V prazničnem času opažamo porast spletnih zlorab. Kriminalci izkoriščajo Black Friday, Cyber Monday in podobno za prevare pri spletnem nakupovanju. Kaj lahko storite podjetja in kaj uporabniki, da se zaščitite pred najbolj pogostimi poskusi »prazničnih« zlorab, kot je phishing?
9 od 10 kibernetskih napadov se začne s klikom na zlonamerno povezavo (phishing link)
Zimski prazniki in čas obdarovanja so pred vrati. Trgovci vas nedvomno že nagovarjajo z mnogimi razprodajami ter popusti, kot so »Black Friday«, »Cyber Monday«, predbožične akcije… Digitalni svet se šibi pod težo oglasov, e-mail kampanj, pop-up bannerjev in vsega bolj ali manj kreativnega.
Tudi kibernetski kriminalci si v veselem decembru obetajo dobičke od razprodaj. Na temnem spletu (angl. Dark Web) je NIL-ova SOC ekipa že zaznala povečan interes za t.i. »Phishing Kits« (orodja, ki jih lahko kupi kdorkoli in zelo enostavno upravlja za svojo phishing kampanjo). Opažamo tudi, da je kar nekaj teh »kitov« prilagojenih na tematiko veselega decembra. Drug pokazatelj, da se kriminalci pripravljajo na praznike, je porast registracije zavajajočih spletnih domen. Večina je usmerjenih v uveljavljene blagovne znamke (Amazon, Nike, Apple, Adidas, itd.), smo pa opazili tudi izredno lokalno usmerjene aktivnosti (BigBang, Mimovrste).
Skratka, medtem ko spletni trgovci ustvarjajo kreativne kampanje in se (legitimno) trudijo za vašo pozornost, se kibernetski kriminalci pripravljajo na ofenzivo z zlonamernimi oglasi, spletnimi trgovinami, e-sporočili, itd. Lani je nacionalni odzivni center za kibernetsko varnost SI-CERT zabeležil 3.177 incidentov s poudarkom na phishing prevarah v Sloveniji. Čeprav je le 5 % teh prostovoljno prijavilo tudi povzročeno škodo, je ta vsota znašala visokih 1.45 milijona evrov.
Da vam phishing napadi ne bodo pokvarili praznikov, oziroma da boste lažje prepoznali poskuse spletnih prevar, vam v tem članku pojasnjujemo, kaj lahko podjetja storite v borbi proti phishingu, kako phishing napadi delujejo in, kako se lahko zavarujete tudi končni uporabniki.
Tipične spletne prevare med praznično sezono
Spletne prevare so aktualne ves čas, med prazniki pa se njihova intenziteta poveča. Izstopata predvsem dve taktiki: Phishing e-sporočila in ponarejene spletne strani priznanih blagovnih znamk.
Pogosto je to dvoje povezano v kampanji istega kriminalca. Primer: S Phishing e-sporočilom se želi uporabnika prepričati, da klikne povezavo za unovčitev popusta. Povezava jih vodi na ponarejeno spletno stran, ki je lahko odličen klon originalne spletne strani. Velikokrat kriminalci ponaredijo zgolj zadnjo ciljno stran (angl. Landing page), kjer se izvede nakup, saj lahko tam največkrat pridobijo podatke za izvedbo transakcije.
Omeniti velja še mogoče manj znan, a hkrati tudi učinkovit način pridobivanja denarja. Kriminalci registrirajo spletne strani z zelo podobnimi imeni kot jih imajo popularne spletne strani, t.i. Typosquatting. Na tej strani imajo napadalci tipično ogromno oglasov in če je obiska veliko, jim lahko to prinese kar nekaj denarja oglaševalcev. V veliko primerih pa take spletne strani gostijo tudi škodljivo programsko kodo, ki se lahko prenese na žrtvin računalnik. Takšno zlorabo blagovne znamke imenujemo tudi »Brand impersonation.« Pogosto je rezultat tega upad uglednosti blagovne znamke, ki je tarča takšnega napada.
Slika 1 – Primer lažnih domen (Typosquatting)
Phishing: Tehnično ozadje
Kot rečeno, NIL-ov SOC zaznava praznično razpoloženje in popuste tudi na temnem spletu. Kibernetski kriminalci v večji meri ponujajo in kupujejo ukradene podatke (ukradeni e-mail seznami urejeni po geografskih regijah, ukradene izvorne kode spletnih strani trgovcev, izvorne kode klonov spletnih strani, itd.).
Slika 2 – Ponudba na temnem spletu. Izvor: RecordedFuture
Še posebej pa so popularna ogrodja za phishing kampanje. Ta napadalcem izredno poenostavijo phishing operacije in imajo vgrajene mehanizme za obvod verifikacijskih orodij, kot je 3DS (3-D Secure je protokol, ki nudi dodaten nivo varnosti pri spletnih transakcijah s kreditnimi ali debetnimi karticami). V Evropi je 3DS protokol dobro uveljavljen, zato je funkcionalnost za obvod le-tega bistvena za kriminalce.
Slika 3 – Primer phishing ogrodja. Izvor: RecordedFuture
Drugi korak phishing kampanje je povezava ponarejene spletne strani z ogrodjem. To kriminalcem omogoči zajem podatkov žrtve na lažni spletni strani, ki poskuša imitirati legitimno spletno trgovino. Ko žrtev na takšni spletni strani potem opravi nakup oz. vnese svoje finančne podatke, se ti prenesejo v ogrodje.
Temu koraku sledi obvod 3DS verifikacije. Medtem ko žrtev čaka na 3DS verifikacijsko kodo, napadalci uporabijo pridobljene podatke o kartici in sprožijo nakup na drugi spletni trgovini. Ta goljufiva transakcija ponovni sproži verifikacijo 3DS. Ker se to zgodi instantno, bo žrtev prejela 3DS verifikacijsko kodo za goljufivo transakcijo in jo vnesla v lažni spletni strani. Ogrodje bo avtomatično shranilo to kodo in izvedlo transakcijo.
S tem je »tehnični« del napada končan. Kaj se zgodi potem, pa je odvisno od cilja napadalca. Žrtev je lahko v resnici izvedla spletni nakup za nekoga drugega v neki drugi spletni trgovini ali pa napadalcu nakazala samo denar. Na tem mestu je pomembno poudariti, da ta tip zlorabe zahteva vsakokratno »sodelovanje žrtve«. Napadalec namreč tipično nima naprave, ki prikaže verifikacijsko kodo (žrtvin mobilni telefon) in zato transakcij kljub podatkom kreditne kartice ne more ponavljati sam.
Je pa za kriminalce zloraba seveda lažja, če žrtev uporablja kartico ter spletno trgovino, kjer transakcije niso zavarovane s sistemom 3DS. Za zlorabo je tam dovolj zgolj zajem podatkov s kreditne kartice.
Kaj lahko podjetja storite v borbi proti phishingu?
Izjemno zahtevno je združiti vrhunsko uporabniško izkušnjo in vrhunsko varnost. Uporabniki si želimo »preprostega in hitrega« nakupovanja, raje dva klika manj kot enega več. Podjetja pa v želji po čim boljši prodaji stalno optimizirajo uporabniško izkušnjo ter se poskušajo prilagoditi pričakovanjem kupcev. Optimizacija pogosto pomeni sklepanje kompromisov na področju varnosti. In to je razumljivo. Dodatna overjanja, preverjanja so v napoto in jih tipičen uporabnik ne mara. K temu moramo prišteti še naglico (»da le ne bo kaj razprodano, preden izkoristim popust«), ki tudi pripomore k nižji pozornosti uporabnikov na poskuse prevar.
Po drugi strani pa so lahko razlogi za kompromis v »škodo« varnosti tudi povsem tehnične narave, ko varnostni mehanizmi ob izredno povečanem obisku uporabnikov enostavno ne zmorejo izvajati svoje funkcije.
Kibernetski kriminalci to situacijo dobro razumejo in jo s pridom izkoriščajo. Podjetjem svetujemo, da v spletnih trgovinah kljub vsemu namenijo ustrezno pozornost varnostnim mehanizmom in zagotovijo ustrezno tehnično infrastrukturo za izvajanje le-teh.
Zagotovo drži, da so pri spletnih prevarah v prvi vrsti na udaru končni uporabniki in ne neposredno podjetja. Razen seveda v obliki nižjega prihodka in okrnjenega ugleda. Zato je tudi podjetjem v interesu, da so njihovi kupci čim bolj osveščeni. Podjetjem tako tudi svetujemo, da svoje uporabnike osveščajo in obveščajo o poskusih spletnih prevar, ki jih zaznajo. In seveda, da poskuse zlorab tudi prijavljajo institucijam kot je SI-CERT, ki lahko še dodatno pomaga z osveščanjem uporabnikov.
Kaj lahko storimo uporabniki?
Največ lahko proti spletnim prevaram storimo uporabniki sami. In tukaj je bistveno znanje in osveščenost. Zato:
- Bodimo pozorni na pošiljatelja e-pošte: Razlika je lahko le v eni črki naziva trgovca ali blagovne znamke;
- bodimo pozorni na vsebino e-pošte: Pravilna uporaba slovenščine, če pričakujemo sporočilo slovenskega trgovca;
- bodimo pozorni na ponujene povezave znotraj e-pošte: Dodatno preverimo URL, tako da le postavimo miš na povezavo, a ne kliknemo nanjo. Nato se nam spodaj levo izpiše dejanska povezava, kamor nas vodi dani URL – tako preverimo, ali je rpovezava verodostojna;
- bodimo pozorni, ko od nas zahtevajo osebne podatke znotraj e-pošte;
- na spletu ne kupujemo (zelo) dragih stvari oziroma si nastavljamo limite porabe;
- vedno preverimo verodostojnost spletne trgovine (šifrirana HTTPS povezava, pravilni naslov domene), in
- če je le mogoče, ne izvajamo nakupov z javno dostopnih računalnikov oz. omrežij (knjižnice, kavarne, hoteli …). Na takšnih omrežij – če lahko – uporabimo VPN, oziroma nakup izvedimo z zaupanja vredne naprave oz. omrežja.