Phishing napadi

V medsebojno povezanem območju interneta se informacije nenehno pretakajo po omrežjih, shranjujejo, pridobivajo in izmenjujejo. Ta digitalna arhitektura omogoča udobje in učinkovitost, hkrati pa odpira tudi možnosti za sleparske dejavnosti. Med njimi napadi z lažnimi sporočili še vedno predstavljajo veliko grožnjo tako zasebnosti posameznikov kot tudi varnosti organizacij. Napadi phishing v bistvu vključujejo goljufiva prizadevanja za pridobitev občutljivih informacij, kot so uporabniška imena, gesla in podatki o kreditnih karticah, pri čemer se pretvarjajo, da so zanesljiv in zaupanja vreden vir. Pogosto izkoriščajo človeški dejavnik, ki je tradicionalno najšibkejši člen v verigi kibernetske varnosti, tako da ustvarijo občutek nujnosti ali strahu, ki žrtve zvabi v prevaro. Občutljivost kompromitiranih podatkov pogosto privede do katastrofalnih posledic, vključno s finančno izgubo, krajo identitete in v hujših primerih celo do razpada organizacije.

Razvoj in napredek tehnologije predstavljata dvorezen meč. Medtem ko se izboljšujejo ukrepi za kibernetsko varnost, kibernetski kriminalci hkrati izpopolnjujejo svoje taktike ribarjenja in uporabljajo številne metode, kot so ribarjenje po elektronski pošti, ribarjenje s kopjem, kitanje, vishing in smishing. Te tehnike se razlikujejo po stopnji prefinjenosti in izbiri tarč, zato je področje ribarjenja nenehno spreminjajoče se in se mu je težko zoperstaviti. Poleg tega je razmah umetne inteligence in strojnega učenja prispeval k pojavu bolj personaliziranih zavajajočih phishing napadov.

V letu 2023 je Nacionalni odzivni center za kibernetsko varnost SI-CERT obravnaval skupno 1.610 phishing sporočil in 47 lažnih phishing spletnih mest, kar odraža trend naraščajoče spletne kriminalitete. Slovenska policija je v tem obdobju zabeležila kar 3,5 milijona evrov škode zaradi phishing zlorab v elektronskem bančništvu. Med tarčami napadov so bila prepoznavna podjetja, kot so Mimovrste, Bolha.com, Pošta Slovenije in Arnes, kar kaže na vse bolj prepričljive metode napadalcev. Napadi postajajo vse bolj sofisticirani, saj napadalci uporabljajo zmogljive prevajalske programe, kar izboljšuje kakovost slovenske vsebine in povečuje možnost uspeha prevar. Poleg tega je zaznati porast lažnih spletnih trgovin, ki s pomočjo imen, kot sta “Slovenija” ali “Ljubljana”, poskušajo ustvariti vtis, da gre za domače prodajalce ali distributerje, s čimer zavajajo potrošnike in povečujejo škodo.

Vrste goljufanja oz. phishinga

Ribarjenje po e-pošti

Najpogostejša vrsta goljufanja je, da se kibernetski kriminalci izdajajo za ugledne subjekte, kot so banke ali ponudniki internetnih storitev, in pošiljajo razširjena e-poštna sporočila, da bi prejemnike prevarali, da bi razkrili občutljive podatke ali kliknili na škodljive povezave. Ta e-poštna sporočila pogosto vzbujajo občutek nujnosti, da bi prejemnika spodbudili k takojšnjemu ukrepanju. E-poštna sporočila so pogosto zelo podobna pristnim e-poštnim sporočilom teh subjektov, s prepričljivimi logotipi, oblikovanjem in jezikom. Lahko na primer posnemajo slog e-pošte zaupanja vredne banke, znanega spletnega trgovca ali celo prijatelja ali sodelavca. Med običajne taktike spadajo opozorila o začasni ukinitvi računa ali nepooblaščenih dejavnostih.

Izsiljevalsko ribarjenje oz. ”spear phishing”

Vključuje zelo prilagojena e-poštna sporočila, ki so namenjena določenim posameznikom ali organizacijam. Napadalec pogosto razišče cilj, da bi bilo elektronsko sporočilo videti čim bolj pristno. Običajno je cilj nezakonito pridobiti občutljive informacije ali pridobiti nepooblaščen dostop do sistemov.

Kitanje oz. ”Whaling”

Napadi z imenom „kitanje“ so vrsta goljufije, ki je zaradi dostopa do občutljivih podatkov posebej usmerjena na visoko rangirane posameznike, kot so vodstveni delavci in direktorji. Za razliko od običajnega ribarjenja, ki temelji na obsegu, je „whaling“ bolj taktičen in se osredotoča na manjše število dragocenih tarč. Prefinjenost kitovskih napadov je v skrbnem prilagajanju zavajajočih e-poštnih sporočil, ki se pogosto izdajajo za sporočila iz zaupanja vrednih virov. Storilci porabijo veliko časa za pripravo verodostojnih pripovedi, s čimer ustvarijo fasado legitimnosti, ki zlahka zavede tudi najbolj pozorne. Cilj teh goljufij je prevarati tarčo, da nenamerno razkrije zaupne informacije. Pridobljene podatke je nato mogoče uporabiti za številne goljufive dejavnosti, zato je „kitanje“ velika grožnja kibernetski varnosti za organizacije.

Klonsko ribarjenje oz. ”Clone phishing”

Klonsko ribarjenje je premeten kibernetski napad, pri katerem se e-poštno sporočilo s priponko ali povezavo, ki je bilo prej poslano zakonito, ponovi ali klonira, vendar je priponka ali povezava spremenjena v zlonamerno. Da bi ustvarili vtis, da prihaja od prvotnega pošiljatelja, se klonirano e-poštno sporočilo ponovno pošlje z lažnim e-poštnim naslovom. V njem je lahko navedeno, da gre za posodobljeno ali ponovno poslano različico prvega sporočila. Glavni cilj kloniranega ribarjenja je prepričati prejemnika, da je e-poštno sporočilo posodobitev ali nadaljevanje predhodne izmenjave. To lahko poveča verjetnost, da bo prejemnik kliknil na zlonamerno povezavo ali odprl okuženo datoteko. V škodljivo gradivo je pogosto vključena zlonamerna programska oprema, ki je namenjena kraji zasebnih podatkov, kot so prijavni podatki ali finančne informacije, ali pridobivanju nepooblaščenega dostopa do sistemov za izvedbo več napadov.

Vishing – ”Voice Phishing”

Vishing namesto e-pošte uporablja telefonske klice. Napadalec lahko pusti glasovno sporočilo, ki je domnevno od banke ali drugega ponudnika storitev in prejemnika poziva, naj pokliče na določeno številko. Ko žrtev pokliče nazaj, jo pozove k vnosu številke računa ali drugih osebnih podatkov.

Smishing – ”SMS phishing”

Smishing je različica spletne prevare, ki uporablja zavajajoča besedilna sporočila za nezakonito pridobivanje osebnih podatkov. Prevaranti, ki se izdajajo za zaupanja vredne subjekte, kot so banke ali priljubljene blagovne znamke, pošiljajo sporočila, ki povzročajo paniko ali vznemirjenje. Žrtve zvabijo, da razkrijejo občutljive podatke ali kliknejo na zlonamerne povezave, pri čemer kot vabo uporabijo nujnost ali privlačne ponudbe. Gre za zavajajočo taktiko, ki izkorišča socialni inženiring, pri čemer se izkoriščajo impulzivni odzivi.

Ribarjenje preko spletnih brskalnikov

Ta metoda vključuje ustvarjanje goljufivega spletnega mesta, ki posnema priljubljeno spletno mesto ali storitev, in uporabo taktike optimizacije za iskalnike, da se prikaže v rezultatih iskalnikov. Ko uporabnik na goljufivem spletnem mestu vnese svoje podatke, jih goljufi ujamejo.

Zavajajoče ribarjenje – ”Deceptive phishing”

Zavajajoče ribarjenje je razširjena tehnika ribarjenja, pri kateri se kibernetski kriminalci izdajajo za legitimne organizacije, da bi ukradli osebne podatke ali prijavne podatke posameznikov. Pri tem uporabljajo spretno pripravljena e-poštna sporočila, ki posnemajo videz uradne komunikacije zaupanja vrednih podjetij. V e-poštnih sporočilih je pogosto izražen občutek nujnosti ali pa so uporabljena taktična sredstva za ustrahovanje, kot je grožnja z deaktivacijo računa, da bi prejemnika spodbudili k takojšnjemu ukrepanju. Ti prevaranti izkoriščajo zaupanje in strah ljudi ter upajo, da jih bodo prisilili v posredovanje občutljivih informacij, ne da bi se spraševali o pristnosti e-poštnega sporočila. Zato je pri vseh nepričakovanih e-poštnih sporočilih, zlasti tistih, ki zahtevajo takojšnje ukrepanje ali osebne podatke, treba biti previden. Ne pozabite, da legitimne organizacije običajno ne zahtevajo občutljivih podatkov po elektronski pošti. Če niste prepričani, se obrnite neposredno na podjetje z uporabo njegovih uradnih kontaktnih podatkov in se izogibajte uporabi podatkov iz sumljivega e-poštnega sporočila.

Pharming

v nasprotju z drugimi strategijami ribarjenja, ki zahtevajo vabo, tehnika ‘Pharming” preusmeri promet z avtentičnega spletnega mesta na lažno spletno mesto. Ta metoda se lahko uporablja za napad na ranljivost programske opreme strežnika DNS ali za spreminjanje datoteke hosts v žrtvinem računalniku.

Izskočno ribarjenje – ”Pop-up” ribarjenje

Izskočno ribarjenje predstavlja še eno premeteno metodo, ki jo kibernetski kriminalci uporabljajo za pridobivanje občutljivih informacij. Pri teh napadih se med brskanjem po spletu na uporabnikovem zaslonu prikaže nezaželeno pojavno okno. Ta pojavna okna se pogosto izdajajo za legitimna spletna mesta ali storitve in prepričljivo posnemajo njihov vmesnik in zasnovo. Običajno od uporabnika zahtevajo, da vnese osebne podatke ali poverilnice za prijavo. To se lahko zgodi pod krinko poziva za prijavo, ankete ali posebne ponudbe, za katero so potrebni osebni podatki. Nič hudega sluteči uporabnik, ki misli, da komunicira z zaupanja vrednim spletnim mestom, lahko nato vnese svoje podatke in jih dejansko preda napadalcem.

Goljufanje v družabnih medijih

Ta tehnika vključuje uporabo platform družabnih medijev za poskuse goljufanja. Napadalci ustvarijo lažne profile in pošiljajo prošnje za prijateljstvo ali sledenje. Ko se povežejo, lahko v sporočilih pošljejo lažne povezave, jih objavijo na uporabnikovi časovnici ali jih vgradijo v zlonamerne oglase ali aplikacije. Pri vsaki od teh metod napadalci izkoristijo element zaupanja, strahu ali nujnosti in uporabnike prevarajo, da se ujamejo v vabo.

Posledice teh goljufivih praks so obsežne in daljnosežne, od ogrožanja osebnih in občutljivih podatkov do motenj v poslovanju, pravnih in regulativnih kazni, škodovanja ugledu in celo ogrožanja nacionalne varnosti. Učinke je mogoče razvrstiti v naslednje širše kategorije:

• Finančni vpliv: Najbolj neposredna posledica je izguba denarja, tako za posameznike, ki se soočajo z krajo identitete in goljufijami, kot za podjetja, ki trpijo zaradi kraje sredstev ali plačila odkupnin.
• Škoda za ugled: Uspešni napadi z ribarjenjem škodujejo ugledu organizacije, kar vodi do izgube zaupanja strank, partnerjev in delničarjev. Obnova zaupanja je dolgotrajen proces, ki zahteva velike vire in vključuje neposredne stroške, kot so pravni stroški, in posredne stroške, kot so prekinitve poslovanja.
• Motnje v delovanju: Phishing napadi lahko resno ovirajo operativno učinkovitost organizacij, kar povzroča zastoje in izgubo produktivnosti. Ekipa IT porabi veliko časa za ugotavljanje obsega napada in izvajanje popravnih ukrepov.
• Zakonske kazni: Kršitve zakonov o varovanju podatkov lahko privedejo do glob in kazni. Na primer, pod Splošno uredbo o varstvu podatkov (GDPR) lahko organizacije prejemajo globe do 4 % svetovnih letnih prihodkov.
• Izguba intelektualne lastnine: Phishing napadi so lahko usmerjeni v intelektualno lastnino, kar lahko povzroči strateške izgube in konkurenčno neugodnost.

PREPREČEVANJE IN ZMANJŠEVANJE

Napade ribarjenja je težko preprečiti zaradi odvisnosti od človeških napak, vse bolj izpopolnjenih metod napada in širokega območja napada. Vendar pa lahko z več strategijami zmanjšamo tveganje napadov z lažnim prikazovanjem podatkov.

• Izobraževanje in ozaveščanje uporabnikov običajno vključujeta prepoznavanje sumljivih e-poštnih sporočil, spletnih mest in sporočil, razumevanje tveganj, povezanih s klikanjem na neznane povezave ali prenosom priponk, ter učenje preverjanja pristnosti sporočil ali spletnih mest, pred posredovanjem občutljivih podatkov. Usposabljanje na podlagi simulacij se lahko uporablja tudi za praktično izkušnjo uporabnikov pri odkrivanju poskusov goljufanja. Kljub svoji preprostosti je ta metoda priznana kot eden najučinkovitejših preventivnih ukrepov proti phishing napadom.

• Vzdrževanje rednega urnika popravljanja in posodabljanja sistemov je bistven del strategije kibernetske varnosti vsake organizacije.

• Orodne vrstice proti ribarjenju so razširitve brskalnika, ki pomagajo prepoznati in blokirati spletna mesta za ribarjenje. Te orodne vrstice primerjajo spletna mesta, ki jih je uporabnik obiskal, s seznamom znanih goljufivih spletnih mest in v primeru ugotovljenega ujemanja pošljejo opozorilo. Prav tako lahko analizirajo značilnosti obiskanih spletnih mest in tako zaznajo morebitne poskuse goljufanja. Čeprav so lahko orodne vrstice proti ribarjenju učinkovito orodje, jih mora uporabnik redno posodabljati, da zagotovi najnovejši seznam znanih ribarskih spletnih mest.

• Vzpostavitev zanesljivega požarnega zidu lahko bistveno izboljša obrambo organizacije pred številnimi napadi in poizvedbami, ki temeljijo na podatkih. Obstajata dve vrsti požarnih zidov, ki jih je treba namestiti: namizni požarni zid in omrežni požarni zid. Namizni požarni zid v bistvu predstavlja prvo obrambno linijo, saj spremlja podatkovne pakete, ki vstopajo v računalnik posameznega uporabnika in ga zapuščajo, ter blokira sumljiv promet. Po drugi strani pa omrežni požarni zid varuje celotno omrežje organizacije tako, da pregleduje vhodni in izhodni promet na ravni omrežja in preprečuje prehod podatkovnim paketom, ki so označeni kot zlonamerni. Ker ti požarni zidovi delujejo na dveh ravneh, na koncu uporabnika in na koncu omrežja, skupaj tvorijo celovit ščit, ki znatno zmanjša verjetnost uspešnih napadov z ribarjenjem ali drugih oblik kibernetskih zlorab.

PRIPOROČILA ZA KONČNE UPORABNIKE

Uporabite ozaveščenost kot strategijo za ublažitev posledic!

• Bodite še posebej previdni pri e-poštnih sporočilih neznanega ali dvomljivega izvora.
• Ne zaupajte e-poštnim sporočilom anonimnih pošiljateljev.
• V primeru dvoma se za pomoč obrnite na strokovnjaka na tem področju.
• Nikoli ne delite svojih osebnih podatkov, če niste prepričani o njihovem izvoru.
• Dvakrat premislite, preden kliknete.
• Bodite pozorni na pojavna okna.
• Posodobite strojno in programsko opremo računalnika.
• Uporabljajte protivirusno programsko opremo.
• Redno preverjajte svoj spletni račun.
• Uporabljajte močna gesla in ne uporabljajte istega gesla za več računov.
• Preverite varnost spletnega mesta.
• Oglejte si varnostna potrdila spletnih strani.
• Prepričajte se, da se URL spletnega mesta začne s https://.
• Izogibajte se uporabi javnih računalnikov za ravnanje z zaupnimi informacijami.
• Računalnika ne puščajte brez nadzora.
• Ne odpirajte priponk v e-poštnih sporočilih neznanih pošiljateljev.
• Ne klikajte na povezave v e-poštnih sporočilih neznanih pošiljateljev.
• Uporabite MFA prek aplikacije za preverjanje pristnosti.
• Če niste prepričani, uporabite orodja za preverjanje sumljivih povezav, preden jih odprete.
• Blokirajte pojavna okna.
• Uporabite anti-phishing orodja v brskalniku.

Za konec lahko potrdimo, da so napadi ribarjenja resna grožnja za posameznike in organizacije ter zahtevajo proaktivno obravnavo in stalno ozaveščanje. Kljub napredku tehnologije in kibernetskih varnostnih ukrepov se moramo zavedati, da so ljudje pogosto najšibkejši člen v verigi zaščite. S sistematičnim izobraževanjem, razvojem ustreznih strategij in z izvajanjem najboljših praks za zaščito informacij lahko bistveno zmanjšamo tveganja, povezana z ribarjenjem. Z združenimi prizadevanji lahko ustvarimo varnejši digitalni prostor, ki ščiti naše osebne podatke in zagotavlja zaupanje v spletne storitve.+

Avtorica prispevka: Lea Bogosavljević

O nas

Zavod Rhea se posveča izboljšanju dostopa do storitev in povečanju ozaveščenosti o digitalni pismenosti, zlasti pri ranljivih skupinah. S spodbujanjem digitalne pismenosti ljudem omogočamo boljšo uporabo digitalnih orodij in izboljšamo kakovost življenja. Prav tako se trudimo povečati dostopnost odprtokodne in pregledne programske opreme za trenutne in potencialne uporabnike. Več o nas in naših programih lahko izveste na https://www.rhea.si/.

Viri

Abbasi, M. N., Ahmed, W., Arshad, A., Nadeem, M., Riaz, S., & Zahra, S. W. (2023). Phishing attack, its detections and prevention techniques. International Journal of Wireless Security and Networks, 1(2), 1-15. https://www.researchgate.net/profile/Syeda-Zahra-43/publication/374848676_Phishing_Attack_Its_Detections_and_Prevention_Techniques/links/6532592b1d6e8a70703fa896/Phishing-Attack-Its-Detections-and-Prevention-Techniques.pdf

Farooq, A., Makhdoom, I., Naqvi, B., Oyedeji, S., Porras, J., & Perova, K. (2023). Mitigation strategies against the phishing attacks: A systematic literature review. Computers & Security. https://doi.org/10.1016/j.cose.2023.103387

SI-CERT. (2024). Poročilo o kibernetski varnosti 2023. https://www.cert.si/wp-content/uploads/2024/05/Porocilo-o-kibernetski-varnosti_2023_SI-CERT_web.pdf