A Sophos kiberbiztonsági szakértő egy adathalásztámadás-szimulátor segítségével valósnak látszó, ám „hamis” adathalász-kísérleteket juttatott el használókhoz azzal a céllal, hogy megvizsgálja: melyik adathalász-példa adja a legjobb/legrosszabb eredményeket?
A vállalati email-használók a mézesmadzagnak vagy a furkósbotnak dőlnek be nagyobb eséllyel? A fenyegetéseknek vagy az ingyenes ajánlatoknak? A határozott utasításoknak vagy segítőkész javaslatoknak? A „kell”-nek vagy a „lehet”-nek?
A válaszok adathalásztémák széles választékát fedték le, egy közös volt bennük: egyik sem volt fenyegető hangnemű. A lista egyik eleme sem volt igazán sürgős vagy rémisztő, és mind elég valószínűnek és egyszerűnek tűnt ahhoz, hogy az ember gyorsan le akarja tudni őket.
Az olyan email trükkök is meglepően jól működhetnek, amelyek nem tartalmaznak szöveget az üzenetrészben. Minden idők egyik legelterjedtebb emailvírusa a HAPPY99, más néven Ska volt, amely 1999 elején jelent meg. Az email csak egy csatolmányból állt – nem volt benne tárgy vagy üzenet, így az egyetlen látható szöveg a levélben a csatolmány neve volt, azaz HAPPY99.EXE.
Megnyitása után egy újévi tűzijáték jelent meg a képernyőn, azonban az animáció csak álca volt – a vírus közben megfertőzte a számítógépet és email-ekkel továbbítódott mindenkinek. A magyarázó szövegek teljes hiánya azt jelentette, hogy az email jóval kevésbé volt gyanús, mintha a tárgysorban található szavak között olyan idegen nyelvűek lettek volna, melyekre a fogadó nem számított.
Önmagában a HAPPY99 fájlnév olyan aktuális és világszerte érvényes potenciállal bírt, mely majdnem biztosan milliókkal több felhasználót vett rá a kattintásra, mintha valamiféle marketing-pitchet tartalmazott volna.
A legrosszabb tíz példa
- Magatartásra vonatkozó szabályok. Ez egy állítólagos HR-levél volt, amely a cég új magatartásra vonatkozó szabályait vázolta fel. Világszerte megnőtt az igény a munkahelyi diverzitás növelésére és a zaklatás csökkentésére, ezért sok cég vizsgálja felül a foglalkoztatási alapelveit. A dolgozók legnagyobb része tudja, hogy el kellene olvasnia az új irányelveket és hogy a személyzeti osztálynak addig kell őket üldöznie, amíg meg nem teszik azt. Így a linkre kattintás olyan feladatnak látszik, amin gyorsan tovább lehet lapozni.
- Késleltetett évvégi adóösszegzés. Ez arról értesítette a dolgozókat, hogy az adóügyi dokumentációjuk nem akkor fog megérkezni, amikor kellene. Akár W-2-nek, P60-nak, IRP 5-nek vagy fizetési összefoglalónak nevezik, ez a dolgozók számára az egyik „szükséges rosszat” jelenti. Így akkor már meg is nézhetik, hogy mennyi lesz az a késés.
- Tervezett szerver-karbantartás. Meglepődtünk azon, hogy ez a harmadik helyen szerepelt. Meglehetősen cinikus módon arra számítottunk, hogy a legtöbben hajlamosak lesznek ignorálni az ilyen jellegű IT-üzeneteket arra az indokra alapozva, hogy egyébként sem tudnak ellenük mit tenni. Csakhogy: olyan sokan dolgoznak hazulról, hogy a használók szeretik tudni, mikor lesznek kiesések, és így azok köré tudják szervezni az életük eseményeit.
- Rád osztott feladat. Ebben az üzenetben a Phish Threat használója választhat egy projektütemező rendszert, melyet a saját cége használ (például JIRA, Asana), hogy az email ne keltsen feltűnést, mint nyilvánvalóan hamis próbálkozás. Ez részben célzott adathalász kísérletté teszi ugyan ezt a példát, azonban ajánlott dolog feltételezni azt, hogy a cég által használt üzleti eszközök széles körben ismertek és könnyen kiismerhetőek a csalók számára, talán akár automatizált módon is.
- Új emailrendszer-teszt. Ki ne akarna segítőkész lenni, ha csak egy gyors kattintásba kerül az egész?
- A nyaralási irányelvek frissítése. A koronavírus okozta lezárások és karanténok miatt a foglalás és nyaralásra felhasználható szabadság igénybevétele trükkös kérdés napjainkban. Sok cég ennek megfelelően alakítja át a nyaralásra vonatkozó irányelveit – és ki akarna lemaradni a szabadságról?
- Égnek az autó lámpái. Ebben az üzenetben az épület felügyelője látszólag vidám segítőkészséggel hívta fel a figyelmet egy autóra, melynek égve maradtak a lámpái. A valóságban gyanús lehet, hogy egy képet küldtek ahelyett, hogy leírták volna a rendszámot – de felvetődik: Észak-Amerika számos államában és tartományában már nem szolgáltatnak elülső rendszámtáblákat, így a járműről készült kép egyébként sem mutatná az azonosítót (regisztrációs számot).
- A futárcég nem tudta kézbesíteni a küldeményt. Ez egy jól bevált trükk, melyet a csalók már évek óta használnak. Napjainkban különösen hihető a koronavírus miatt megnövekedett házhoz szállítások mértékének köszönhetően. Sőt, lehet, hogy az olvasó is egy küldeményre vár éppen – és a legtöbb esetben az eladó dönti el, melyik futárcéget használja.
- Biztonságos dokumentum. Ez egy állítólagos „biztonságos dokumentum” volt a személyzeti osztálytól, amely elfogadható okot biztosított ahhoz, hogy szokatlan módon tekintsék meg. Ezt a trükköt széles körben alkalmazzák a phishing-támadások mögött álló csalók arra vonatkozó indokként, hogy meggyőzzék a használót a jelszó megadására ott, ahol egyébként nem szokta, vagy hogy módosítsa a számítógép biztonsági beállításait – látszólag a biztonság javításának végett, valójában viszont éppen a csökkentése céljából.
- Közösségimédia-üzenet. Ez egy szimulált LinkedIn értesítő, mely szerint „Olvasatlan üzeneteid vannak Joseph-től”. Úgy tűnik, hogy a LinkedIn népszerűsége hirtelen megnőtt mostanában, mely nem meglepő, ha belegondolunk, hogy a koronavírus okozta visszaesések miatt hányan veszítették el állásukat vagy csökkentették a munkaidejüket. Csábító dolog rákattintani, hiszen a használók tartanak attól, hogy lemaradnak valamiről, a csalók ezt pedig boldogan ki is használják.
Sophos tanácsok: mit lehet tenni?
- Gondolkozz, mielőtt kattintasz! Még ha az üzenet első ránézésre ártatlannak látszik is, vannak csalásra utaló nyomok, amelyek egyértelműek, ha rászánod az időt az ellenőrzésre? Például: helyesírási hibák, amelyek kapcsán kétled, hogy a küldő elkövetné őket, kifejezések, melyeket nem így mondanának a cégednél, szoftveres eszközök, melyeket a céged nem használ vagy olyan magatartás, mint például olyan biztonsági beállítások megváltoztatása, melyek kapcsán figyelmeztettek, hogy nem szabad.
- Ellenőrizd a küldőnél, ha valamiben nem vagy biztos! De sose úgy ellenőrizd, hogy a levélre válaszolva kérdezed meg, eredeti-e, mert biztosan „igen” választ kapsz, mivel a valódi küldő az igazat mondaná, a csaló pedig hazudna. Használd a megbízható módokon keresztül elérhető vállalati információs felületet, hogy kapcsolatba kerülj a véleményed szerint megszemélyesített kollégával!
- A kattintás előtt alaposan ellenőrizd a linkeket! Számos adathalász-email tartalmaz hibátlan szöveget és képeket. A csalóknak azonban gyakran ideiglenes felhőszerverekre vagy feltört weboldalakra kell támaszkodnia az adathalász honlapok hosztolására, a csalás pedig gyakran felbukkan a domain-névben, amit szeretnének, hogy meglátogass. Ne dőlj be a trükknek, mert a szerver neve „majdnem jó” – a csalók gyakran regisztrálnak hasonló neveket, mint például yourcompanny, yourc0mpany (nulla az O betű helyett) vagy yourcompany-site, elírásokat, hasonló karaktereket vagy hozzáadott szöveget használva.
A példák magyarul: avallalatod, avallalat0d vagy avallalatod-oldala
- Jelentsd a gyanús emaileket a biztonsági csapatodnak! Szokj rá arra, hogy mindig ezt tedd, még ha hálátlan feladatnak is érződik. A phishing-támadások mögött álló csalók nem egyszerre csak egy embernek küldik az emailjeiket, így, ha te vagy az első a cégednél, aki kiszúr egy
- átverést, egy korai jelzéssel az IT-szakemberek figyelmeztethetnek mindenki mást, aki szintén megkaphatta a levelet.
Ha pedig a biztonsági csapat tagja vagy és nincs gyors, egyszerű módja a dolgozóknak a potenciális kiberbiztonsági problémák jelentésére – mint például a gyanús telefonhívások és emailek –, miért nem hozol létre egy könnyen megjegyezhető belső email címet még ma, hogy rendszeresen ellenőrizhesd?
Nem kell sok biztatás ahhoz, hogy az egész munkaerőt a biztonsági csapat szemeivé és füleivé változtasd. Mert végül is, ha digitális biztonságról van szó, akkor egy ember kára mindenki kára.