Opinie pregatita de Cosmin Voicu, Senior Security Engineer at DENDRIO
In perioada recenta, s-a observat o crestere semnificativa a numarului de atacuri de tip phishing care vizeaza atat angajatii companiilor, cat si persoanele fizice. Cel mai recent atac a fost cel asupra firmei romanesti, SmartBill, care a fost victima la inceputul lunii iulie. Prin intermediul retelelor sociale, compania a adus in atentia tuturor clientilor sai faptul ca a existat o tentativa de phishing in numele SmartBill si a indemnat clientii sai sa acorde atentie e-mailurilor care par a fi trimise in numele sau.
Pentru a intelege care sunt motivele pentru care vedem un numar tot mai mare de astfel de atacuri in Romania, trebuie mai intai sa intelegem ce e phishing-ul. Phishing-ul este un atac de tip Social Engineering prin care se incearca obtinerea de informatii confidentiale (credentiale pentru conturi bancare, date sensibile cu caracter personal, numere de card, etc.) impersonand companii cu care tinta atacului a avut contact in trecut.
Phishing-ul este o metoda de atac relativ simplu de implementat si, din pacate, foarte eficienta. Nu sunt necesari atatia pasi premergatori cum este in cazul altor atacuri. Un eventual atacator nu trebuie sa penetreze o infrastructura complexa de securitate pentru a utiliza acest atac. Resursele care se doresc a fi atacate sunt publice. Este relativ simplu sa clonezi o pagina web pe care mai apoi sa o folosesti intr-o campanie de phishing. Cresterea atacurilor de tip phishing in Romania se explica probabil prin cresterea ratei de adoptie a serviciilor digitale. Din ce in ce mai multi oameni folosesc servicii de tip e-banking sau servicii financiare conexe, cum este SmartBill, si nu numai. Suprafata de atac creste si acest lucru doar va mari interesul atacatorilor.
Pincipala problema a atacurilor de tip phishing o constituie faptul ca este foarte usor sa devii victima a unui astfel de atac. Primul vector de atac se bazeaza pe reactia majoritatii dintre noi care atunci cand vedem logo-ul unei companii intr-un e-mail si avand in vedere relatia de incredere cu compania sau institutia respectiva vom lua de bun ce ni se comunica. Pe asta se si bazeaza atacatorul. Un alt factor se refera la lipsa de constientizare in ceea ce priveste riscurile on-line. In mod normal daca cineva ar bate la noi la usa si ne-ar spune ca e reprezentant al unei companii si are nevoie de credentialele noastre, le-am da? Evident ca nu. Acelasi comportament trebuie sa il transpunem si in on-line. Al treilea factor care explica de ce este asa usor sa cazi victima unui atac de phishing este lipsa de atentie care deriva din primii doi factori. Aici insa, daca ne punem cateva intrebari simple cum ar fi: cine ne-a trimis acest mesaj, catre ce site sunt redirectionat, de ce as primi un anume document nesolicitat de la respectiva companie, vom contribui la esecul unor astfel de atacuri.
Exista mai multe tipuri de atacuri de phishing care necesita un grad mai mare sau mai mic de informatii care trebuie stranse in prealabil (recunoastere). Sunt atacuri care pot tinti utilizatori ai unor platforme publice (Gmail, Apple, etc.). Aici pur si simplu se trimit mesaje catre acei utilizatori in speranta ca un numar cat mai mare dintre ei vor da click si vor pica in plasa. Aceste mesaje vor fi cel mai putin personalizate (deci mai putin eficiente), insa au un numar foarte mare de potentiale victime. Apoi avem atacuri ceva mai concentrate si focalizate pe un singur serviciu, cum este cazul SmartBill. Aici un atacator va avea nevoie de o lista de utilizatori ai acestui serviciu. O astfel de lista se poate obtine prin atacuri de tip reconnaissance (recunoastere) care vizeaza serviciul respectiv. Mesajele din acest tip de atac vor fi mult mai personalizate generand un grad mai mare de incredere din partea victimelor.
Tintele campaniilor de phishing difera si sunt alese in functie de obiectivul final. Exista atacuri cu obiective financiare, cum este si in cazul SmartBill, sau al unei platforme de e-banking. Exista insa si atacuri ce au ca obiectiv obtinerea accesului la diverse resurse (conturi de email sau de file sharing) pentru a recolta informatii. Un bun exemplu aici este atacul suferit in 2016 de membrii partidului democrat in Statele Unite, atac ce a avut repercusiuni politice.
O alta varianta de atac este si spear-phishing-ul. Aici vorbim de un atac foarte focalizat pe o persoana sau un grup restrans de persoane. Tintele aici sunt alese in functie de pozitiile pe care le ocupa, iar mesajele vor avea un grad extrem de personalizare.
Acum, ultimul punct, dar cu siguranta cel mai important – cum ne putem apara si ce ar trebui sa faca companiile pentru a nu deveni victime ale unor astfel de campanii de phishing? Cea mai eficienta metoda este de a lansa campanii periodice de constientizare in ceea ce priveste acest tip de atacuri. Si nu trebuie sa ne rezumam doar la phishing. Un alt tip de atac care este din ce in ce mai folosit, ransomware, foloseste si el atasamentele din mesaje e-mail pe care le deschidem fara sa ne intrebam asupra provenientei. Important este sa invatam sa privim cu circumspectie acest gen de mesaje.
In ceea ce priveste modul in care ar trebui sa ne comportam atunci cand primim un e-mail care pretinde sa fie din partea unei anumite persoane sau companie – in primul rand trebuie sa stergeti si sa nu deschideti niciun atasament, si apoi este recomandabil sa informati compania care a fost impersonata despre acest lucru. Exact cum a procedat compania SmartBill care a anuntat public toti clientii despre acest incident, lucru care ar trebui apreciat de clienti si de piata, deoarece este cea mai buna practica care ofera sansa de a avertiza imediat partenerii si clientii pentru a reduce cat mai mult posibil potentialele daune.