Četvrtak je, uobičajeni radni dan u vašoj tvrtki. Kad, malo poslije 14 sati stiže u odjel nabave zanimljiva e-pošta s naslovom Poziv na plaćanje.
Zaposlenik je odmah prosljeđuje računovodstvu da ispitaju o čemu je riječ. Računovođa prima e-poštu, otvara je i klikne na privitak koji čini kompletno kriptiranje lokalnog računala.
Analizirajući takav događaj možemo odmah zaključiti da je sporna e-poruka vrlo lako prošla ljudski firewall jer ju je zaposlenik u računovodstvu primio od kolege iz drugog odjela. Time je zanemarena bilo kakva provjera sporne e-pošte – primjerice tko je to poslao ili sumnjive poveznice i privitka unutar e-poruke. Takva situacija nije hipotetska već stvarni događaj jednog mog klijenta. Sreća u nesreći bila je što sporni privitak nije počeo putovati po cijeloj poslovnoj mreži i činiti još veću štetu. Tako može započeti bilo koji radni dan jer su svi meta.
U ovom primjeru opisana je tehnika phishinga kao platforma za lansiranje napada zvanog ransomware – kad hakeri nakon što su uspjeli kriptirati ili šifrirati sve vaše podatke potražuju ucjenom novac za njihov povrat.
Termin phishing sročen je od engleske riječi fishing – pecanje. Phishing je kriminalna radnja kojom se slanjem e-pošte uz prikrivanje vlastitog identiteta pokušava doći do osjetljivih osobnih podataka napadnute osobe ili tvrtke. To mogu biti pristupne generalije kao što je korisničko ime (username) i lozinka (password) za određeni servis ili uslugu, brojevi kreditnih kartica, osobni identifikacijski broj i drugi osobni podaci. Cilj napada može biti da žrtva učini nešto – npr. otvori privitak čime se napadaču omogućuje raspolaganje žrtvinim podacima.
Kako se zaštititi i što treba učiniti kad se suočimo s takvim problemom?
Kad dođe do računalnog incidenta često me ljudi u tvrtkama pitaju kako je došlo do toga, kad imaju odličan sustav za e-poštu ili napredni vatrozid. Odgovor je vrlo jednostavan – zbog čovjeka. Svakako treba imati antivirusno rješenje na računalima, poslužiteljima i mobilnim uređajima, možda vatrozid uređaj ili proxy za kontrolu web-prometa, ali na kraju – sporna e-poruka stiže čovjeku, on je otvara i pročita.
S obzirom na to da je phishing tehnika skrojena za čovjeka, krovna odgovornost za bilo kakvu izradu ciljanih e-poruka ili bilo kojeg drugog medija koji može koristiti phishing (npr. telefon – vhishing) pripada društvenom inženjeringu. Ukratko, social engineering je niz tehnika pomoću kojih jedan pojedinac, iskorištavanjem ljudskih pogrešaka i slabosti utječe na drugoga kako bi ga naveo da učini nešto što možda nije u njegovom najboljem interesu. Slična definicija se odnosi na phishing tehniku pomoću koje se želi doći do tuđih osobnih podataka, kao što su korisnička imena, lozinke, brojevi kreditnih kartica itd. Ako ste odmah pomislili na manipulaciju bili biste u pravu, iako je sam čin manipulacije svaka interakcija s drugim pojedincem i to ne mora nužno biti loše, ali možemo slobodno reći da je društveni inženjering u kombinaciji s manipulacijom jedan oblik hakiranja.
Što učiniti?
Misliti prije klika i ako kliknete, prijavite!