Phishing trening – kako se suočiti sa internet pretnjama?
Napadi na firme uglavnom počinju napadima na zaposlene, pre svega slanjem poruka koje ih mame da kliknu na neki pogodno konstruisan link. Trening koji će naučiti vaše kolege da izbegavaju ovakve zamke nije teško organizovati – evo kako da sami budete sopstveni napadač
Možete li da zamislite scenario po kojem dolazite na posao i tamo nema ničega? Računari su zakucani u boot modu, serveri nedostupni, fajlovi zaključani, nema e‑mail‑a i AD‑a, a ljudi panično trče naokolo jer ne znaju šta se događa. Crnilo. Zvuči kao opis iz nekog od Terminator filmova, ali je u stvari vrlo realna opcija ukoliko ne posvetimo posebnu pažnju obuci naših kadrova. S obzirom na to da je za zaštitu internih resursa potrebno četiri‑pet uređaja i da je to za većinu kompanija nemoguća misija zbog nedovoljnog budžeta, treba se usmeriti na podizanje svesti zaposlenih o pretnjama koje vrebaju spolja.
Pretnje spolja
Prema Gartner‑u, u 2018. godini, na globalnom nivou za cyber security izdvojeno je oko 96 milijardi dolara dok istovremeno, zbog raznih ransomware modifikacija, biznis je izgubio oko 76 milijardi dolara. Koliki god novac da izdvojite, nema garancije da ste 100 odsto zaštićeni, jer je često dovoljan samo jedan pogrešan klik na e‑mail koji ste dobili od (na prvi pogled) poznate osobe. Razlog za tako nešto jeste to što se u proseku na svakih 40 sekundi dogodi ransomware, banking trojans ili cryptominer napad na kompaniju i samim tim, po zakonu verovatnoće, nešto mora da prođe. Takođe, zabeležen je porast od skoro 50 odsto malicioznih aplikacija za mobilne uređaje, što ovim napadima daje širinu koju IT sektor često nije u stanju da prati.
Na tržištu postoji mnogo security awareness firmi koje nude penetration test u okviru koga se simulira sajbernapad na kompaniju kako bi se identifikovale sve ranjivosti sistema. Posle svega, dobija se detaljan izveštaj sa svim smernicama koje morate da popravite kako bi vaš sistem bio zaštićen. Neke od njih su: Kaspersky, McAfee, Trend Micro, KnowBe4 itd. Među njima ima dosta stručnjaka koji su u prošlosti bili na pogrešnoj Dark‑side‑of‑the‑Force, koji sada rade kao bezbednosni eksperti i pomažu firmama kao konsultanti iz te oblasti.
Sam svoj napadač
Simulaciju phishing napada možete da obavite i sami, bez pomoći treće strane. Sve što vam treba jeste zakupljen lažni domen i barem jedna e‑mail adresa s koje će se napad lansirati, par sati istraživanja o kompaniji ili zaposlenima (u zavisnosti od toga koga ciljate) i malo kreativnosti da osmislite tekst/dizajn koji će ići u telo mail‑a.
Kada razmišljate o domenu, iskoristite nešto opšteg karaktera, npr. 1nfo.rs jer će to sigurno povećati verovatnoću obmane. Namerno smo u ime domena stavili broj 1 umesto slova „i“ jer je to samo dokaz koliko ljudi generalno ne vode računa o ovakvim detaljima kada čitaju mail‑ove. Nakon toga, uradite analizu na osnovu koje ćete targetirati. Teme koje su uvek aktuelne i uglavnom imaju veliki procenat uspeha jesu: socijalne mreže i isticanje lozinke za domenskog korisnika. Ukoliko se odlučite za drugu varijantu, pokušajte da što bliže preslikate pravi e‑mail koji vaša kompanija šalje korisniku za isticanje password‑a i gde je potrebna njegova hitna reakcija tako što će kliknuti na link u nastavku.
Većina ljudi retko ili skoro nikada ne obrati pažnju koja je realna URL putanja nekog linka, odnosno tek kada stavite kursor miša vidite krajnju destinaciju. Ovu razliku posebno je teško uočiti s mobilnih uređaja jer nemamo tu mogućnost da jednostavnim prevlačenjem kursora otkrijemo pravu putanju i ukoliko ljudi na taj način čitaju ovaj mail, najverovatnije će se upecati. Iskoristite za potpis zvaničan logo kompanije kako bi varka bila što uverljivija. Nakon što korisnik klikne na ovaj link, tu se igra završava i osoba je upecana jer ako trening preslikamo na realne okolnosti, to može aktivirati skriptu koja pokreće neki mailiciozni softver na vašem računaru i kraj je neizbežan. Možete alternativno da kreirate target stranicu na kojoj će biti prikazana poruka: You’ve Been Phished! s posebnim osvrtom na sve detalje koji su promakli zaposlenima.
Napadi sa socijalnih mreža
E‑mail notifikacije sa socijalnih mreža su posebno lake za manipulaciju. Uzmite kao primer poruku koju vam LinkedIn šalje ukoliko vam je neko gledao profil, jer takve stvari utiču na ego čoveka i nagon će većinu ljudi naterati da klikne. Na vašem domenu koji ste zakupili samo u svrhu treninga kreirajte mail nalog poput linkediin@1nfo.rs. Takođe, primetićete da u LinkedIn namerno imamo dva slova „i“ a da sam mail nalog asocira na info mail koji stiže od ove socijalne mreže. Ostavite generički Subject: „Name, people are looking at your LinkedIn profile“ i iskopirajte celu poruku sa sve slikama i onim upečatljivim dizajnom LinkedIn‑a. Nakon toga, promenite destinaciju linkova u poruci da vode ka vašoj lažnoj stranici i skoro ste spremni za početak treninga.
Pomenimo i zgodan final touch u vašoj obmani. Kroz Outlook, Web browser ili neki treći e‑mail klijent promenite Display Name naloga s kojeg šaljete poštu u, recimo, “LinkedIn <messages‑noreply@linkedin.com> linkediin@1nfo.rs“. Većina ljudi neće primetiti koja je realna adresa s koje stiže mail jer se svi uhvate za početak i niko ne gleda da je na kraju adresa koja nema apsolutno nikakve veze sa LinkedIn‑om. Pripremite listu osoba koje ciljate i dobro razmislite kako ćete im poslati mail, odnosno svima odjednom, po sektorima ili nasumice jer nekada fizička blizina ljudi bitno utiče na realizaciju ovakvog treninga, s obzirom na to da se vesti brzo šire.
Uz malo veštine, možete na destination stranici kreirati skriptu koja će beležiti pogotke ili čak i realna imena računara ljudi koji su naseli na vaš mail kako biste obavili dalju analizu. Trudite se da na svakih par meseci ponavljate ovakav trening i verovatno će posle nekog vremena početi da se smanjuje procenat ljudi koji su se upecali. Jednostavno, nateraćete ljude da sumnjaju u svaki mail, bez obzira na to od koga im stiže, a to je neophodno za budućnost koja dolazi.
Ove godine obeležava se okruglo 50 godina od kada smo po prvi put koračali po Mesecu i tom prilikom su izgovorene čuvene reči: „Ovo je mali korak za čoveka ali veliki za čovečanstvo“. Odgovor na pitanje kako smo stigli do toga da jedan korak na Mesecu ili jedan pogrešan klik mogu da usmere tok istorije u jednom ili drugom pravcu krije se u nama. Ljudski faktor je snaga koja pokreće ceo sistem, ali istovremeno i njegov najveći nedostatak.
Autor: Damir Jović