Svi mi koji radno vrijeme provodimo za računalom, nebrojeno smo puta čuli podatak kako se moramo štititi od zlonamjernih programa ili prijevara putem interneta. Gotovo svi smo vidjeli pokušaj Phisinga na našim mailovima,a da neki toga nisu bili niti svjesni.

Danas ćemo se osvrnuti na jednu od najčešćih i najjednostavnijih načina za prikupljanje tuđih osobnih podataka kroz socijalni inžinjering i phising.

Zašto se ove vrste prevare zovu Phising? Phising dolazi od engleske riječi Fishing – u prijevodu – pecanje! Dakle u prenesenom značenju, napadači Vas pokušavaju upecati, kako bi ostvarili svoj cilj.

Najčešći ciljevi phising kampanja su prikupljanje podataka kojima je moguće pristupiti nekom online sustavu ili prikupljanje podataka za kartično poslovanje.

Tokom dana stigao nam je još jedan upit, gdje nas jedna poznanica pita o čemu se radi i treba li se zabrinuti.

Primila je e-mail poruku slijedećeg sadržaja:

Vidiljivo je iz poruke, kako se napadač koristi e-mail adresom koja glasi na Željka Perković, a koja je pristigla s lažnog poslužitelja Ministarstva kulture @min-kulture.hr pokušava predstaviti kao predstavnik neke formalne institucije. Postoje dva scenarija – napadač ili koristi sistem lažiranja e-mail adrese s koje šalje e-mail, ili uistinu postoji osoba Željka Perković u Ministarstvu kulture kojoj je -email račun već kompromitiran da toga nije niti svjesna.

Obratite pozornost na sadržaj i pravopis u e-mailu. Stilski ne odgovara načinu komunikacije od strane institucija prema građanima, u teoriji, ministarstvo kulture nema nikakve veze s administriranjem vašeg e-mail sandučića.

Najčešće obilježje ovakvih e-mailova je metoda kojom se psihološki pokušava utjecati na potencijalnu žrtvu naglašavajući žurnost i brzinu koja je potrebna za rješavanje problema opisanog u samom dispozitivu e-mail poruke. Sama činjenica da je šalje neko ministarstvo, dodaje dodatnu dramatičnost i autoritativnost problematici koja se nastoji opisati u sadržaju e-mail poruke. Takvom metodom pokušava se navesti žrtvu da pomisli kako je “nešto zeznula” pa mimo korporativne sigurnosne procedure ili zdrave logike pokušava otkloniti nedostatak kako drugi ne bi saznali da ste nešto zeznuli. Kada se odlučite na takav potez – u tom trenutku ste upecani.

U ovom konkretnom slučaju – namjerno ćemo se upecati na ovaj Phising, kako bi vam predočili što se uistinu događa i kako prevaranti koji koriste phising uopće nisu “hakeri” kako ih svi od milja zovemo, nego čisti prevaranti s pristupom računalu, ako se sjećaju starije generacije, kao “šibicari” i “đinđari” koje ste mogli sresti u blizini tržnica, kolodvora ili odmorištima uz ceste.

Raščlamba prijevare kroz korake

1. Primamo mail upozorenja kako će nam nestati sve poruke s e-računa ako ne učinimo ono što piše u tekstu e-maila
2. Strašno se uplašimo i s pažnjom ali u brzini čitamo sadržaj
3. Nasjedamo i pomislimo “ah zeznuli smo nešto” bilo bi dobro da IT-jevci ne znaju da sam opet nešto spetljao, idem probati to samostalno riješiti
4. Čitam dalje – postoji link koji kaže kliknite ovdje da riješite svoj problem
5. Klikamo na link

Nakon što smo kliknuli na link otvara nam se stranica koja izgleda ovako:

Radi se o lažnoj stranici koja pokušava simulirati online pristup webmailu na vašem internom serveru ili na sustavu Office 365.

Primijetit ćete da u adresnoj traci ne postoji nikakav spomen Microsofta ili outlooka, već se spominje riječ “Wix”. Wix je vrlo popularan servis za izradu internet stranica online, i na njemu tehnički možete napraviti bilo kakvu internet stranicu. U ovom slučaju, napadači su napravili simulaciju stvarnog sučelja za login na MS Outlook web servis za rukovanje mailovima, tako da nekome tko nije pažljiv, izgledati će identično kao i pravo sučelje za logiranje na sustav.

Ovakav login sustav često koriste institucije i ministarstva za svoju internu razmjenu mailova i datoteka.

Idemo dalje raščlaniti situaciju.

7. Popunjavamo podatke lažnim korisničkim imenom, lozinkom i e-mail adresom – dobivamo informaciju da unijeti podaci nisu točni,

8. Pokušamo još nekoliko puta – stalno dobivamo grešku – odmahnemo rukom, i zaboravimo na problem.

Na osmom koraku posao napadača je završen po pitanju dobivanja vaših podataka – a vi nesvjesni bilo čega nastavljate dalje baivit se čime god se bavite inače u tom trenutku, jer ionako imate mnogo posla.

Bez obzira što se na sučelju pokazala poruka o netočno unijetom korisničkom imenu i lozinci, svi podatci koje ste upisali, dostavljeni su napadaču u njegovu bazu podataka. Od tog trenutka na njemu je samo da se ulogira u vaš vlastiti mail account – i pregledava sadržaje mailova. Klikne primjerice na Facebook, unese vašu e-mail adresu i zatraži resetiranje lozinke. Obavijest o resetiranju lozinke, dolazi u mail sandučić u koji ste napadaču dozvolili pristup – gdje prima podatak o autorizacijskom linku za postavljanje nove lozinke – nakon toga vaš facebook račun više nije vaš.

Primjer Facebook računa je relativno benigan – međutim, zamislite da vam netko ubaci ovakvo lažno sučelje za kreditnu karticu u koje između ostalog unosite i sigurnosni kod. Ako vam se takva situacija dogodila, predlažemo Vam da odmah poništite kreditnu/bankovnu karticu i zatražite novu, jer je velika vjerojatnost da ćete biti oštećeni u financijskom smislu. Možda na e-mailu imate bitnu poslovnu tajnu, projekt ili ideju koju tek trebate intelektualno zaštititi. Možda sadržava dokumente nekog važnog sudskog procesa, ili ste možda službenik nekog ministarstva pa razmjenjujete osjetljive podatke sa svojim kolegama ili šefovima. Stoga pamet u glavu i oprezno.

Metode samozaštite

Za sve e-mail poruke koje primite potpuno neočekivano – budite kritični prema njima – obratite pozornost na pošiljatelja, na pravopis, koncepciju i sadržaj teksta. U ovom primjeru vidljivo je da je mail sastavio netko tko uopće nije s HR govornog područja nego je mail pripremio vjerojatno primjenom google translatea što nije teško prepoznati. Jasno je i da Ministarstvo kulture i Microsoft u paketu nemaju apsolutno nikakve zajedničke dodirne točke sa vašim e-mail računom. Kada vidite adresu pošiljatelja – sve iza oznake @ (monkey ili at), predstavlja domenu pošiljatelja koju možete i upisati u tražilicu. U našem slučaju domena je min-kulture.hr – a kakve vi realno veze imate s Ministarstvom kulture iu zašto bi Min. kulture administriralo vaš e-mail sandučić – osim ako naravno niste zaposlenik ovog ministarstva.

Predlažemo i gđi Željki ako uistinu postoji u min-kulture da se javi svojim IT-jevcima da provjere, da li joj je e-mail možda pod nadzorom neovlaštene osobe koja koristi njenu adresu za slanje Phising kampanja.

Inače ova Phising kampanja je dosta “šlampava” i laik je može prepoznati, ali postoje uistinu vrlo sofisticirane kampanje, gdje je bez detaljnog pregleda jako teško uočiti problem, stoga oprez, konzultacije s onima koji znaju i ne reagirati na nešto što vam se čini zbunjujuće, nejasno ili sumnjivo.

Autor N.P.