být vědomi, že e-mail může být podvržený, jelikož i sebelépe zabezpečený systém je zranitelný lidskou chybou. Základním pravidlem je zde obezřetnost. Neklikejte na odkazy v nevyžádané poště nebo na Facebooku. Neotvírejte přílohy nevyžádaných emailových zpráv. Chraňte si svá hesla a nikomu je neprozrazujte. Nikomu nesdělujte vaše citlivé informace, ať už po telefonu, osobně, nebo emailem. Kontrolujte správnost URL adresy navštěvovaných stránek. V mnoha případech při phishingovém útoku vypadá webová adresa na první pohled zcela důvěryhodně, rozdíly ale tkví v detailech. Například v chybném písmeně v URL adrese nebo v odlišné doméně (.com namísto .cz). Pravidelně aktualizujte váš prohlížeč a instalujte bezpečnostní záplaty.
Je třeba si vypěstovat návyk nedůvěřovat e-mailům, které se jakkoli liší od běžných e-mailů, které dostáváte, avšak ani e-mailům od uživatelů z vašeho adresáře nelze bezmezně důvěřovat. Pokud pojmete jakékoli podezření ohledně legitimity e-mailu, ověřte si jeho pravost prostřednictvím jiného informačního kanálu (telefon, dopis). Důležitou a zejména důvěrnou korespondenci chraňte šifrováním; zvykněte si používat elektronický podpis a přesvědčte k tomu i protistranu. Významným vodítkem k rozpoznání pravosti je také formát zpráv. Pokud používáte korporátní šablony, jakákoli odlišnost od originálu je podezřelá. Všímejte si též jazykových odlišností. Například pokud vám napíše kolega se španělským jménem e-mail lámanou angličtinou, zatímco vy víte, že se narodil v USA a anglicky mluví lépe než španělsky, je to podezřelé.
Nebojte se pomoci od odborníků
CSIRT tým založený firmou TOTAL SERVICE a.s. je primárně zaměřený na pomoc při řešení bezpečnostních incidentů u komerčních, příspěvkových, neziskových a státních institucí. Pomáháme řešit incidenty ohrožující infrastrukturu a informační hodnoty společností. Pracujeme také na tom, abychom co nejvíce pomohli kybernetickým incidentům předcházet. Pro efektivní dosažení těchto cílů spolupracujeme s dalšími CSIRT týmy u nás i v zahraničí. Analyzujeme informace, zkoumáme pozorované aktivity a sdílíme důležité nálezy směrem do organizace. Při poskytování služeb se specializujeme na:
- log management a bezpečnostní monitoring, analýzy a reporting,
- mobile device management a ochranu před ztrátou č zneužitím firemních dat,
- identity a access management,
- compliance, patch, access management a šifrování,
- penetrační testování,
- vzdělávání,
- IoT security.
Více se dozvíte na adrese https://www.totalservice.cz/cs/csirt-tym.
Autor textu: Radim Navrátil, vedoucí oddělení security response team, TOTAL SERVICE