Vlny podvodných mailov a správ sú čoraz agresívnejšie. Najčastejšími cieľmi phishingu na Slovensku sú subjekty vo verejnej správe a v bankovníctve, respektíve klienti bánk.
Sme svetoví
Phishing bol aj minulý rok najrozšírenejšia forma kybernetického útoku. Spôsoby útočníkov sa príliš nemenia, stále používajú podobné triky, ako sú imitácie poštových a doručovateľských služieb a bánk.
„Za prvý polrok 2022 vzrástol počet phishingových útokov na Slovensku o 31 percent v medziročnom porovnaní,“ konštatuje Ján Doboš, ktorý stojí v prvej línii ochrany kybernetického priestoru štátu. Celkovo bolo evidovaných 176 396 phishingových útokov, čo zahŕňa útoky „odrezané“ bezpečnostnými prvkami, pokusy aj reálne incidenty.
Na toto zabudnite
Pred rokmi sa predpokladalo, že vlny phishingu súvisia so sezónnosťou, čiže s prázdninami, so sviatkami alebo s výpredajmi. Väčšina používateľov ešte stále naivne predpokladá, že nie sú pre útočníkov zaujímaví. Alebo ešte horšie – že sú dosť skúsení a dostatočne bystrí.
„Phishingové útoky niekedy pripomínajú kobercové nálety a ich životnosť je vtedy relatívne krátka, inokedy sú to cielené útoky na konkrétne osoby,“ hovorí Boris Mutina zo spoločnosti Excello, ktorá sa špecializuje aj na emailovú bezpečnosť. A potvrdzuje trend – phishingu bude pribúdať a zároveň sa bude zvyšovať aj jeho sofistikovanosť.
Nočné mory profesionálov
Bežní používatelia vo firmách sa stávajú čoraz atraktívnejšími cieľmi, keďže prostredníctvom nich je možné dostať sa k hodnotným informáciám. Zločinecké gangy a špionážne skupiny majú takto „na dosah“ osobné údaje, dôverné firemné informácie aj obchodné tajomstvá. „Nápor phishingu na používateľov je enormný,“ opisuje prostredie Marian Klačo, ktorý je vo Volkswagene Slovakia zodpovedný za bezpečnosť IT a prevádzkových technológií.
Zničujúca kreativita
Tie najhoršie ransomvérové incidenty sa aj vo svete prevádzkových technológií – automobilový priemysel nevynímajúc, začali práve phishingovými útokmi. Popri emailoch, ktoré podsúvajú prílohu so škodlivým kódom alebo odkaz na web, sa objavujú aj iné formy útokov. Pribudli smishing, čiže phishing cez správy, alebo vishing známy ako telefonáty z call centra. „Útočníci hľadajú stále nové možnosti, ako získať od používateľov citlivé informácie a podľa môjho názoru je najagresívnejšou metódou social media phishing,“ dodáva Marian Klačo.
Tí najzraniteľnejší
Bezpečnostní špecialisti identifikujú tri mimoriadne zraniteľné skupiny. Seniori sú vystavení rizikám, ktorým nerozumejú alebo nevedia na ne reagovať. Strach, pochybnosti a neistota spolu s nátlakom útočníkov sú spúšťače nesprávnych reakcií.
Ženy sú často obeťami podvodníkov, ktorí sa vydávajú za zamilovaných lekárov či vojakov zo zahraničia. Tí získavajú ich dôveru a lákajú peniaze pod zámienkou liečby chorého dieťaťa či návratu domov.
Pre deti je phishing neznámy a netušia, prečo by si mali chrániť súkromie. V školách absentuje kvalitné vzdelávanie v kyberbezpečnosti poskytované štátom, čo považuje Boris Mutina za hanbu, ktorá sa nám vypomstí za pár rokov.
(Ne)osvietení používatelia
Skupiny, ktoré majú prístup k prostriedkom ochrany napríklad v práci, ako sú rôzne filtre, školenia či pravidelné testy, sú viac odolné. Tréningy sú čoraz častejšou súčasťou firemného vzdelávania. Na druhej strane tie isté osoby môžu zlyhávať pri súkromnom využívaní emailov, aplikácií alebo na sociálnych sieťach. Boris Mutina po rokoch analýz phishingových mailov a riešení incidentov však varuje najmä malé firmy a drobných podnikateľov: „Agenda bezpečnosti je tu často okrajová alebo žiadna.“
Už ste sa nachytali?
Nie je to prekvapivé. „Za obdobie ostatných dvoch rokov vnímam výrazný nárast počtu phishingových kampaní voči klientom bánk,“ súhlasí Ján Adamovský, riaditeľ bezpečnosti v Slovenskej sporiteľni. Podvodníci využívajú najrôznejšie komunikačné platformy, ľudí oslovujú cez online bazáre, sociálne siete či volajú z podvrhnutých telefónnych čísel banky alebo polície. Zároveň rastie aj sofistikovanosť a personalizácia týchto útokov.
Neskoro plakať
Podľa kvalifikovaného odhadu Jána Adamovského sa každý rok na Slovensku stanú obeťami phishingu tisícky ľudí. Reálne dôjde k odovzdaniu prihlasovacích údajov do internetbankingu, k odcudzeniu údajov z platobnej karty alebo až k samotnému odcudzeniu peňazí. Vo firemnom svete sú najčastejšími cieľmi finanční riaditelia a zamestnanci zodpovední za vybavovanie faktúr, ktorých sa podvodníci snažia presvedčiť, aby realizovali podvodný platobný príkaz. Najčastejšie sa vydávajú za vyššie postaveného manažéra z danej firmy alebo dodávateľa, ktorý náhle zmenil účet v banke.
Na čo je phishing dobrý
Od marca zaznamenala zvýšený počet phishingových kampaní cielených na zamestnancov aj Všeobecná zdravotná poisťovňa. „Každý takýto útok vieme využiť na zlepšovanie a aktualizáciu našich spamových filtrov, čím sa snažíme zabezpečiť, aby každá ďalšia kampaň od útočníkov bola menej a menej úspešná,“ reaguje Martin Fischer, manažér oddelenia kybernetickej bezpečnosti. Najväčší podiel na úspešnosti alebo neúspešnosti cielených kampaní má však samotný používateľ, preto je vzdelávanie v oblasti informačnej bezpečnosti prioritou.
Odborníci sa zhodujú
„Musíme citlivo a cielene vyskladať také formy, druhy, témy a rozsah vzdelávacích aktivít, aby reflektovali cieľové skupiny zamestnancov,“ opisuje stav Peter Dufek, manažér kybernetickej bezpečnosti v sieti Svet Zdravia a ProCare.
Podľa jeho skúseností je najväčším motivátorom, keď je téma phishingu naviazaná so súkromným životom. Kampane a podvody nie sú udalosťami iba v zamestnaní a rady, ako sa chrániť, si chce vypočuť veľa poslucháčov. Ak nadchnete pre spoluprácu ľudí, získate pre budovanie kybernetickej odolnosti maximum.
Hovorte, nehanbite sa
Sociálne inžinierstvo v phishingových kampaniach čoraz viac využíva otvorené zdroje. Útočníci si o svojom cieli zistia čo najviac a správy prispôsobia, aby boli dôveryhodnejšie, a teda úspešné. Phishing sa týka každého. Aj tých, čo si myslia že sú proti nemu imúnni. Hoci dokonalé riešenie neexistuje, pomáha neustála ostražitosť a povedomie o téme.
„Hovorte so známymi o hrozbách phishingu a otvorene aj o tom, ak ste na phishing naleteli. Nie je to hanba, vaša skúsenosť a svedectvo môžu pomôcť zachrániť niekoho iného,“ jednoducho uzatvára ťažkú tému Ján Doboš z Národného centra kybernetickej bezpečnosti
SK-CERT. Platí to pre používateľov aj pre firmy. Podnetom na spracovanie témy phishingu sa stal nárast phishingových kampaní a hrozieb, ktoré sa s nimi spájajú. Vzhľadom na mimoriadny záujem o tému sa praktickým radám a ukážkam budeme venovať aj v augustovej prílohe Hospodárskych novín Kybernetická bezpečnosť.