Phishing w pracy i w życiu prywatnym – jak nie dać się nabrać na socjotechniczne sztuczki?

Opublikowano: Opublikowane w

Pierwsza dekada XXI wieku, centrum Warszawy, niedaleko stacji metra Pole Mokotowskie. Na horyzoncie pojawia się zagubiony, niespokojny mężczyzna. Nazwijmy go Zbyszek. Widać, że Zbyszkowi przydarzyło się coś złego. Z niepokojem podchodzi do przechodniów i prosi o pomoc. Większość osób, obawiając się obcego, odchodzi, nie podejmując rozmowy…  Co pewien czas, jakiś przechodzień zatrzymuje się, wysłuchuje. Nikt jednak nie chce mu pomóc. Jak dowiadujemy się z rozmów Zbyszka z przechodniami, został on okradziony z portfela, dokumentów i karty, z której właśnie miał wypłacić znaczącą gotówkę (miał umówione spotkanie, na którym planował ubić intratny interes). Na całe szczęście, w końcu znalazł się życzliwy przechodzień, który zechciał dopomóc w potrzebie Zbyszkowi. W tym celu obaj mężczyźni, po krótkiej rozmowie, zniknęli w bramie mokotowskiej kamienicy, bo Zbyszek przypomniał sobie, że mieszka tam jego znajoma z dawnych lat i ona na pewno mu pomoże. Faktycznie – kiedy mężczyźni wchodzą na podwórko kobieta stoi przy wejściu do klatki schodowej, wita Zbyszka, pytając ze zdziwieniem, co tu robi, i oferuje pomoc, ale prosi o możliwość zadzwonienia do znajomego detektywa (który takie sprawy rozwiązuje od ręki), bo akurat nie ma przy sobie swojego telefonu… Po 10 minutach dobroduszny przechodzień wychodzi z owej bramy. Sam. Bez swojej karty. Bez dokumentów. Bez telefonu. Z podbitym okiem. Dopiero teraz zrozumiał, że Zbyszek oraz jego znajoma okazali się być złodziejami i naciągaczami, w dodatku z godnym pozazdroszczenia talentem aktorskim!

Jeśli pomyślałeś choć przez chwilę, drogi Czytelniku, że Ty byś na pewno tak nie postąpił, albo też gotowyś negatywnie ocenić pomocnego bohatera powyższej historii, ten tekst jest dla Ciebie. Dlaczego? Otóż od miesięcy, jak nie lat, jesteśmy stawiani w analogicznej sytuacji, co najmniej kilka razy każdego roku, kiedy to do naszej skrzynki mailowej trafia e-mail nazywany przez osoby znające się na rzeczy phishingiem.

Wydawać by się mogło, że historia z ukradzionymi dokumentami i utraconą szansą na interes życia jest rzadkością, a jednak wystarczy przyjrzeć się temu, co zwykle ląduje w folderze spam. Nieraz znajdujemy tam wiadomość, w której za pomocą socjotechniki, nadawca próbuje zmylić odbiorców, a następnie ich ufność wykorzystać dla własnych korzyści. Na tym polega phishing. Jest to działanie, w którym autor, często podszywając się pod wiarygodny podmiot, próbuje na odbiorcy wymusić pożądane działanie lub uzyskać informacje. Ofiara może ponieść także straty finansowe.

Najbardziej powszechnym przykładem jest tzw. przekręt nigeryjski, a swoją nazwę zawdzięcza państwu, z którym pierwotnie była związana owa akcja przestępcza. Ogólnie rzecz ujmując, scenariusz zwykle jest zbliżony: na skutek nielegalnego działania, nadawca wiadomości stracił swój ogromny majątek, który może odzyskać tylko jeśli wykona akcję, na którą nie posiada środków finansowych. I dlatego do odbiorcy zwraca się z prośbą o zrobienie przelewu, a jak tylko odzyska swoje pieniądze, pomocnej osobie gwarantuje obfity zastrzyk pieniężny.

źródło: oryginalny przykład phishingu ze skrzynki odbiorczej Autorki

Kolejny przykład, bardziej współczesnego phishingu, to gdy na skrzynkę biurową trafia e-mail z niezwykle ważnym plikiem w załączniku, którego potwierdzenie stanowi podstawę dla przyszłości firmy. Odpowiedzialny pracownik więc z zaangażowaniem otwiera wiadomość, pobiera załącznik, a następnie… traci dostęp do wszystkich danych, a jeśli chce odzyskać dostęp do nich, musi przekazać nadawcy określoną kwotę lub ilość bitcoinów.

Jak się bronić? Jakie działania wykonać wewnątrz organizacji, by mieć pewność, że taka sytuacja nie będzie miała miejsca? Że na skutek phishingu nie zostaną zablokowane żadne dane, albo że nie zostaną wykradzione ważne, objęte tajemnicą informacje?

Na te pytania nie da się niestety udzielić prostej odpowiedzi. Tak, jak złożona jest psychologia, tak złożone są rozwiązania. Powiązane z psychologią nie jest przypadkowe, bowiem pierwszym krokiem do zrozumienia phishingu, jest zrozumienie socjotechnik, stosowanych przez internetowych naciągaczy.

Przez lata obserwacji, w środowiskach bezpieczeństwa internetowego, udało się wydobyć sedno wiadomości phisingowych, a dzięki analizie poczty przychodzącej wg tych kryteriów, można zwiększyć prawdopodobieństwo odporności na atak.

Taki atak zazwyczaj:

  • Może wyglądać jak wiadomość od kogoś znajomego (np. firma partnerska, popularna firma kurierska)
  • Bywa zupełnie zaskakujący, choć często adekwatny do kontekstu (np. ponaglenie do zapłaty, albo brakująca faktura)
  • Prośby w nim zawarte są wiarygodne (np. faktycznie zalegaliśmy z płatnością, lub zamówiliśmy kuriera do realizacji przesyłki)
  • Odnosi się do głębokich uczuć – zwykle strachu lub pożądania (tak! Przecież chcę być bogaty!)
  • Nakłania do konkretnego działania (chcesz być bogaty? Zrób przelew…)

Bardziej zaawansowane formy phishingu wykorzystują także komunikację wielokanałową. Dokładnie tak, jak najwyższej klasy marketerzy. Oszuści również mogą być wysokiej klasy, ale w negatywnym sensie. Wyspecjalizowani w tego rodzaju oszustwach przestępcy, długo przygotowują swój plan, obserwują ofiarę, poznają jej zwyczaje, nawyki i atakują w najmniej spodziewanym momencie. W ciągu normalnego, spokojnego dnia nagle rozbrzmiewa telefon. Telefon dzwoni, ot – zwykła rzecz w dużym, korporacyjnym świecie.

– Cześć, tu Anka z księgowości, mamy audyt, pilnie potrzebuję akceptacji korekty faktury, którą zaraz do Ciebie wyślę, możesz to dla mnie szybko załatwić? To bardzo ważne! Życie mi ratujesz!

– Jasne, tylko najpierw usuniemy awarię i już do Ciebie wracam.

– Nie, nie! Nie możemy czekać, to tylko parę chwil, od Ciebie zależy audyt!

– Dobra, już otwieram. Mam!

I faktycznie. W skrzynce ofiary mail od Anny, adres w domenie firmowej, w załączniku plik PDF, opisany Korekta_Faktura_0012468786/2018.pdf. Ofiara szybko otwiera, by życie koleżance uratować, ale wydaje się, że załącznik się nie otwiera. Komputer pokazuje komunikat o błędzie pliku. Chce oddzwonić do koleżanki, ale okazuje się, że dzwoniła z zastrzeżonego numeru. W tym momencie wirus już dociera do wszystkich dostępnych adresów firmowych, a w ciągu 10 minut blokuje dostęp do danych, jednocześnie wysyłając na adresy ze skrzynki ofiary kolejną wiadomość-pułapkę…

Taka historia to nie żart. To bardzo realny scenariusz, który – choć w polskich korporacjach nie zdarza się, na szczęście, zbyt często – to trzeba być gotowym na to, że to się zmieni i metoda ta stanie się tak powszechna, jak ta “na wnuczka”.

No dobrze, to już wiadomo, jakie niebezpieczeństwa na nas czyhają. Teraz pora na kilka wskazówek: jak się bronić i jak przygotowywać załogę na takie scenariusze.

Przede wszystkim pora zmienić nawyki i nieufnie podchodzić do każdej przychodzącej wiadomości. Dlatego bazując na wyżej wymienionych wynikach obserwacji phishingu, warto wyrobić w sobie automatyzm w postaci analizy maili pod kątem:

  • Czy spodziewam się tej wiadomości?
  • Czy spodziewam się jej od tej osoby? Czy ją znam?
  • Czy to na pewno adres e-mail tej osoby, a nie łudząco podobny, różniący się jednym znakiem czy kropką?
  • Czy zawarta jest tam prośba o działanie?
  • Czy treść odnosi się do moich uczuć?
  • Czy celem jest zrobienie czegoś przeze mnie?

Tworzeniem nawyków w całym zespole pracowników służą tak zwane testy phishingowe, które są tak naprawdę długotrwałymi i kontrolowanymi atakami, których rezultaty są głęboko analizowane, a treści dostosowywane do kontekstu danej firmy. Skuteczność takiego treningu mierzona jest na bieżąco, a efekt jest widoczny, gdy coraz mniejsza liczba pracowników reaguje na wysyłane maile phishingowe. Im bardziej podstępne maile, im bardziej wyrafinowane metody socjotechniczne, a czas prowadzenia testów wystarczająco długi, tym większe szanse, że zespół stanie się prawdziwie odporny na ataki phishingowe, a firma będzie bezpieczniejsza.

Testami tego typu zajmują się liczne organizacje, na co dzień podejmujące zagadnienia związane z bezpieczeństwem, ochroną osób korzystających z komunikacji elektronicznej, czy walką ze zjawiskiem spamu.

Ucząc się odporności na ataki, warto także poznać kilka elementów technicznych, których nawet ogólna weryfikacja może pomóc w odparciu ataku. Na początek proponuję przyjrzeć się następującym detalom:

  • domena nadawcy – nawet niewielka różnica, ledwo zauważalna, może spowodować, że uwierzymy nadawcy, mimo, że domena adresu nie jest związana z firmą czy z partnerem
  • dane nadawcy – podobnie w zakresie imienia i nazwiska, niewielka różnica może nas zmylić
  • serwer wychodzący – w źródle wiadomości można zobaczyć, czy wiadomość przyszła z zewnętrznego przekierowania, czy też jest wiadomością faktycznie wysłaną od prawdziwego nadawcy
  • błędy gramatyczne, literówki, niechlujność stylistyczna – im bardziej niestaranny atak, tym więcej błędów.

Elementów do analizy można by podawać jeszcze wiele, ale te najważniejsze do weryfikacji pozwolą stworzyć podwaliny do przygotowania procedur zwiększających bezpieczeństwo. Jednocześnie też, jeśli w celach zawodowych uda się podnieść odporność na ataki, zwiększona zostanie czujność i zmienione nawyki, jest ogromna szansa, że te umiejętności przydadzą się także w życiu prywatnym. Nie jest bowiem tak, że tylko dane służbowe są narażone na kradzież i wyciek, ale także dane prywatne, dostępy do kont, zdjęcia, notatki i dokumenty przechowywane w komputerach. Im większa świadomość, dotycząca metod oszustw internetowych oraz uwrażliwienie na socjotechnikę, tym większe szanse na wyjście zwycięsko z potyczki z oszustem i przestępcą.

 

Katarzyna Ugorowska
Absolwentka Uniwersytetu Warszawskiego, ekspert w SARE, prowadzi warsztaty oraz webinary na temat spamu oraz skutecznej wysyłki e-mail marketingu.