Lovím heslá: Nenaskočte na návnadu
Tento týždeň som narazil na jeden veľmi pekný článok Gone Phishing: Don’t fall for the bait, ktorý napísal môj kolega Tim Heagarty a uverejnil ho na stránke servera securityintelligence.com.
Veľmi jednoducho a s príjemnou nadsádzkou opisuje čo je to phishing. Takéto ľahko stráviteľné články sú podľa mňa najväčším prínosom pre zvýšenie bezpečnostného povedomia, preto som sa rozhodol, s ich dovolením, tento článok pre vás preložiť. Preklad obsahuje pôvodné linky. Prajem príjemné čítanie.
Čo je to phishing (poznámka prekladateľa: slovo vzniklo slovnou hračkou - spojením dvoj anglických slov password “heslo” a fishing “rybačka”) a prečo sa tak volá? Vskutku je to veľmi jednoduché: Krádež prihlasovacích údajov sa dosť ponáša na rybačku. Máme tu skupinu cieľov, návnadu o ktorú by sa mohli zaujímať a vcelku veľkú šancu, že sa niečo chytí, hoc o jedlo tu vlastne vôbec nejde.
Rybári si upravujú a prispôsobujú návnady podľa situácie. Tiež nepoužívajú rovnakú taktiku pri rybníku na farme aj pri rybačke na šírom mori. Veľmi podobne aj kriminálnici používajú rôzne návnady a exploity podľa toho čo je ich cieľ, podľa toho čo chcú dosiahnuť. Zvyčajne idú po prihlasovacích údajoch, číslach kreditných kariet, či zdravotných záznamoch.
Na rybách či skôr “na heslách”
V minulosti boli za väčšinou útokov náturisti, či nespokojní ľudia ktorí skúšali čo všetko sa dá dosiahnuť. Väčšinou len chceli dokázať čo zvládnu, dajme tomu aby sa mohli pochváliť. Dnes máme do činenia s profesionálnymi zloduchmi, ktorých náplňou práce je dostať z vás vaše cenné informácie a často krát aj priamo peniaze. Hodnota toho po čom idú potom určuje ako dôsledne budú jednať a koľko námahy vynaložia na to aby vás do svojich sietí chytili.
Typický phishingový útok má za cieľ ukradnúť prihlasovacie údaje k rôznym službám. Inými slovami chcú napr. vaše prihlásenie do banky, vaše prihlasovacie meno k účtu aj heslo, ale nepohrdnú ani prihlasovacími údajmi do online hier ak v nich dokážu nájsť niečo čo by mohli speňažiť.
Útočníci používajú rôzne skupiny emailov alebo prihlasovacích mien pri väčších podvodoch či prienikoch. Napríklad, ak sa podvodníci dostanú k prihláseniu podnikového admina, kompletný zoznam používateľov aj s ostatnými, pre neho dostupnými, informáciami môžu ponúknuť na predaj na čiernom trhu.
Chcem veľkú armádu záhradných trpaslíkov
Povedzme, že existuje zoznam zákazníkov a ich emailov ukradnutý z firmy ktorá predáva záhradný nábytok. Útočník by sa mohol napríklad chcieť dostať k týmto údajom pretože vie, že takíto ľudia majú zväčša zákaznícke účty aj na stránkach predávajúcich záhradných trpaslíkov. Máme tu do činenia s bláznom do záhradných trpaslíkov.
Tento zloduch vytvorí email v ktorom ľuďom, ktorí nakupovali záhradný nábytok povie, že ich účet na stránke predávajúcej záhradných trpaslíkov bol napadnutý, a že sa musia urýchlene prihlásiť a heslo si zmeniť. Samozrejme im k tomu dá aj falošnú linku na stránku, kde si môžu svoje heslo k obchodu s trpaslíkmi zmeniť. Po kliknutí na takúto linku sa aj dostanú na stránku kde môžu zadať svoje používateľské meno a heslo aby si mohli vyžiadať nové prihlasovacie údaje.
Samozrejme, podvodná stránka po zadaní hesla iba vyhodí nejakú chybovú hlášku a povie aby to skúsili neskôr znovu. Ibaže vtedy už náš zloduch, milovník záhradných trpaslíkov, má ich prihlasovacie meno aj heslo k obchodu a veselo nakupuje malé sadrové potvorky na ich účet.
Keďže veľa ľudí používa rovnaké prihlasovacie údaje k viacerým službám, podvodníci môžu ukradnuté údaje použiť na prihlásenie do všetkých dotknutých služieb či už je to internet banking, obchod so záhradnými trpaslíkmi alebo účty na sociálnych sieťach. Naozaj sú takí, ktorí sa prihlasujú do internet bankingu a Facebooku tými istými prihlasovacími údajmi, a to je vážne zlý nápad!
Nie je to nič osobné
Neklikajte na všetky linky ktoré nájdete v maile. Ak vám banka pošle nejaké upozornenie na ktoré máte odpovedať kliknutím na niečo - nerobte to. Namiesto toho ručne zadajte adresu vašej banky priamo do prehliadača a po prihlásení hľadajte čo, a či vôbec, ste to mali urobiť.
Nepoužívajte všade rovnaké heslá! Toto je vážne veľká vec. Ak sa vám už stane, že podľahnete phishingu, nech to zloduchovia nemajú až také jednoduché, že tie údaje môžu zneužívať kade tade. Buďte opatrní, ba až podozrievaví - ak vám niekto koho poznáte pošle mailom žiadosť o pomoc, či nebodaj peniaze, skúste ho spätne kontaktovať iným spôsobom, aby ste si to overili.
Bohužiaľ, musíme si uvedomiť, že podvodníci ktorí po vás idú tu naozaj sú. Vo väčšine prípadov to však nie je nič osobné - ste pre nich len jedna emailová adresa na zozname spolu s ďalšími miliónmi používateľov.