Na to, aby sme chápali, ako sa brániť, musíme porozumieť, ako sa k nám phishing dostáva.

Prvotný je emailový kontakt a ten obvykle obsahuje link na webovú stránku. Druhým, následným vektorom je webová stránka, ktorá sa tvári dôveryhodne, aby ste citlivé údaje odovzdali dobrovoľne.

Bežný používateľ

Väčšina populácie je veľmi zraniteľná týmito útokmi aj preto, že nemá obvykle dostatočné vlastné prostriedky na ochranu. Pre bežného používateľa je preto ultimatívnou ochranou predovšetkým kvalitná softvérová ochrana koncovej stanice, ľudovo povedané antivirák.

Moderné softvérové prostriedky ponúkajú aj ochranu, akými sú plugin do prehliadača na izoláciu prevádzky či adaptívne riešenia na báze strojového učenia pre kategorizáciu webovej prevádzky a správania používateľa a jeho počítača.

Ochrana proti phishingu môže byť aj formou predplatenej služby ako proxy alebo vlastného klienta v prehliadači. Prehliadače Chrome a Edge už dnes ponúkajú základnú ochranu proti phishingu. Vzhľadom na to, že sú založené na signatúrach a sú globálneho charakteru, majú malú účinnosť proti aktívnym rýchlym kampaniam, lokálnym kampaniam alebo cieleným útokom.

Súčasné parametre

Detekcia phishingu sa uskutočňuje pomocou modulu, ktorý na webovej stránke kontroluje, či nevyzerá podobne ako nejaká iná, či neobsahuje jazykové prešmyčky, či má správny certifikát a aké dáta vyžaduje. Samotné bezpečnostné riešenie používa na modelovanie prvky umelej inteligencie, aby dokázala spoznať aj také pokusy o phishing, ktoré nikto zatiaľ nevidel alebo nepoužil. Je to až neuveriteľné, ale stále treba pripomínať, že používateľ by mal chrániť aj svoj mobilný telefón.

 Aj tu by mal vyžadovať rovnaké technológie ako na pracovnej stanici a niektoré aj navyše – ochranu proti smishingu, proti neautorizovaným WiFi sieťam alebo neautorizovaným prístupovým bodom a proti pokusom o útok v sieti typu Man-in-the-Middle.

Korporátny používateľ

Zdanlivá výhoda je, že zamestnanci sa okrem bežnej edukácie nemusia o nič aktívne starať. Alebo predsa? Aj tu platí, že používateľ by mal byť v strehu pri firemnom e-maile. Aj tam môže smerovať pokus o útok. Preto okrem ochrany pracovných staníc alebo dostupných verejných služieb môžeme použiť aj ochranu pre poštové služby. Väčšina používateľov O365 alebo M365 predpokladá, že ochrana proti phishingu je tam zaistená.

Prax ukazuje, že to nie je tak úplne pravda. Preto špecializované riešenia na ochranu proti zero-day hrozbám dokážu pomocou umelej inteligencie rozpoznávať aj tie najšpecifickejšie pokusy o phishing.

Používatelia v menšine

Ak nie ste M365 alebo O365 pozitívni, používajte na ochranu perimetrický firewall. Urobí presne to isté ako kombinácia ochrany pracovnej stanice a ochrany poštovej schránky. Len to musí urobiť na ceste ešte predtým, než to dorazí k používateľovi. K tomu je nutné vykonávať aj takzvanú http inšpekciu, ktorá je na Slovensku ešte stále veľmi málo nasadená v praxi. Čo je veľká škoda.

AI opäť

Zaujímavou kapitolou aktuálneho smerovania vývoja je detekcia AI generovaného obsahu, opäť pomocou AI, a jeho rozpoznanie v porovnaní s bežne písaným textom. Súčasťou obrany na emailovom perimetri sú napríklad technológie, ktoré proaktívne prepisujú url linky tak, aby boli kontrolované na chybovosť, ak na ne niekto klikne.

Patrí sem aj vyhodnocovanie reputácie zasielaných emailov, spamov, phishingov z domén, ktoré by mali byť partnerské, a kontrola obsahu príloh, keďže aj tie môžu obsahovať skrytý phishingový útok. Vstupnú bránu chránia technológie, ktoré využívajú filtrovanie url adries na základe kategórií a signatúr či reputačnú databázu cloudových služieb poskytovateľov antimalvérových a antiphishingových riešení.

O krok vpred

Ak včas zabránite zverejneniu uniknutých emailových adries a firemných hesiel do internetu, výrazne znižujete riziko útoku. Skúste teda pouvažovať nad tým, že do siete na perimeter integrujete technológie, ktoré na základe porovnávania hashov a domén zabránia, aby sa zadávali firemné citlivé údaje na verejné internetové stránky, akými sú napríklad e-shopy.

Na záver by som rád zopakoval, že účinná ochrana proti phishingu je viacvrstvová. Mala by zahŕňať pracovné stanice, ktoré sú často mobilné, aj vstupné brány, poštové servery a mobilné telefóny, na ktoré zabúdame najviac.

Tomáš Vobruba, Check Point Software Technologies