Evolucija phishing napada – kontinuitet rasta

FacebookLinkedinEmail
23.06.2021.
Evolucija phishing napada

Ni sam ne znam koliko sam u prethodnih 10 godina napisao edukativnih tekstova koji se tiču fišinga (phishing). Napisao sam veliki broj procedura i održao bar 20 awareness predavanja gde je glavna tema bio upravo phishing. Zašto je onda moj prvi post na domen.rs upravo taj isti phishing?

Verujem da je većina vas koji čitate ovaj post pročitala bar jedan članak o ovoj temi ili prisustvovala bar nekoj security awareness obuci gde se pričalo o phishing napadima. Zbog čega se onda i dalje bavimo fišingom i kada će ova agonija prestati?

Za razliku od imejla, koji se od svog nastanka suštinski nije mnogo promenio, phishing je dosta napredovao.

Problem i dalje postoji i čini se da je prisutniji nego ikada do sada. Dodatni izazov je što su posledice samih napada daleko teže nego pre desetak godina. U ovom tekstu se fokusiramo na to šta se sve promenilo u sajber svetu i kako je to, posle više od 20 godina interneta u Srbiji, i sama Srbija odjednom postala meta targetiranih phishing kampanja.

Velika promena?

Primarna motivacija napadača u izvođenju svih sajber napada na kompanije je novac.

Tu su se, u prethodnoj deceniji, dogodile dve veoma značajne stvari koje će iz korena promeniti sam nastup napadača i znatno uticati na veliku promenu kursa u sajber kriminalu.

Ekspanzijom ransomvera (ransomware) koji enkriptuje fajlove, koji ubrzo napadačima postaje omiljeni tip malvera, i rastom vrednosti kriptovaluta stvorio se jedan gotovo savršen biznis model.

Sve ono što su godinama radili u „starim” sajber napadima i phishing kampanjama odjednom je postalo veoma lako naplativo, i to naplativo mimo bilo kakvih tokova novca na koje smo do sada navikli.

Napadači danas, po dobijanju pristupa, najčešće kriptuju podatke na vašem računaru ili kompletnoj mreži, učine ih neupotrebljivim, vaš posao u potpunosti zaustave i za otključavanje od vas traže da im na kriptonovčanik uplatite određenu svotu novca. Iako primaoci plaćanja u kriptotransakcijama nemaju potpunu anonimnost, ona je neuporedivo više prisutna nego u situacijama kada novac ide nekim uobičajenim tokovima (preko banke ili slično). Win-win situacija za napadače.

Ovakav splet okolnosti doveo je do ogromnih promena, a značajno/u velikoj meri je uticao i na phishing. Sam ransomver koji enkriptuje fajlove postoji već više od 30 godina, pravu primenjivost našao je u prethodnoj deceniji.

Šta se desilo sa fišingom?

Nije teško zaključiti da je, kao posledica ovih promena, phishing postao bolji. Kada je krenuo da napadačima donosi više novca, krenuo je i da se pažljivije priprema, deluje uverljivije i samim tim postao efikasniji.

I pre ovih promena phishing je bio „oružje izbora” za veliki broj napadača, pre svega zbog svojih posledica. Zašto bi neko trošio sate, dane, mesece i godine pokušavajući da upadne u neku mrežu ili da otkrije neku šifru (password) kada će pomoću uspešnog phishing napada do cilja doći u roku od nekoliko minuta?

Ono što je dodatno odmoglo korisnicima jeste što sada, umesto preko imejl adrese, mogu biti napadani i preko društvenih mreža, Vajbera, Votsapa i ostalih aplikacija za komunikaciju.

Nije se povećao samo broj korisnika uređaja za elektronsku komunikaciju, već se povećala i površina napada na pojedinca.

Oba faktora, broj korisnika i površina napada na korisnika, značajna su za uspešnost phishing napada.

Šta se desilo sa fišingom u Srbiji?

Zbog jezičke barijere i nepostojanja pravih targetiranih phishing kampanja, phishing mejlovi su u elektronskim sandučićima građana Srbije završavali gotovo slučajno. Imejl poruke su bile na engleskom jeziku ili na „Gugl translejt“ srpskom i bilo ih je relativno lako označiti kao sumnjive, jer su štrčale i bile potpuno van konteksta (o važnosti konteksta za uspešnost phishing napada pisaćemo u narednim postovima).

Bili smo relativno zaštićeni i tako je bilo sve do 2016. godine, kada se dogodio jedan od prvih phishing napada koji je targetirao Srbiju.

Umesto standardnih i bledih poruka u sandučiće mnogih poslovnih korisnika interneta u maju 2016. godine stigao je ovaj imejl:
Phishing napad

Izvor: IT klinika

Phishing napadi

Izvor: IT klinika

Tektonska promena u odnosu na sve napade koje smo imali prilike da vidimo ranije. „Jedina” stvar koja u ovoj poruci nije dobra bio je domen sa koga je poruka poslata (pksrs.com umesto pks.rs). Ubrzo nakon ovog napada usledili su novi i još bolji. Najčešće se, u slučaju fišinga na srpskom jeziku, napadači predstavljaju kao vaša banka i u tim porukama šalju vam razne maliciozne fajlove u kojima se obično nalazi ransomver ili neki remote access tool, kao što je to bio slučaj u PKS napadu.

Promene u sajber prostoru, koje smo opisali na početku teksta, evidentno su dovele do toga da sada napadači „imaju računa” da phishing kampanje pripremaju i za naše tržište.

Rekli smo da je phishing po kvalitetu napredovao na globalnom nivou, ali zbog niske početne tačke u Srbiji taj rast je mnogo očigledniji. Prosečan korisnik interneta kod nas do 2016. godine gotovo da i nije imao iskustva sa kvalitetnim napadima, dok su prosečni korisnici sa engleskog govornog područja svakodnevno bombardovani raznim napadima i imaju mnogo više iskustva.

Kako da rešimo ovaj problem?

Kao što je pomenuto u prvim redovima ovog teksta, rešenje je edukacija korisnika.

Zbog toga i otvaramo ovu seriju tekstova o phishing napadima.

Za sada smo napravili uvod kako bismo objasnili šta se to dešava u sajber prostoru i zašto i dalje pričamo o napadu koji je star koliko i sam imejl.
U narednim tekstovima govorićemo o tehničkim i netehničkim merama zaštite, prolaziti kroz konkretne primere phishing napada i sagledavati njihove posledice.

Verujem da će vam biti interesantno, ali pre svega korisno.

Ostanite bezbedni!

FacebookLinkedinEmail