Posljednjih tjedana preplavile su nas vijesti o cyber prijevarama u koje su hakeri upleli i neke od poznatih globalnih igrača, a posebno se tu istakla pojava takozvanog spear phishinga. Kako doznajemo od stručnjaka za cyber sigurnost Lucijana Carića, spear phishing je naziv koji se pojavio u ovom desetljeću, a koristi se za opis postojeće tehnike socijalnog inženjeringa 'osvježene' novim tehnologijama i novim i inventivnim vrstama napada. Prevaranti koji tu metodu koriste, spremni su posegnuti duboko u privatni život žrtve.

Carić nastavlja: 'Ta metoda napada zasniva se na uspostavljanju (lažnog) povjerenja u navodno pouzdani ili poznati izvor, kao što su neka poznata ili bliska osoba, poduzeće, institucija i slično ili postojanju povjerenja u razne poruke, pop-upove, search rezultate, informacije i podatke koji se nalaze na raznim prijevarnim webovima, opet sve zasnovano na zloupotrebi autoriteta kao što su Google, Facebook, razne medijske kuće ili sigurnosne kompanije.'

Spear phishing vrlo je sličan phishingu, cyber napadu koji koristi e-mailove lažnog sadržaja kako bi korisnika uvjerio da otvori pridruženu datoteku ili posjeti predloženu web stranicu. Razlika između lošeg i dobrog phishinga je uvjerljivost e-mail poruke koja se u načelu šalje velikom broju korisnika u nadi da će netko od njih nasjesti.

Phishing ili spear phishing?

Spear phishing je varijacija phishinga koja je specifično orkestrirana za napad na veće ciljeve, a umjesto najšire publike cilja isključivo najranjivije zaposlenike u kompaniji. Kriminalci koji planiraju izvesti napad, umjesto brzog i kratkog napada, spear phishing mogu vršiti sve dok konačno ne izvuku željenu informaciju. Njihove metode pristupa su u ovome slučaju usredotočene na sadržaj koji je skrojen prema žrtvinom profilu.

To se u stručnoj terminologiji naziva 'ciljani napad', gdje napadač ima određenu razinu stručnosti te raspolaže resursima potrebnima za dugoročnu operaciju. U slučajevima kada se proboj desi kao rezultat ciljanog napada vrlo je važno znati da se napadači mogu prilagoditi, adaptirati i poboljšati kako bi nadvladali žrtvinu zaštitu.

Što se događa nakon toga?

Nakon što žrtva konačno poklekne i zbog nedostatka pažnje nasjedne na jednu od brojnih zamki, napadači će na njezino računalo instalirati malware koji im omogućuje instalaciju vlastitog softvera. Za razliku od standardnog phishinga gdje nakon krađe podataka pojedinac ostaje bez novca i kriminalci nestaju u noći, preuzimanje kontrole nad računalom ovdje je tek prva faza napada.

Žrtve spear phishinga redovito su ljudi koji imaju pristup zatvorenom i osiguranom računalnom sustavu. Nakon što pronađu najslabiju kariku i uspiju ući u veći sustav, kriminalci kreću u konačnu fazu napada. Oni tamo mogu uzrokovati apsolutni kaos, krasti korisničke račune tisuća firminih klijenata, pristupati bazi vrlo povjerljivih podataka i još mnogo toga.

Metodički pristup

Prema podacima iz nedavne studije koju je provela sigurnosna kompanija IronScales, 77 posto napada usredotočeno je na deset ili manje e-mail adresa, s time da trećina napada cilja samo jednu. Napadi u 47 posto slučajeva traju kraće od 24 sata, dok 65 posto njih zna trajati i do 30 dana. Tradicionalni filteri za spam u većini su slučajeva u cijelosti neučinkoviti - na svakih pet napada koje spam filteri uspiju blokirati, dvadeset njih pronađe put do inboxa.

Što se štete tiče, ona zbilja može biti ogromna Primjerice, zaposlenici Ubiquiti Networksa prenijeli su 46,7 milijuna dolara na račune koje su, prema mailovima, zadali vrhovni ljudi kompanije. Ono što se zapravo dogodilo je da su hakeri stvorili e-mail adrese koje su vrlo slične onima koje koriste šefovi te su njima uspjeli prevariti zaposlenike.

Slučaj koji je nedavno privukao pažnju javnosti je napad na kuću za kreditni rejting Equifax. Nakon što su se metodom spear phishinga hakeri domogli više od 140 milijuna korisničkih računa, na red su došle nove potencijalne žrtve - potrošači. Čak i ako su zaštitili kreditne podatke, hakeri su ih napadali telefonskim pozivima.

Susan Grant, direktorica odjela za zaštitu kupaca Potrošačke zajednice Amerike, rekla je svim zabrinutima da 'ne paničare, ali da budu oprezni'. Nakon nedavnog napada kriminalci imaju sve potrebne alate za izvlačenje novca od brojnih potencijalnih žrtava. Sigurnosne organizacije tako upozoravaju na potencijalne lažne pozive, phishing koji cilja bankovne račune i pokušaj krađe identiteta s kojim kriminalci mogu prisvojiti žrtvin povrat poreza.

Tko je više ugrožen: pojedinci ili kompanije?

Lucijan Carić odgovara: 'Izloženi su svi, i tvrtke i pojedinci. Potreban je dodatan oprez i stalna budnost, rutinsko provjeravanje svih zahtjeva koji spominju novac, brojeve kreditnih kartica ili druge osobne informacije.' Što mi možemo učiniti da ne postanemo žrtve prijevare? Carić ističe 'standardne mjere zaštite kao što su inteligentno filtriranje elektronske pošte, antivirusni programi, firewalli, sustavi za filtriranje prometa prema internetu itd.'

Kako se zaštititi?

S obzirom na to da je riječ o ciljanom napadu koji napadači izvode brojnim metodama, konkretna kontramjera ovisi uglavnom o vašoj koncentraciji. Lažni banneri i poruke nerijetko imaju neprofesionalno obrađenu ilustraciju ili su puni gramatičkih grešaka. Lažni pozivi koje kriminalci koriste kako bi izvukli informacije od žrtve variraju, no ako vam misle prodati uslugu vezanu uz bilo koji od vaših digitalnih računa bez da ste ih prije poziva za to zatražili službenim mailom ili web stranicom, odbijte ih. Konačno, čitajte email adrese. Velik broj prevaranata koristi adresu vrlo sličnu službenoj te nastoje kopirati izgled službenog maila. Na vama je prepoznati detalje i nakon toga prijaviti mail ili ga strpati u spam.

Kakva je situacija sa spear phishingom u Hrvatskoj?

Carić naglašava da je stanje kod nas vrlo slično onome u inozemstvu, s time da nas, ironično, spašava naše govorno područje. 'Hrvatska je izložena, ali u tome ona nije nikakva iznimka, već potvrda pravila. Informatički kriminalci nisu izbirljivi i oni svoje udice bacaju uokolo, pa tko se uhvati - njima je uvijek dobar', naglašava naš stručnjak za cybersigurnost. Phishing i spear phishing su, doduše, na našem području aktivni već dugo vremena. 'Već cijelo desetljeće, ako ne i dulje bilježimo napade koji su 'prilagođeni' našoj zemlji i tako što koriste hrvatski jezik (ili ga bar pokušavaju koristiti). U takvim 'lokalizacijama' informatički kriminalci upotrebljavaju i programe za automatizirano prevođenje, pa ih ponekad znaju izdati jezične i pravopisne pogreške', objasnio je Carić.