Phishingul este o tehnica de inginerie sociala folosita de hackeri pentru a pacali o persoana in a deschide un fisier care contine malware trimis ca atasament in cadrul mesajului sau pentru a accesa un link inclus in mesaj care directioneaza utilizatorul care un site web malitios de-ale hackerilor. Ideea din spate este ca mesajul sa para cat mai autentic pentru a convinge tinta de “bunele” sale intentii si pentru asta hackerii includ tot felul de “asigurari” ca emailul este sigur printre care:
- “The attached file has been scanned by an antivirus”. Textul este urmat de obicei de un logo.
- “All links have been scanned by an anti-phishing engine. No threats have been found”
- “The sender has been verified from [insert safe sender list here]. Is ok for you to proceed further.”
Desi poate parea copilareasca, tactica aceasta are o rata ridicata de succes. Poate nu va reusi sa pacaleasca o persoana versata in securitatea informationala, dar nu toti suntem atat de inclinati spre IT si se vor gasi cu siguranta cateva persoane care sa cada in capcana. Caracterul urgent, presant al mailului impulsioneaza victima sa actioneze rapid fara sa treaca cele cerute prin filtrul ratiunii, lucru care sporeste si mai mult eficacitatea atacului. De fiecare data cand primim un astfel de mesaj trebuie sa ne amintim faptul ca solutii de protectie a emailului functioneaza intr-o maniera total opusa: ele marcheaza un email ca fiind potential malitios, si nu unul care nu prezinta niciun risc 🙂 Email-urile scanate de servicii precum Office 365 sunt marcate cu “dangerous link / attachment has been removed” sau cu “this mail may be spam / phishing” in campuri speciale, nu direct in corpul mesajului, si nici nu ajung in inboxul utilizatorului pentru ca sunt carantinate de solutia de securitate sau ajung in folderul “Junk”. Pentru a se proteja utilizatorul trebuie sa se intrebe urmatoarele lucruri:
– daca a mai vazut respectivul text intr-un email anterior. Daca nu este prima zi de lucru, cu siguranta a mai vazut si alte emailuri.
– daca vreunul din colegi a primit un email asemanator. Colegii cu experienta mai veche pot verifica daca au mai avut de-a face cu astfel de formulari
– este formularea in concordanta cu contextul? Uneori daca vedem “File/link scanned. No threats detected” poate fi legitim, insa alteori nu. De exemplu, un email primit pe bune de la o persoana reala din interiorul companiei nu ar trebui sa contina formulari de genul “ sender is on safe list”.
Metodele de protectie pe care le putem lua impotriva atacurilor de phishing sunt:
– educarea utilizatorului printr-un program despre pericolele din online pe care le poate intalni atunci cand isi desfasoara activitatea
– protectia serviciului de email cu o solutie on-premises sau cloud-based actualizata la zi cu feed-urile de security intelligence
– folosirea unei solutii de EDR cu un motor bun de antiphishing pentru protectia la nivel de endpoint
– protectia la nivel de DNS care sa blocheze adrese IP, URL-urile si domeniile cunoscute ca surse pentru campaniile de phishing sau ca surse de distribuire a malware-ului
Mihai Dumitrascu, Sr Systems Engineer