8 pecačkih e-poruka i zašto će vas prevariti (ili neće)

Jedna kolekcija pecačkih e-poruka koju nudi jedan šef informacione bezbednosti pruža uvid u to kako se praksa razvija. To omogućava bolju identifikaciju i sprečavanje pecanja.

Bezbednosni timovi stalno pokušavaju da ostanu korak ispred prevaranata pecačkom (engl. phishing) e-poštom. Koje udarce oni koriste? Koga ciljaju? Koje konce vuku da bi naveli ljude da pritisnu na zlonamerne linkove? Jedan od načina da se stekne taj uvid je da se prouče poruke e-pošte koje šalju prevaranti. Gari Hayslip, šef informacione bezbednosti (CISO – Chief information security officer) u firmi Webroot za sajber bezbednost i pretnje, bavi se prikupljanjem uzoraka pecačke e-pošte u poslednje četiri godine, još od kad je bio šef informacione bezbednosti za grad San Diego. „Počeo sam da primećujem da spam koji dobijam nije više uobičajeni ‘princ iz Nigerije, molim vas da odgovorite’. Umesto toga, neki od ovih prevaranata su obavili istraživanja o odeljenjima za potraživanja ili o konkretnim menadžerima, pa su e-poruke bile skrojene prema njima“, kaže on. „Mislio sam da je te zanimljivo i počeo sam da čuvam kopije. Ponekad vidite neke zaista čudne stvari.“

Te e-poruke postale su vredan alat za istraživanje, posebno nakon što je Hayslip shvatio da ih i drugi šefovi informacione bezbednosti prikupljaju. Drugi šef informacione bezbednosti bi mu poslao pecačku e-poštu primljenu u njihovoj organizaciji pa su uporedili beleške. „Mogao bih da im kažem, ‘da, dobili smo nešto slično pre 18 meseci i vraća se ponovo’.“

On dodaje da poznavanje promena, recimo, pošiljalaca ili kako se stvara osećaj hitnosti, omogućava njemu i njegovim kolegama da bolje identifikuju i blokiraju varijacije u toj pecačkoj kampanji. On ima tu evidenciju pri ruci, takođe kao dobru obuku za njegovo osoblje. Hayslip takođe naglašava potrebu za edukacijom zaposlenih o opasnostima od pecanja. „Verujem da je važno ponoviti da naši zaposlenici moraju biti edukovani, a i sami bezbednosni profesionalci moraju biti edukovani o tim pretnjama. One neće nestati, one će se usavršavati i nastaviće da utiču na organizacije.“ Ta obuka je važna, jer Hayslip primećuje da kriminalci postaju mnogo usmereniji sa svojim pecačkim kampanjama. „Oni ciljaju određene grupe o kojima znaju sve, ili ciljaju određene ljude i e-pošta je napisana prema njima. „Ta relevantnost za primatelja čini pecačku e-poštu mnogo destruktivnijom ako je uspešna, bilo u smislu štete za mrežu ili u smislu veličine finansijske štete – na primer, postizanje da pomoćnik izvršnog administratora odobri veliku lažnu isplatu.

Dole je osam e-poruka za pecanje koje je Hayslip prikupio. On procenjuje zašto su delotvorne ili zašto nisu, i ono što u svakoj od njih otkriva da je reč o prevari.

Primeri e-pošte za pecanje

1. Vaš račun je hakovan

Osoba koja šalje ovu pecačku poruku pronašla je grupnu e-poruku koja je javno dostupna na Webroot-ovoj veb lokaciji. Korišćenje te liste za ciljanje poruke bilo je lukavo. Sadržaj poruke nije baš tako lukav, sa redovima kao što je“Beskorisno je da promenite lozinku, moj zlonamerni softver je svaki put presreće.“  „Kada vidite takvu poruku, to je neko ko zaista ne razume kako funkcioniše zlonamerni softver“, kaže Hayslip. Profesionalni sajber kriminalci ne govore tako.“Postoji način na koji oni govore, a oni su veoma profesionalni u pogledu svojih alata i načina na koji opisuju stvari. Odmah sam znao da je ovo koješta.“ Hayslip misli da je pošiljalac ove e-poruke verovatno kupio pecački alat online bez razumevanja kako on funkcioniše. Hvalisanje je samo pokušaj da se primalac uplaši kako bi izvršio traženu akciju.

2. Dobrotvorna donacija za vas

“Ovo je bilo zabavno! Video sam nekoliko verzija toga. ‘Poklanjamo! Samo nas kontaktirajte i mi ćemo se potruditi da budete na spisku'“, kaže Hayslip. Ovo je uobičajeni šablon u kome pošiljalac može samo da menja imena. Link, naravno, šalje žrtvu na zlonamerni sajt.  Ovde, prevarant računa na pohlepu (i lakovernost) primaoca.“Napadi socijalnog inženjeringa su toliko rasprostranjeni, i toliko uspevaju, zbog ljudske prirode, bilo da je to radoznalost, pohlepa ili strah“, kaže Hayslip.“Dovoljno im je da samo jedan zaposleni nešto uradi.“

3. Dodali ste novu adresu e-pošte na svoj PayPal račun

Ovo je uobičajena sezonska pecačka kampanja koja se pojavljuje od novembra do januara, kada ljudi kupuju za praznike. Takođe se pojavljuje u martu i aprilu tokom sezone poreskih prijava. „Razlog da ova kampanja funkcioniše je to što ljudi kupuju online, a ako ne razmišljaju ispravno, pomisliće: „Tako je, kupovao sam sinoć za svoju ženu na Amazonu i jedan prodavac je želeo da koristim PayPal. To ću da proverim“ – kaže Hayslip. Međutim, da su zastali da pogledaju e-poruku, očigledno je da to zapravo nije iz PayPala. Adresa e-pošte očigledno nije iz PayPal domena, a jezik i ton poruke takođe predstavljaju veliki signal. „To: „Odmah nam javite“! Imam prava upozorenja iz PayPal-a i ona nisu u ovom formatu. Oni su formalniji i neće imati linkove, već telefonske brojeve da ih kontaktirate“, kaže Hayslip.

4. Promenite svoju lozinku za ADP uslugu

Ovo je bila uspešna pecačka kampanja, pošto je nekoliko zaposlenih pritislo na link da bi ponovo postavili svoju lozinku. Napadač je očigledno znao da je kompanija koristila ADP (Automatic Data Processing), i znao je koja grupa unutar organizacije bi mogla da ima prijavljivanje za ADP račune. U jednom slučaju, Odeljenje za ljudske resurse je dobilo e-poruku da su promenjene informacije o bankovnom računu žrtve. Napadač je računao na to da žrtva neće odmah pomisliti da ADP ne kontaktira vlasnike računa na ovaj način, kaže Hayslip. Taj pristup je bio toliko efikasan da je kompanija morala da utvrdi ko je sve primio ovu e-poštu da oni izbrišu tu poruku i njen zlonamerni link iz svojih poštanskih sandučića. „Zbog četiri ili pet ljudi koji su kliknuli na link, morali smo brzo sve da pogasimo i pobrinemo se da svi promene svoje lozinke.“  Ovakva vrsta napada bila bi manje uspešna kada bi svi zaposleni bili svesni da ih ADP ne bi direktno kontaktirao da preduzmu ovu vrstu akcije. ADP bi najpre kontaktirao Odeljenje za ljudske resurse koje bi zatim obavestilo zaposlene.

5. Odeljenje za borbu protiv terorizma i monetarnih zločina FBI-a

Ovaj pristup možete klasifikovati kao „bacimo gomilu stvari o zid u jednoj e-poruci, da vidimo šta će se primiti.” Rezultat je, međutim, nešto toliko očigledno pogrešno da bi skoro svako odmah uočio da je reč o pecanju. „Tip koji mi je ovo poslao, smejao se“, kaže Hayslip. „Ja sam u odboru za Infraguard, tako da kontaktiram FBI skoro svakodnevno“, kaže Hayslip. „Kada sam ovo video, odmah mi se upalila lampica.“ Kao prvo, FBI ne bi imao nikakve veze sa lutrijom UK National Lottery. Pismo bi navelo ukupan iznos fonda u američkim dolarima. Adresa e-pošte je očigledno lažna, a pozdrav „Attn. Email Owner“ nema smisla s obzirom na prirodu poruke. Zvanična e-poruka FBI-a bi takođe bila drugačije formatirana. „Postoje specifični načini na koje FBI pravi svoj blok potpisa. Na kraju svake e-poruke imaju upozorenje o zaštiti tajnosti podataka“, kaže Hayslip. Ovo je pokušaj da se iskoristi pohlepa potencijalne žrtve u kojem se spominje FBI da bi se poruka shvatila ozbiljnije. „Sam sadržaj e-poruke na kraju ubija celu stvar. Izgleda kao nekoliko e-poruka koje su isečene i slepljene zajedno“, kaže Hayslip.

6. Microsoft istražuje vas i vašu porodičnu govornu poštu

Oko 400 zaposlenih u Webroot-u primilo je ovu poruku govorne pošte. „Gomila ljudi je poludela zbog ovoga“, kaže Hayslip. Broj primalaca i činjenica da se koristo sintetizator glasa bili su očigledan znak da su poruke lažne. Ovo je bio prvi pecački napad na kompaniju u kojem se koristila govorna pošta. Posle toga, kompanija je primila druge pokušaje pecanja, naizgled od Microsofta ili IRS-a (poreske službe), govornom poštom, a počinioci su sve bolji u tome. „Poruka postaje sve stroža“, kaže Hayslip, ali svi oni još uvek koriste sintetizator govora. „Nisu bili stvarno efikasni. Ono što čekamo je da kriminalci počnu da koriste veštačku inteligenciju tako da govorna pošta zvuči kao da je pravi čovek. Onda ćemo imati problema“, kaže on. Obrazovanje je ključno za borbu protiv ove vrste pecanja. „Ako Microsoft tuži vašu kompaniju zbog problema sa licenciranjem, oni neće ostaviti takvu govornu poštu“, kaže Hayslip.“Oni će vam poslati svoje advokate.“ Slično tome, poreska služba bi slala obaveštenja poštom, a ne govornu poštu svima koji bi mogli da budu u problemu sa njima.

7. Zahtev za isplatu iz Bank of Ireland za GoDaddy

Ova e-pošta ima dovoljno informacija koje su specifične za ciljanu kompaniju da bi čak i primaoci koji se razumeju u pecanje zastali. „Koristimo GoDaddy, pa su se ljudi pitali:„ Da li kasnimo za neki račun?” kaže Hayslip. „Imamo kancelariju u Dablinu, tako da je važno pitanje koje smo postavljali bilo: „Da li imamo neke račune koji koriste Irsku Banku?“ Takođe smo se bavili potraživanjima. Svi odgovori su bili negativni.“ I ovde pokušaj pecanja računa na to da primaoci nisu svesni koje procese njihova kompanija zaista koristi. „Nikada nisam video da GoDaddy šalje opomenu preko banke. Obično vam GoDaddy samo pošalje e-poruku u kojoj piše: „Hej, vreme je da se obnovi“, kaže Hayslip.  Dok je Hayslipov tim pokušavao da proveri ispravnost e-pošte u različitim odeljenjima, oni su takođe otvorili link. „Tada smo saznali da je reč o zlonamernom softveru.“

8. Platite saldo na računu Amazon prodavca

Ova poruka je poslata Hayslipovom zameniku šefa informacione bezbednosti, koji nije prodavac preko Amazona. To je olakšalo uočavanje da je reč o pokušaju pecanja, čak iako primalac nije bio iskusan profesionalac za bezbednost. Čak i da je primalac bio prodavac preko Amazona, poruka ne liči ni na jednu zvaničnu komunikaciju za plaćanje Amazona sa svojim prodavcima. „Video sam kako izgleda proces prodaje preko Amazona, a to je mnogo više od malog e-maila koji kaže „hej, dugujete nam nešto novca“, kaže Hayslip. Prava Amazonova poruka bi bila formalnija i uključivala bi njihov logo.“Obično vam ne bi dali ništa sa linkovima. Umesto toga, oni vam kažu, ‘Evo datuma i vremena kada radimo. Evo naših brojeva telefona. Evo gde nas možete kontaktirati.’ Onda vi treba njih da kontaktirate“, kaže Hayslip. „Tako ove vrste e-poruka odmah podižu alarm, jer ne poštuju metodologiju koju prodavci obično koriste.“

Izvor: CSO

5254-xa-8-pecackih-e-poruka-i-zasto-ce-vas-prevariti-ili-nece-xa-2