Phishing: Meta su ljudi, ne tehnologija
Phishing – pecanje ili mrežna krađa identiteta je vrsta napada kojim se pokušavaju prikupljati informacije uz korištenje tehnika obmanjivanja. Sama riječ je neologizam od riječi ribolov (eng. Fishing), odnosno misli se na analogiju gdje ribar baca mamac čekajući da ulov “zagrize”. Ono što posebno izdvaja ovu vrstu napad je to što se napadač pretvara da je osoba ili organizacija od povjerenja, često stvarana osoba ili organizacija – neko sa kim potencijalna žrtva ima kontakt. Kakva god bila varijacija phishing napada, cilj je isti: natjerati metu napada da preduzme odgovarajuću akciju. Ova vrsta napada se pojavljuje u više varijanti, a može koristiti napredne tehnike socijalnog inžinjeringa u kombinaciji sa informacijama iz prethodnih napada ili sa mračnog Interneta kako bi se simulirali originalnost i nužnost za potencijalne žrtve. Ako je cilj da se isporuči zlonamjerni softver, često je dovoljno da se poruka otvori i da proces instalacije počne. U drugom slučaju, napadač će preko poruka pokušati da usmjeri korisnika na akciju koja mu odgovara kako bi ugrozio korisnikovu sigurnost, poput posjete određenoj Internet stranici, otvaranja priloga elektronske pošte, slanja novaca ili informacija, preuzimanje dokumenta ili davanja korisničkih lozinki. Phishing spada u jedne od najstarijih vrsta napada, a trenutno je i jedan od najmasovnijih i najpogubnijih napada. Uz stalno usavršavanje tehnike napada, predstavlja vrstu napada sa kojim se veoma teško tehnološki boriti, odnosno jedini efikasan način zaštite je edukacija i budnost korisnika.
ISTORIJA
Istorijski, prvi phishing napad se dogodio 1990-ih. Grupa hakera se pretstavila kao zaposleni u kompaniji AOL i putem trenutnih poruka i elektronske pošte od korisnika su ukrali lozinke i preuzeli njihove naloge. Do ekspanzije dolazi početkom 2000-ih, kada kreću napadi na banke, sisteme plaćanja i korisnike. Oko 2006. godine, počinju da se ističu phishing napadi gdje su napadači pretežno državno sponzorisani. Do kraja 2010-ih, phishing napadi su postali masovni i najsličniji današnjim, računajući tu napade na poslovne organizacije, državne agencije, banke i korisnike.
VARIJANTE
Najobičniji phishing napad podrazumijeva masovno slanje elektronske pošte, gdje se napadač pretvara da je neko drugi, kako bi primaoca prevario da uradi nešto – obično da se prijavi na Internet stranicu ili preuzme zlonamjerni softver. Napadači se ovdje oslanjaju na lažiranje adrese pošiljaoca, kako bi poruka izgledala da je došla od nekoga kome se vjeruje. Međutim, phishing napadi ne izgledaju uvijek kao obavještenja – obavještenje o novčanoj transakciji, obavještenje da lozinka ističe, obavještenje da je skladište u oblaku prepuno i slično. Neki phishing napadi imaju ciljane mete, organizacije ili korisnike, i tu se napadač ne oslanja samo na lažiranje adrese elektronske pošte.
Spear phishing
Spear phishing (ciljano pecanje) za razliku od običnog phishing napada masovnim slanjem elektronske pošte, napadač proširuje osnovu ovog napada sa prilagođavanjem poruka elektronske pošte tačno određenim organizacijama ili korisnicima. Umjesto napada na nekoliko hiljada korisnika, napadač cilja nekoliko potencijalno visoko profitabilnih organizacija ili korisnika. Pošto napadač troši mnogo vremena na pripremu i prikupljanje informacija o svojoj meti, ova vrsta napada je veoma uspješna.
Whaling
Whaling (lov na kitove) ako su obični korisnici “ribice”, tada se korisnici na upravljačkim funkcijama mogu nazvati “kitovima”. Ovo je vrsta napad usmjerena baš na visoko pozicionirane osobe u organizaciji čije informacije imaju veću vrijednost nego one dobijene od običnih korisnika. Ova vrsta napada je još naprednija od spear phishing napada, jer je ovdje potrebno još dodatnog istraživanja, truda i vremena. Potrebno je znati sa kim osoba na upravljačkoj funkciji komunicira i na kakav način, jednostavno znati sve teme i nijanse koje se koriste u međusobnoj komunikaciji. Napadač obično počinje sa socijalnim inžinjeringom da bi prikupio što više informacija koje će biti korištene u napadu. Adresa elektronske pošte pošiljaoca će izgledati kao prava, a komunikacija će biti u tonu hitnosti, obično sa potrebom slanja informacija, otvaranja priloga elektronske pošte, novčane uplate ili prijave na lažnu Internet stranicu.
Business email compromise (BEC)
Business email compromise – BEC (kompromitovanje poslovne elektronske pošte) je vrsta napad gdje su mete ključne osobe unutar organizacije. Cilj je da se oponašanjem osoba koje odobravaju isplate, prevari primalac i misleći da postupa po nalogu nadređenog izvrši isplatu na račun napadača. Obično napadač dobija pristup elektronskoj pošti osobe koja odobravaju isplate korištenjem već ubačenog zlonamjernog softvera ili preko spear phishing napada. Kada dobije pristup, napadač čeka i posmatra svu aktivnost elektronske pošte jedan duži period vremena, kako bi naučio procese, procedure i načine komunikacije. Stvarni napad počinje slanjem lažne elektronske pošte sa kompromitovanog naloga osobe koja odobravaju isplate sa podacima da se uplata izvrši nekome sa kim se redovno odvijaju finansijske transakcije. Navedena elektronska pošta je u tonu velike važnosti i hitnosti sa zahtjevom da se sredstva prebace na neki novi transakcijski račun. Na kraju novac obično završi kod napadača.
Clone phishing
Clone phishing ova vrsta napada može biti bazirana na prethodno viđenoj originalnoj poruci, nakon čega napadač pravi skoro identičnu kopiju te poruke kako bi primalac pomislio da je prava. Tako posebno pripremljena poruka elektronske pošte se šalje sa adrese koja je lažirana kako bi izgledala isto kao i kod prethodne poruke. Razlika je u tome što je napadač dodao zlonamjeran prilog ili link unutra poruke. Nova poruka se može opravdati kao ponovno poslata ili ispravak prethodne, kako primaocu ne bi bilo sumnjivo. Preuzimanje i otvaranje dokumenta može pokrenuti instalaciju zlonamjernog softvera, dok link može pokrenuti preuzimanje i instalaciju zlonamjernog softvera ili usmjeravanje na lažnu stranicu. Lažna stranica je druga varijanta ovog napada. Napadač u ovom slučaju može napraviti veoma sličnu Internet stranicu originalnoj sa lažnom domenom sličnoj originalnoj, dovoljno sličnu da prevari korisnika koji će tu ostaviti svoje podatke. Napadač usmjerava korisnika na lažnu Internet stranicu obično preko linka u elektronskoj pošti, SMS poruka, trenutnih poruka ili preko zlonamjerne reklame.
Search Engine Phishing
Search Engine Phishing je vrsta napada do koje dolazi kada korisnik pretražuje Internet. U ovom slučaju korisnik može da se susretne sa ponudama ili porukama koje ga mogu podstaknuti da posjeti Internet stranicu. Proces pretrage može biti potpuno legitiman, ali Internet stranice koje će posjetiti mogu biti laže, napravljene samo sa jednim ciljem – za krađu korisničkih informacija. Takve stranice korisniku mogu nuditi besplatne stvari ili dobre popuste za kupovinu, ponude za posao ili prikazivati obavještenja da je Internet stranica otkrila da je korisnikov uređaj zaražen virusom i slično. Zauzvrat bi korisnik trebalo da ponudi određene informacije ili novac. Važno je shvatiti da se ove stranice mogu pronaći na svim legitimnim Internet pretraživačima, pa je potrebno uvijek provjeriti da li je Internet stranica ono za što se predstavlja da jeste.
Smishing
Smishing je vrsta phishing napada koja se odvija preko telefonskih poruka. Ova vrsta napada postaje popularna sredinom 2020-ih. Primljena telefonska poruka oponaša originalne poruke obavještenja koje korisnik dobija od provjerenih pošiljaoca. U poruci se obično nalazi zlonamjerni link ili se traži slanje provjerljivih korisničkih informacija. Prvobitno se napad odvijao preko SMS poruka, dok danas obuhvata skoro sve servise trenutnih poruka (eng. Instant messaging – IM).
Vishing
Vishing još jedna vrsta phishing napada bazirana na telefonu,a koji se odvija preko glasovnih poruka. Jedan način odvijanja ovog napada je da se korisniku ostavi govorna pošta kako bi iz nekog razloga trebao da pozove određeni broj radi rješavanja nekog problema. Na primjer, u banci pojavio problem sa brojem korisničkog računa, korisnik poziva ostavljeni broj, poziv ide preko VoIP usluge direktno do napadača koji sada pokušava, predstavljajući se kao radnik u banci, izvući što više informacija od potencijalne žrtve. Drugi način je da napada ima saznanje da korisnik koristi neki uređaj ili uslugu. Tada se korisnik poziva direktno i napadač se predstavlja kao korisnička podrška. Razlog poziva je nekakav sigurnosni problem, pa su potrebne neke informacije od korisnika kako bi se korisnik navodno zaštitio. Bilo da korisnik poziva ili je pozvan, napadač će uvijek pokušati izvući što više informacija od kojih bi mogao ostvariti finansijsku ili neku drugu vrstu koristi.
Angler phishing
Angler phishing ovo je naziv za phishing napad preko društvenih mreža. Napadači oponašaju funkcionisanje sistema i obavještenja, kako bi ubijedili korisnike da im predaju informacije ili podatke za prijavu. U praksi napadač otvara lažni nalog na društvenoj mreži i onda se povezuje sa pravim (stvarnim) korisničkim nalozima da bi na izgled djelovao kao svaki normalan nalog na društvenoj mreži. Tako, npr. “prijatelj” vašeg prijatelja na društvenoj mreži može da vam pošalje oglas za posao, koji je u stvari lažan, a napadaču će poslužiti da dobije što više informacija o vama ako ste slučajno zainteresovani za oglas. Te informacije može poslije koristiti u napadu na neke vaše druge naloge ili pokušati prevariti vaše prijatelje ili radne kolege poznavanjem releventnih informacija.
Sextortion
Sextortion ova vrsta napada ima elemente ucjene. Napad počinje tako što korisnik dobija elektronsku poštu u kojoj napadač tvrdi da posjeduje dokaze intimnih radnji korisnika. Napadač zahtjeva da mu se plati određena suma novca u kriptovaluti kako navedene dokaze ne bi podijelio sa prijateljima i porodicom korisnika.
Catfishing
Catfishing u ovom slučaju napadač koristi lažni identitet kako bi sa potencijalnom žrtvom pokrenuo romantični odnos preko Interneta. Identitet napadača se zasniva na izmišljenim pričama i lažnim fotografijama kako bi žrtva povjerovala da je u pitanju stvarna osoba. Onog trenutka kada napadač zadobije povjerenje svoje žrtve, može da traži novac. Uvijek se nađe dobar izgovor zašto je potrebna “finansijska pomoć”, a to može biti zbog dolazaka u posjetu, liječenja, bolesti člana porodice i drugih raznih izgovora. Posebno treba obratiti pažnju, ako napadač zatraži intimne fotografije ili video snimke, slanjem istih korisnik može postati žrtva ucjene.
Pored navedenih varijanti phishing napada postoji još mnogo drugih, međutim sve one se manje ili više baziraju na iznad navedenim i tek u jednom malom dijelu dolazi do razlike, pa i do drugačijeg naziva. Ipak, osnova i suština ostaju iste, pa se ovdje neće spominjati.
PSIHOLOGIJA
Uvijek kad se čuje da je nekakav sajber napad uspio, vijest je obično pisana sa elementima senzacije. Međutim, stvari su često u praksi mnogo drugačije i vrlo jednostavne. U slučaju phishing napada, napadači najčešće koriste davno dokazane tehnike ubjeđivanja. Te tehnike obično iskorištavaju urođene ljudske karakteristike, odnosno stvari koje čovjeka ustvari čine ljudskim bićem. Čovjek kao takav, sklon je greškama, a krivica za to uglavnom leži u unutrašnjim uticajima kao što su glad, žeđ, bol, uzbuđenje, požuda, pohlepa i slično koji su tu od postanka čovjeka. Ovi uticaji mogu biti veoma moćni kada se aktiviraju, jer u takvoj situaciji čovjek sve podredi aktivnom uticaju i ne razmišlja potpuno razumno. U slučaju phishing napada, napadači koriste ove uticaje, jer im pomažu u ispunjavanju ciljeva napada.
Hitnost
Unutrašnji uticaji su prolazni – brzo dolaze, ali i brzo prolaze. Zbog toga napadači često spoje unutrašnji uticaj sa osjećajem hitnosti. Tako da bi tipična poruka mogla biti: ”Imate 24h da vratite svoj korisnički nalog.” ili “Požurite, samo 100 prvih kupaca dobija popust”. Na ovim primjerima se vidi kako je hitnost u prvom slučaju spojena sa strahom, a u drugom sa pohlepom. Ovakvo spajanje često zamagli razum korisniku zbog upotrebe unutrašnjih uticaja i natjera korisnika na brzu i nepromišljenu reakciju. Stoga je potrebno obratiti pažnju na vremensko ograničenje koje je uslovljeno hitnim djelovanjem.
Ograničenost
Kada čovjek nešto ne može da dobije, on to želi još više. U tom slučaju, često dolazi do podizanja vrijednosti bez valjanog osnova uz potpuno zanemarivanje kvaliteta. Zbog toga je čovjek spreman da napravi glupost i napadači to dobro znaju, pa često koriste poruke sa ponudom: “dostupno samo danas”. Ovo obično izaziva trenutnu odluku kako se ne bi propustila prilika za dobrom ponudom. Ovo je opšte poznato i primjenjuje se kao tehnika u marketingu prilikom prodaje proizvoda. Ovdje je potrebno obratiti pažnju na to da ponuda važi “samo” sada i da je ponuđeno nešto “jedinstveno”.
Autoritet
Napadači često oponašaju autoritete kao što su policija, doktori, službenici banke, advokati, poreska uprava i slično. Za ovo postoji nekoliko razloga. Prvi razlog je u vaspitanju – djeca se od malih nogu vaspitavaju da poštuju i slušaju autoritete. Iz ovoga se može zaključiti da će čovjeku kojem je kroz vaspitanje usađeno poštovanje i poslušnost prema autoritetu, biti lakše da se istom povinuje. Drugi razlog se krije u povjerenju prema nekim profesijama, jer one izazivaju same po sebi povjerenje. Ljudi obično vjeruju advokatima, doktorima ili religioznim licima da se vode najboljima namjerama da im pomognu. Sljedeći logiku, ovo znači da osoba neće razmišljati o motivima ili razlozima koji motivišu i pokreću takve ljude. Pored toga, određen broj osoba je sklon lakom uticaju od strane osoba sa autoritetom, pa samim tim su više ranjivi. Ovdje je potrebno obratiti pažnju na zahtjev poslušnosti koji dolazi od izvora sa autoritetom, posebno ako se pojavljuje prijetnja da ne ispunjavanje zahtjeva vodi ka kažnjavanju.
Sociolološki uticaj
Čovjekov pogled na svijet i njegovo ponašanje se oblikuju gledanjem na to šta drugi ljudi rade i procjenjivanjem njihovih ponašanja. U ovom slučaju napadači iskorištavaju psihologiju socijalnog uticaja na nekoliko načina. Jadan način je korištenje lažnih preporuka i komentara na Internetu, jer će psihologija socijalnog uticaja da umanji moć opažanja. U takvim situacijama čovjek postaje otvoreniji ka uslugama i proizvodima od kojih su drugi ljudi imali koristi. Povjerenje prema usluzi ili kupovina proizvoda sa dobrim preporukama i komentarima, stvara povjerenje prema toj usluzi ili proizvodu, što napadači teže da iskoriste. U ovom slučaju napadač, korištenjem lažne slike o usluzi ili proizvodu, šalje potencijalnoj žrtvi ponudu kroz koju vrši usmjeravanje ka akcijama koje mu odgovaraju. U drugom slučaju, napadač cilja određenu grupu ljudi koji koji imaju nešto zajedničko. To može biti slučaj da određena grupa ljudi radi ili se druži zajedno. U ovom slučaju, napadač izdvoji jednu osobu iz grupe i preko nje preporučuje kupovinu ili investiciju. Vrlo vjerovatno da će i ostali članovi grupe postupi slično, prateći preporuku člana grupe kojem vjeruju. To je način kako Piramidalna šema radi. Najpoznatija priamidalna šema je prevara u SAD i to od strane Čarlsa Ponzija, italijanskog doseljenika. Ponzijeva prevara jeste prevara u kojoj se novac sakupljen od gomile kasnijih „investitora“ koristi za isplatu nekih (ne svih) ranijih „investitora“ koji cijeloj prevari daju prividni legitimitet i tako privlače nove „investitore“. Ovdje je potrebno obratiti pažnju na preporuke i komentare koji se prvenstveno nalaze u samoj ponudi. To podrazumijeva veoma pozitivne preporuke i komentare, posebno kada pružaju veoma malo detalja. Druga stvar na koju treba obratiti pažnju je gdje se oni pojavljuju. Ako se preporuke i komentari vide na društvenim mrežama na mjestima koja nisu direktno povezana sa njima, to je već povod da se obrati pažnja i posumnja u istinitost.
FUNKCIONISANJE
Možda većina ljudi i zna šta su phishing napadi, međutim malo njih je uopšte svjesno koliki trud napadači ulažu da bi započeli ozbiljan napad. Kao što se može vidjeti iz već navedenog, phishing napadi su više od masovnog slanja elektronske pošte, jer uključuju vještine programiranja, dizajniranja, poznavanje mrežne arhitekture, finansija, pa čak i psihologije čovjeka. Sve ovo izgleda prilično kompleksno, ali se može grupisati u nekoliko jednostavnih koraka, od kojih će i zavisti složenost i izbor varijante napada.
Identifikacija žrtve
Napadač prvo mora da razmisli šta mu je cilj i koliko je vremena spreman da potroši. Ako je u pitanju brzina, nasumično slanje masovne elektronske pošte je odgovor, pa ko se “upeca”. Međutim, ako su meta određena organizacija ili grupa ljudi, potrebno je više vremena i pripreme.
Priprema
Izbor teme napada je sljedeći korak. Ovo može podrazumijevati zloupotrebu neke robne marke ili pripremu posebnog mamca. Pored toga, napadač može krenuti u razvoj ili kupovinu zlonamjernog softvera koji bi se mogao koristit u napadu. Prilikom zloupotrebe robne marke, napadač vrši izbor robne marke koja će izazvati povjerenje kod primaoca elektronske pošte. Pored toga, pristupa izradi lažne domenske adrese ili napadu i preuzimanju stvarne domene. Ako se odluči za izradu lažne Internet stranice na lažnoj domeni, ona će izgledati skoro identično originalnoj, kako bi zavarala skoro svakoga ko je posjeti. Ako se napadač odluči da napravi poseban mamac za potencijalnu žrtvu, on će vizuelno pripremiti elektronsku poštu da izgleda originalno i autentično. Ona će sadržavati zahtjev za pružanje informacija ili slanje novca, a adresa sa koje je poslana biti će izmijenjena da pokazuje adresu elektronske pošte nekoga u koga se ima povjerenje. U jednoj situaciji korisnik će posjetiti Internet stranicu, a u drugoj klikom na link pokrenuti preuzimanje posebno pripremljenog dokumenta ili zlonamjernog softvera.
Distribucija
U ovom koraku, napadač šalje elektronsku poštu koja sadrži zloupotrebljenu robnu marku ili ime, sa linkovima ka lažnim Internet stranicama ili linkovima za preuzimanje zlonamjernog softvera. Pored toga, linkovi ka lažnim Internet stranicama ili za preuzimanje zlonamjernog softvera mogu biti u reklamama na legitimnim stranicama, društvenim mrežama ili u tekstualnim porukama.
Pecanje
U zavisnosti od taktike korištene u napadu, žrtve napada obično urade jednu od ovih stvari – kliknu na link, otvore priloženi dokument ili odgovori direktno na zahtjev napadača. To znači da žrtva napada preuzima zlonamjeran softver ili posjećuje lažnu Internet stranicu, odnosno direktno postupa po zahtjevu i napadaču daje pristup uređaju, povjerljive informacije ili novac.
Profitiranje
Jednom kada napadač “upeca” svoju žrtvu, uvijek teži da proširi djelovanje napada kako bi još više profitirao na napadu. Napadač može u tom slučaju izvesti dodatne napade, prodaju dobijenih informacija ili preuzimanje novca putem dobijenih informacija od žrtve.
TAJNA USPJEHA
Phishing napad je lako izvodljiv, jeftin i veoma efektivan. Uz malo truda i nešto ulaganja, napadači mogu brzo doći do veoma vrijednih informacija. Pored toga, na Mračnom Internetu (Dark web) su dostupni alati ili gotovi servisi za phishing napade koje mogu iznajmiti i oni koji nemaju neko posebno tehničko znanje. Jedan od alata koji to omogućava je phishing kit. To je alat koji čini pozadinu napada i on sadrži pripreme za Internet servere, gotove elemente Internet stranica, prostor za skladištenje prikupljenih podataka, ogroman broj registrovanih domena i tehnike za izbjegavanje detekcije. Ovo omogućava napadaču da uz određeno tehničko znanje u nekoliko klikova podigne gotovu infrastrukturu spremnu za napad. Kako bi stvari bile još jednostavnije, ovaj korak je moguće preskočiti iznajmljivanjem gotove podignute infrastrukture, pa napad mogu izvršiti i tehnički neupućene osobe. Na Mračnom Internetu se uz određenu novčanu naknadu može iznajmiti Phishing-as-a-Service (PhaaS) usluga. Ova usluga funkcioniše kao i svaka pretplatnička usluga na Internetu, što znači da za pristupačnu sumu novca bilo ko može dobiti pristup profesionalnim phishing alatima. To podrazumijeva skoro sve što je potrebno za započinjanje phishing napada – spremne poruke za slanje, zlonamjerne linkove, lažne Internet stranice i razne tehnike za izbjegavanje detekcije. Uspjeh korisnika ove usluge je i uspjeh prodavca, što znači da će se prodavac potruditi da servis uspješno izvršava napade na korisnike kako bi došlo do povećanja prodaje ove usluge. Sve ovo znači povećanje broja phishing napada. Nasuprot tome je problem što organizacije uopšte nemaju ili ne investiraju u prave alate za zaštitu, kao i što ne vrše obuku zaposlenih u organizaciji. Treba imati na umu da zaposleni u organizaciji u svom posjedu imaju korisnička imena i lozinke, kao i podatke koji su kritični za poslovanje. Sam izostanak treninga i edukacije zaposlenih je izostanak svijesti o napadu i njegovim posljedicama i to je najčešći razlog zašto je phishing napad uspješan. Uspostavljeni sistem zaštite koji funkcioniše pod budnim okom iskusnog i obučenog tima za sajber bezbjednost je mnogo teže svladati. Zato napadači koriste phishing napad koji se isključivo oslanjaju na ljudsku prirodu i njenu sklonost ka greškama ili želji da se nekome pomogne. U takvim situacijama, napadač je od cilja udaljen samo jedan klik daleko. Pored toga, napadači imaju još jednu prednosti na raspolaganju – fleksibilnost, jer se phishing napadi mogu odvijati preko nekoliko vektora. U slučaju da napad preko elektronske pošte nije uspješan, napadač može primijeniti neku od navedenih varijacija, pa čak pokušati i napad preko privatnih naloga ako već ne može ugroziti poslovne. Bez obzira što ova vrsta napada potiče iz 1990-ih, ona se masovno i dalje koristi iz jednog vrlo jednostavnog razloga – zato što uspijeva da ispuni svoju svrhu koristeći ljudski faktor kao najslabiju kariku.
POSLJEDICE
Kada se govori o posljedicama phishing napada, one mogi izazvati haos i to onu vrstu haosa koja zatvara poslovne organizacije i uništava ljudske snove. Po nekim statistikama, više od polovine poslovnih organizacija se zatvori kao posljedica sajber napada. Troškovi zastoja u poslovanju zbog zaustavljanja širenja napada, istrage, sanacije i oporavka mogu biti ogromni. Pored toga nije moguće odmah sagledati stvarnu štetu, pa nekada prođu i godine dok se ne utvrdi stvarana šteta i ne isplate sve naknade. Potrebno je još uzeti u obzir tužbe korisnika usluga i regulatorne kazne koje su često veoma visoke. Tu je još problem što u čitavom ovom procesu organizacija gubi produktivnost i reputaciju, pa nekada nisu dovoljni ni ogromni finansijski budžeti da se nastavi poslovanje. Sve ovo je u manjoj razmjeri primjenjivo na običnog korisnika sa izuzetkom da čitav teret borbe on sam mora obaviti. Upad preko privatnih korisničkih naloga u naloge poslovne organizacije može imati za rezultat otkaz. Odavanje bankarskih informacija prilikom prijave na lažnu Internet stranicu može ostaviti korisnika bez ušteđevine ili penzionog fonda. Kao što je već rečeno: haos koji zatvara poslovne organizacije i uništava ljudske snove.
ZAŠTITA
Kako zaustaviti phishing napad je pitanje koje muči sve IT administratore širom svijeta i tu ne postoji jednostavan odgovor. U praksi je moguće primijeniti nekoliko međusobno povezanih slojeva zaštite koji će povećati otpornost na phishing napade, ali ih nije moguće moguće uvijek i svugdje primijeniti:
– Prvi sloj zaštite je onemogućiti napadače da započnu napad. Napadači prvenstveno koriste javno dostupne informacije, pa je zbog toga potrebno javno objavljivati samo ono neophodno. To u praksi znači da nije potrebno na Internet stranici objaviti sve adrese elektronske pošte, brojeve telefona, biografije zaposlenih i slično. U situacijama kada informacije postaju javno dostupne, potrebno je adekvatno procijeniti koliko je informacija potrebno da se uspostavi kontakt i povjerenje. Nakon uspostavljanja kontakta i utvrđivanja identiteta, u skladu sa procjenom može se pristupiti pružanju dodatnih informacija. Pored toga, potrebno je upoznati zaposlene da i oni vode računa kako dijele svoje lične informacije, jer se preko privatnih informacija može doći i do poslovnih.
– Drugi sloj zaštite uključuje tehnološko rješenje u tri koraka. U prvom koraku pružalac Internet usluga (ISP) bi trebalo da implementira uslugu filtriranja i blokiranja koja će biti dostupna svim korisnicima. Drugi korak je filtriranje i blokiranje na nivou korisničkog servera, prije nego što phishing napad dođe do korisnika. I posljednji korak bi bio na samom uređaju korisnika. Softverska rješenja koja se primjenjuju kroz opciju filtriranja trebalo bi da određeni sadržaj klasifikuju kao nepoželjan, a kroz opciju blokiranja dio sadržaja spriječe da uopšte dođe do korisnika. Da bi se to postiglo, koristi se tehnika gdje se IP adrese, nazivi domena i adrese elektronske pošte stavljaju na dozvoljene i blokirane liste; upotrebljavaju se i javno dostupne liste za blokiranje, vrši se blokiranje određenih vrsta priloga elektronske pošte (*.exe, *.vbs, *.js, *.zip, *.tar i slično), kao i detekcija zlonamjernog softvera.
– Treći sloj zaštite podrazumijeva sigurnosni trening i tu se često pravi greška. Prilikom sigurnosnog treninga stavlja se veliki naglasak na trening simulacijom phishing napada i očekuje se od učesnika velika prolaznost. Treba imati na umu da je u modernom poslovnom okruženju, korisnicima posao da odgovaraju na elektronsku poštu i otvaraju linkove i dokumente. Zbog toga je potpuno nerealno očekivati od korisnika konstantnu budnost, jer se u praksi pokazalo da je prilično teško prepoznati phishing napad, a spear phishing napad pogotovo. Čak se i sajber stručnjaci muče da ih prepoznaju. Suština problema je to što u mnogim organizacijama postoji duboko ukorijenjena kultura kažnjavanja. Ona se zasniva na vjerovanju da će korisnik koji je okrivljen ili kažnjen, sljedeći put biti nekako sposobniji da prepozna napad. U takvim situacijama dolazi do pojačanog stresa, pa i do nepovjerenja između korisnika i sigurnosnog tima organizacije. Korisnik koji se boji odmazde ili neće prijaviti propust odmah ili ga neće prijaviti uopšte. Jasno je da kultura kažnjavanja jednostavno ne funkcioniše. Pravilno bi bilo korisnicima objasniti da ne mogu prepoznati svaki phishing napad i da se to od njih i ne očekuje. Cilj sigurnosnog treninga treba biti upoznavanje sa prijetnjom i ohrabrivanje korisnika da se mogući incidenti prijave. Treba im pokazati da je sasvim uredu zatražiti pomoć kada se nešto čini sumnjivo. Korisnicima treba omogućiti da razumiju prirodu prijetnje, posebno oni korisnici koji rade u rizičnim odjeljenjima organizacije. Kao jedan od načina, neke organizacije organizuju sigurnosne treninge gdje korisnici sami pripremaju phishing napad na druge korisnike unutar organizacije. To im pomaže da shvate proces i dobiju bolji uvid kako pravi phishing napad funkcioniše. Druge organizacije rade edukaciju preko promotivnih materijala, organizuju radionice, kvizove i slično. Kako bi se korisnicima olakšalo, organizacije bi trebale da procijene koji bi procesi unutar organizacije mogli biti kompromitovani. Njih bi trebalo jasno definisati, kako bi se lako moglo prepoznati oponašanje nekoga ko nije detaljno upućen kako taj proces funkcioniše. Takve procese je moguće dodatno zaštiti verifikacijom preko drugog načina komunikacije – telefonskim pozivom, SMS porukom, ličnom potvrdom i slično. Umjesto kulture kažnjavanja, podići kulturu prijavljivanja phishing napada, pa i onih u kojima je korisnik uradio neku akciju, što će pomoći da se napravi profil phishing napada koji pogađaju organizaciju. Korisnicima se treba zahvaliti na doprinosu bezbjednosti organizacije, prezentovati im preduzete korake i na osnovu prikupljenih informacija izvršiti dodatnu edukaciju.
– Četvrti sloj zaštite podrazumijeva prihvatanje da će svakako doći do sigurnosnog incidenta. To podrazumijeva spremnost da se isti brzo otkrije i da se na njega planski odgovori, jer se tako umanjuje potencijala šteta. Zbog toga je potrebno voditi računa da korisnici znaju kako i kome treba prijaviti sigurnosni incident i za takve situacije obezbijediti rezervni kanal komunikacije u slučaju da je primarni kompromitovan. Onog trenutka kada se sigurnosni incident otkrije, potrebno je da svi u organizaciji znaju kako treba da postupaju. Tu dolazi do primjene Plana odgovora na sajber prijetnju i on je ključan za svaku organizaciju kako bi mogla da brzo reaguje u takvoj situaciji. Bezbjednosni stručnjaci se slažu da dobro napravljen plan odgovora na sajber prijetnje omogućava ublažavanje ili čak izbjegavanje napada. Iz navedenog se vidi da je potrebno da Plan odgovora na sajber prijetnju postoji i u stvarnosti, a ne samo na papiru, što znači da sa vremena na vrijeme postoji potreba da se održi i vježba koja treba da pokaže da svako zna svoju ulogu prilikom sigurnosnog incidenta. Cilj bi trebao da bude dostizanje nivoa ponavljanja procesa, koji podrazumijeva postojanje održivog plana, jasnih uloga i odgovornosti zaposlenih, dobra linija komunikacije i jasna procedura odgovora na sigurnosnu prijetnju koja ugrožava poslovanje organizacije.
U situacijama kada nije moguće primijeniti neki od slojeva zaštite ili ga implementirati u potpunosti, onda je potrebno pokušati primijeniti što više preporuka, a to se posebno odnosi na kućne korisnike.
ZAKLJUČAK
Hakovanje ljudi je možda najbliži moderni opis phishing napada i jasno je da oni i dalje ostaju glavna prijetnja za korisnike i organizacije. Tome doprinosi i njihova evolucija od prvih napada preko elektronske pošte, do danas kada imamo napade korištenjem govora, SMS poruka, trenutnih poruka, društvenih mreža, kao i zloupotrebom svih javnih medija kao početnog izvora informacija. Istovremeno, namjena phishing napada se promijenila od prvobitne krađe informacija i finansijskog kriminala, do sajber terorizma, haktivizma, sabotaže, špijunaže i državno sponzorisanih napada. U svemu tome se jasno može vidjeti razlika između naprednih phishing napada i odbrambenih mehanizama, gdje su napadači u velikoj prednosti. S obzirom na situaciju, moglo bi se reći da je edukacija korisnika najefikasnije odbrambeno rješenje, ali naglasak je na tome da ne postoji jedinstveno rješenje ovog problema zbog fleksibilnost ove vrste napada koji se može odvijati preko nekoliko vektora.