Phishing

Čo to je a ako ho rozpoznať.

Kedros, a.s.

Čo je to phishing?


Wikipédia o ňom hovorí takto:

Phishing je činnosť, pri ktorej sa podvodník snaží pomocou návnady v elektronickej komunikácii vylákať a neoprávnene získať od používateľov osobné údaje ako sú heslá, používateľské mená a ďalšie podrobnosti napríklad o platobných kartách, aby ich mohol zneužiť na nekalé účely ako vydieranie, krádež peňazí alebo identity.

Emailové systémy chránia pred spamom, ale nedokážu zachytiť úplne všetku nevyžiadanú poštu.

Preto sa pred podvodnými správami musíš vedieť ochrániť ty sám/sama tak, že ich dokážeš rozoznať od legitímnej pošty.

Na ďalších stránkach si ukážeme typické znaky phishingových správ.

Falošné adresy

Spam má často sfalšovanú a zavádzajúcu adresu odosielateľa

  • Doména v adrese nezodpovedá organizácii, za ktorú odosielateľ píše.
  • Viditeľný je nesúlad medzi textovou časťou adresy a domény.
  • Ako odosielateľ a v poli “Reply to” sú použité rôzne emailové adresy s podozrivými doménami.

Prečo nám Pedro píše z info@ekhtong.com, keď tvrdí, že je z DANES COLOUR TRADING CO.?

Ekhtong či DANES?

Nemala by adresa Slovenskej Sporiteľne končiť na @slsp.sk?

Zvláštny email SLSP

Používame vo firme novú doménu?

Emails delayed

Pán Jackson chce odpoveď na svoju outlook.com adresu. To by šlo. Ale prečo píše z adresy pána Charlesa? Alebo skôr Maxwella Richarda Angela?

Mr Charles

Typický obsah

Obsah sa často týka informácií, na ktoré býva phishing zameraný.

Ale pozor. Toto nie je pravidlo. Môžeš dostať podvodnú správu s akýmkoľvek obsahom.

Vyhral(a) si v súťaži, do ktorej si sa neprihlásil

Google lotéria

Vyprší ti konto, ak hneď neklikneš na tento odkaz a nezadáš svoje prihlasovacie údaje na overenie

Webmail

Niekto ti poslal súbor, ktorý si môžeš stiahnuť, ale ty si taký súbor od tej osoby nečakal

A ešte horšie je, ak ani nie je uvedené, kto ti ho poslal. Vtedy na nič neklikaj a počkaj, či sa ti odosielateľ ozve iným kanálom.

Falošný Sharepoint

Skener alebo fax ti poslal dokument, ktorý si nečakal a neskenoval(a) si ho ty. A možno to zariadenie (skener/fax) ani nespoznávaš.

Falošný skener

Máš nejaké zadržané správy, ktoré si môžeš prečítať na webe a k tomu je v emaili odkaz na ich prečítanie.

Emails delayed

P.S.: Naše firemné poštové systémy nič nezadržiavajú; všetko chodí do schránky.

V správe chýba osobnejší prístup

Obsahuje všeobecné oslovenie:

  • Napr. Vážený zákazník, nie tvoje meno.

  • Alebo sa aj v tele správy používa na oslovenie emailová adresa.

    Webmail

Obsah môže byť skomolený

Správy sú často len strojovým prekladom do slovenčiny.

Ale pozor. V jazykoch sa phisheri zlepšujú a stále častejšie vidno aj gramaticky a štylisticky správne phishingové správy.

Mr Charles

Zdôraznená urgentnosť správy

Preto, aby si nad textom veľmi nerozmýšľal a hneď emotívne konal a napr. klikol/klikla na odkaz.

Webmail

Falošné webové stránky

Webový odkaz, na ktorý ťa správa nabáda kliknúť, ukazuje na zvláštne webové adresy, ktoré nepatria prevádzkovateľovi systému, za ktorého sa odosielateľ správy vydáva.

Na každý odkaz v emailových správach ukáž myšou a pozri sa, kam ukazuje. Uvidíš to buď hneď pri kurzore myši alebo v spodnej časti okna.

Falošný Sharepoint

Microsoft neprevádzkuje Sharepoint v Google cloude (appspot.com). Pozri sa vždy na poslednú časť doménového mena pred prvým lomítkom.

Príponu .php programovacieho jazyka PHP ťažko nájdeš na veľkých a známych weboch ako je napr. Sharepoint.

Namiesto https://firma.sharepoint.com je tu https://microsofzxdoiy1pmcsfm7u78sse.uc.r.appspot.com/index.php?c=sss0s…

Phishingový web

Túto správu už poznáš. Teraz si ale všimni URI. Je dlhá a podozrivá. Ukazuje na server firebasestorage.googleapis.com, ale v parametroch je ešte vidno niečo.appspot.com.

googleapis.com spraví presmerovanie na niečo.appspot.com. Tým sa útočník snaží zakryť skutočnú adresu.

Legitímna správa od firemných IT systémov sa nebude snažiť zakrývať svoju pravú adresu.

Podozrivý web

Ak by si na odkaz klikol/klikla, všimni si, ako stránka vyzerá.

Často je graficky nedokonalá, pôsobí ako zle načítaná, nefungujú na nej všetky odkazy alebo obsahuje gramatické chyby a nesprávne logá.

Phishingový web

Toto je reálny príklad graficky pekne spracovanej phishingovej web stránky.

Všimni si ale detaily. Logo SPPR? Čo to má s Kedrosom? Aha! Útočníci ho strojovo zobrali z nášho firemného webu.

V päte stránky je uvedené “KEDROS”. Na pravom webe by mal byť vždy správny názov - t.j. Kedros, a.s.

Že je podozrivá URI tejto stránky, by sme mohli písať možno na prvom mieste.

Na záver si treba uvedomiť, že taktika aj technológie phisherov sa vyvíjajú.

Môžeš aplikovať všetky doterajšie pravidlá a aj tak neodhaliť phishing. Sofistikovaní phisheri už dokážu dokonca napodobniť hlas šéfa a zavolať podriadenému, aby zaplatil nafingovanú faktúru.

Buď preto obozretný vždy, keď ťa niekto žiada o niečo čo i len trochu podozrivé a radšej si u neho over iným komunikačným kanálom, či to nie je podvrh.

Ak máš chuť, môžeš sa otestovať v rozpoznávaní phishingu na https://phishingquiz.withgoogle.com/

Alebo si vypočuj Shaggyho pesničku na túto tému na https://www.youtube.com/watch?v=HTkdwnwAqlg

Mnohé texty na tomto webe sú prevzaté z Wikipédie:
https://sk.wikipedia.org/wiki/Phishing
a webu spoločnosti ESET:
https://bezpecnenanete.eset.com/sk/it-bezpecnost/co-ma-spolocne-phishing-s-rybarcenim/