Pentru a înțelege care sunt motivele pentru care vedem un număr tot mai mare de astfel de atacuri în România, trebuie mai întâi să înțelegem ce e phishing-ul.
Phishing-ul este un atac de tip Social Engineering prin care se încearcă obținerea de informații confidențiale (credențiale pentru conturi bancare, date sensibile cu caracter personal, numere de card, etc.) impersonând companii cu care ținta atacului a avut contact în trecut.
Cum devenim victimele phishing-ului
Phishing-ul este o metodă de atac relativ simplu de implementat și, din păcate, foarte eficientă. Nu sunt necesari atâția pași premergători cum este în cazul altor atacuri. Un eventual atacator nu trebuie să penetreze o infrastructură complexă de securitate pentru a utiliza acest atac. Resursele care se doresc a fi atacate sunt publice.
Este relativ simplu să clonezi o pagină web pe care mai apoi să o folosești într-o campanie de phishing. Creșterea atacurilor de tip phishing în România se explică probabil prin creșterea ratei de adopție a serviciilor digitale.
Din ce în ce mai mulți oameni folosesc servicii de tip e-banking sau servicii financiare conexe, cum este SmartBill, și nu numai. Suprafața de atac crește și acest lucru doar va mări interesul atacatorilor.
Principală problemă a atacurilor de tip phishing o constituie faptul ca este foarte ușor să devii victimă a unui astfel de atac. Primul vector de atac se bazeaza pe reacția majorității dintre noi care atunci cand vedem logo-ul unei companii într-un e-mail și având în vedere relația de încredere cu compania sau instituția respectivă vom lua de bun ce ni se comunică.
Pe asta se și bazează atacatorul. Un alt factor se referă la lipsa de conștientizare în ceea ce privește riscurile online. În mod normal dacă cineva ar bate la noi la ușă și ne-ar spune că e reprezentant al unei companii și are nevoie de credențialele noastre, le-am da? Evident că nu. Același comportament trebuie să îl transpunem și în online.
Al treilea factor care explică de ce este așa ușor să cazi victima unui atac de phishing este lipsa de atenție care derivă din primii doi factori.
Aici însă, dacă ne punem câteva întrebări simple cum ar fi: cine ne-a trimis acest mesaj, către ce site sunt redirecționat, de ce aș primi un anume document nesolicitat de la respectiva companie, vom contribui la eșecul unor astfel de atacuri.
Tipuri de atacuri phishing
Există mai multe tipuri de atacuri de phishing care necesită un grad mai mare sau mai mic de informații care trebuie strânse în prealabil (recunoaștere). Sunt atacuri care pot ținti utilizatori ai unor platforme publice (Gmail, Apple, etc.).
Aici pur și simplu se trimit mesaje către acei utilizatori în speranța că un număr cât mai mare dintre ei vor da click și vor pica în plasă. Aceste mesaje vor fi cel mai puțin personalizate (deci mai puțin eficiente), însă au un număr foarte mare de potențiale victime.
Apoi avem atacuri ceva mai concentrate și focalizate pe un singur serviciu, cum este cazul SmartBill. Aici un atacator va avea nevoie de o listă de utilizatori ai acestui serviciu. O astfel de listă se poate obține prin atacuri de tip reconnaissance (recunoaștere) care vizează serviciul respectiv. Mesajele din acest tip de atac vor fi mult mai personalizate generând un grad mai mare de încredere din partea victimelor.
Țintele campaniilor de phishing diferă și sunt alese în funcție de obiectivul final. Există atacuri cu obiective financiare, cum este și în cazul SmartBill, sau al unei platforme de e-banking. Există însă și atacuri ce au ca obiectiv obținerea accesului la diverse resurse (conturi de email sau de file sharing) pentru a recolta informații. Un bun exemplu aici este atacul suferit în 2016 de membrii partidului democrat în Statele Unite, atac ce a avut repercusiuni politice.
O altă variantă de atac este și spear-phishing-ul. Aici vorbim de un atac foarte focalizat pe o persoană sau un grup restrâns de persoane. Țintele aici sunt alese în funcție de pozițiile pe care le ocupă, iar mesajele vor avea un grad extrem de personalizare.
Phishing - cum ne putem apăra
Acum, ultimul punct, dar cu siguranță cel mai important - cum ne putem apăra și ce ar trebui să facă companiile pentru a nu deveni victime ale unor astfel de campanii de phishing?
Cea mai eficientă metodă este de a lansa campanii periodice de conștientizare în ceea ce privește acest tip de atacuri. Și nu trebuie să ne rezumăm doar la phishing.
Un alt tip de atac care este din ce în ce mai folosit, ransomware, folosește și el atașamentele din mesaje e-mail pe care le deschidem fără să ne întrebăm asupra provenienței. Important este să învățăm să privim cu circumspecție acest gen de mesaje.
În ceea ce privește modul în care ar trebui să ne comportăm atunci când primim un e-mail care pretinde să fie din partea unei anumite persoane sau companie - în primul rând trebuie să ștergeți și să nu deschideți niciun atașament, și apoi este recomandabil să informați compania care a fost impersonată despre acest lucru.
Exact cum a procedat compania SmartBill care a anunțat public toți clienții despre acest incident, lucru care ar trebui apreciat de clienți și de piață, deoarece este cea mai bună practică care oferă șansa de a avertiza imediat partenerii și clienții pentru a reduce cât mai mult posibil potențialele daune.
----
Opinie transmisă de Cosmin Voicu, Senior Security Engineer at DENDRIO