Phishingové kampaně a na co si dát pozor

V průběhu března jsme zaznamenali dvě větší phishingové kampaně, které směřovaly na naše zákazníky. Cílem bylo získat přístup do zákaznické administrace a e-mailových schránek. Obě tyto kampaně jsme i díky proaktivnímu přístupu zákazníků mohli detailně monitorovat a zabránit zneužití služeb u zákaznických účtů, kteří kyberpodvodníkům naletěli.

Proč jsou kampaně cílené na zákazníky WEDOS

WEDOS je podle mnoha měřítek největším poskytovatelem hostingových služeb v Česku. Téměř každá pátá doména směřuje do našich datacenter. Zároveň jsme jedním z největších registrátorů domén v Česku (možná největší, veřejné statistiky pro většinu doménových koncovek nejsou).

Počet hostovaných .cz domén 05.04.2022 podle veřejných statistik CZ.NIC.

Kyberpodvodníkům se tak vyplatí využít naši značku ve svých kampaních. I když svůj spam budou cílit “na slepo”, s počtem zákazníků které máme, se mnohokrát trefí.

Proč probíhají phishingové kampaně právě teď

Fyzická válka se vede na Ukrajině, ale ta kybernetická po celém světě. Bezpečnostní týmy musí řešit více bezpečnostních incidentů a jsou také vládními institucemi vyzývány k většímu dohledu a posílení kybernetických ochran. Pozornost se tak přesouvá spíše k DDoS útokům, malware, hacknutým webům atd. Klasické phishingové kampaně ustupují do pozadí, čehož se samozřejmě kyberpodvodníci snaží využívat.

Jak phishingová kampaň probíhá

Velké phishingové kampaně potřebují zdroje a ty zajišťuje botnet. Což je síť napadených strojů (servery, počítače, mobilní telefony, televize, ledničky, online kamery … prostě cokoliv připojeného k internetu), které útočníci mohou na dálku řídit z takzvaných command & control serverů (C&C).

V botnetu jsou i napadené weby, které mají backdoor. To je skript, většinou dobře schovaný, přes který může útočník provádět řadu úkonů, mezi nimi i vytvářet webové stránky. Právě takto může vzniknout cílová webová stránka, na kterou budou směřovat odkazy z phishingových e-mailů. Respektive desítky anebo i stovky cílových stránek na různých napadených webech.

Toto nemusí být pravidlo. Někdy útočníci použijí čísla ukradených kreditních karet a prostě si koupí službu VPS/webhostingu včetně domény, která je podobná té, kam se zákazník běžně přihlašuje.

Pak začne rozesílání phishingových e-mailů. Jednotlivé zařízení v botnetu obdrží seznamy, kam mají posílat spam.

V dnešní době už jsou phishingové e-maily často kvalitně přeložené do češtiny. Text je naléhavý a často dobře odladěný, aby bylo dosaženo, co největší míry úspěšnosti.

Pokud uživatel zadá údaje na phishingové stránce, tak jsou ihned přeposílány na servery ovládající kyberpodvodníky, tam vyhodnoceny a přeposílány dál, aby mohlo dojít k zneužití. Uživatel si totiž často velice rychle uvědomí, že naletěl a může provést opatření ke zamezení zneužití účtu. Případně kontaktuje zákaznickou podporu, která účet zablokuje, než dojde ke změně všech přihlašovacích údajů.

Proto pokud máte podezření, že jste naletěli, tak řešení neodkládejte. Každá vteřina se počítá.

Co je dobré o phishingu vědět

Phishing je tu s námi dlouho a i přes zavedení mnoha ochranných prvků ještě bude. Neomezuje se jen na e-maily. Probíhá i přes telefon (vishing), SMS (smishing), sociální sítě, komentáře v diskuzích atd. Dokonce vám klidně může přijít i poštou. Tím to ale nekončí. Může být skrytý i venku na ulici v QR kódu, prostě kdekoliv.

V následujících odstavcích se podíváme na phishing detailněji.

Co je v e-mailu s phishingem nebezpečného

Existuje více možností, jak dělit phishing. Pro účely tohoto článku si jej rozdělíme na způsoby, kterými vám chce ublížit.

Nebezpečný odkaz

Jedná se o nejrozšířenější druh phishingu, protože se rozesílá jen text (HTML), kde je několik odkazů. Většina z nich nemusí být nebezpečná a může pro vzbuzení důvěry směřovat na oficiální stránky. Jenomže odkaz, který bude provádět důležitou a požadovanou akci, vede na phishingovou stránku.

HTML odkazy

Není přitom odkaz jako odkaz. Díky HTML můžete běžný odkaz, který vypadá jako přímá URL, nasměřovat úplně jinam.

https://client.wedos.com/

Směřuje výše uvedený odkaz do naší zákaznické administrace? Pokud jej označíte a překopírujete do adresního řádku prohlížeče, tak ano. Jenomže když na něj kliknete, tak se dostanete úplně jinam.

Kam odkaz skutečně směřuje, se můžete dozvědět ze zdrojového kódu e-mailu. Záleží jakého e-mailového klienta používáte. Například v Thunderbird otevřete zdrojový kód přes CTRL+U.

Mnoho lidí si myslí, že pokud najedou na odkaz myší, tak vidí kam skutečně směřuje. Ovšem ani to nemusí být pravda, protože vše se dá ovlivnit například přes JavaScript. V e-mailu se s tím zřejmě nesetkáte, ale na webu můžete.

Důležité je vědět, že odkazy mohou směřovat jinam, než se zdají.

Příklad e-mailu, kde odkaz na podvodnou stránku je vytvořen v HTML.
Zkracovače URL

V případě, že útočník nemůže anebo nechce použít HTML, tak většinou odkazy maskuje přes takzvané zkracovače. Nejznámějším je byt.ly. Používají jej ale i sociální sítě (fb.me, t.co atd.) Jedná se o krátký a snadno přenositelný odkaz (URL), na který když kliknete, tak dojde k přesměrování na jinou URL.

Příklad jak může zkrácená URL vypadat:

https://zkr.url/hAe71 případně https://zkr.url/WEDOS

V e-mailu na zkracovače nikdy neklikejte.

Další ukázka podvodného e-mailu. Odkaz byl maskován zkracovačem.
Povědomý odkaz v URL

Dalším způsobem jak vytvořit “důvěryhodný” odkaz je použít oficiální kus URL do subdomény. Například:

https://client.wedos.com.něco.cz/login/

Stejně tak jde dát i do názvu cesty, což je podobný případ jako u zkracovače.

https://něco.cz/client.wedos.com/login/

O tom co se zobrazí na cílovém odkazu rozhoduje pouze majitel domény něco.cz.

A ochrana proti tomu? Mějte v prohlížeči uložené odkazy všeho potřebného (administrace, webmail klient, stránky webu atd.). Pak na ně nemusíte klikat v e-mailu.

IDN domény

IDN (Internationalized Domain Names) jsou domény, které mohou obsahovat i znaky jiné abecedy, než je latinka. V některých případech dokonce i emoji. Můžete tedy zvolit jinou abecedu, která je podobná latince a vytvořit na doméně s podporou IDN a dané znakové sady, doménu vizuálně podobnou. Na první pohled to laik není schopen rozeznat.

Příklad:

https://client.wеdоѕ.com

Samotná doména je mixem latinky a cyrilice. Konkrétně obsahuje z latinky W a D, z cyrilice pak Е, О, Ѕ.

Internetový prohlížeč IDN doménu převede na takzvaný punycode. Takže v adresním řádku uvidíme:

https://client.xn--wd-nlc1byh.com/

Samozřejmě pokud váš prohlížeč název nepřeloží do punycode, tak to jen stěží poznáte.

Teoreticky lze použít překladač řetězců do ASCII. Velká písmena latinky začínají 41 a končí 90, malá začínají 61 a končí 122, čísla jsou od 48 do 57. Takže pokud použijete konvertor textového řetězce do ASCII, tak by vám u latinky nemělo nikdy vyjít více než 122.

Příklad:

ŘetězecJednotlivé znaky podle ASCII
wedos119 101 100 111 115
wеdоѕ119 1077 100 1086 1109

Ujistěte se, že prohlížeč, kde otvíráte odkazy z e-mailu překládá IDN domény do punycode.

Nebezpečný text

Nejčastěji se setkáte s phishingovými e-maily, které podstatnou část podvodu mají automatizovanou. Tedy je v nich odkaz na nějaký formulář, kam máte vyplnit přihlašovací údaje, osobní údaje anebo další zneužitelné údaje. Existuje však řada podvodů, kde je součástí lidská interakce.

Nejznámější jsou takzvané Nigerijské dopisy (Scam419), kdy vám někdo zcela neznámí napíše, že jste zdědili, vyhráli anebo jinak přišli k nějakému velkému jmění. Stačí když odpovíte a domluvíte se na detailech. Což vede k další komunikaci, završené žádostí o malý administrativní poplatek. Když jej uhradíte, tak přijde další komunikace a žádost o větší poplatek. To se opakuje dokud oběť podvodu platí.

Zatímco výše uvedené podvody mají poměrně průhledný scénář a jsou už celkem známé, tak zvláště na firmy mohou směřovat cílené a o dost komplikovanější podvody.

BEC (Business Email Compromise)

Jedná se o zvláštní formu phishingového útoku, která cílí na zaměstnance firem. Útočník se často vydává za vedení firmy a snaží se přimět nepozorné zaměstnance, zákazníky anebo obchodní partnery, aby uhradili objednávku na jiný účet.

Tento druh útoků není radno podceňovat. U nás zatím není tak moc rozšířený, ale v USA se významnou měrou podílí na ztrátách společností způsobených kybernetickými hrozbami. Je jen otázkou, kdy se u nás opravdu rozšíří.

Je dobré proškolit zaměstnance, zvláště ty, kteří mohou něco uhradit, že toto nebezpečí opravdu hrozí. Může jim napsat někdo, kdo se bude vydávat za vedení společnosti a požadovat okamžité uhrazení peněz důležitému dodavateli. E-mail od nich přitom může vypadat opravdu reálně. Použitá je stejná šablona, sedí jména, loga atd.

Jak se bránit?

  • SPF je naprostá nutnost – bez této technologie a její důsledné kontroly v e-mailovém klientu je možné podvrhnout e-mailovou adresu odesílatele.
  • Uložte si všechny důležité e-maily do adresáře kontaktů a nechte e-mailového klienta, ať vás upozorní pokud píšete na e-mail, který v adresáři kontaktů není. Pokud budete odpovídat na podvodný e-mail z jiné domény, tak vás prohlížeč upozorní.
  • Pokud je něco naléhavého, tak tomu věnujte zvláštní pozornost. Pokud podvodník nemá přístup k interní komunikaci, často jsou v textu nepřesnosti a chyby. K ověření pravosti využijte další komunikační kanály v rámci firemní komunikace (telefon, interní chat).
  • Obzvlášť si dávejte pozor na vyřizování takových e-mailů na mobilním telefonu.
  • Zaměstnance je třeba pravidelně školit a připomínat jim existenci rizik. Neuškodí, když nějaký phishing přijde, tak udělat screenshot a pro výstrahu jej poslat celé firmě.
  • V rámci interních systému byste měli monitorovat, kdo se odkud připojuje. V případě neobvyklé aktivity to prověřit. Nejnebezpečnější je, pokud někdo přijde o přihlašovací údaje k e-mailu a někdo rozešle phishing z oficiální adresy.

Zvláštní formou jsou takzvané clone phishing. Jedná se o e-maily, které kopírují oficiální šablonu a mění se pouze kam zaplatit. Případně doplňující informaci, že v předchozím e-mailu je staré číslo účtu. Podvodníci je rozesílají těsně potom, co odejde oficiální e-mail. Cíl si tak přečte jak první, tak i druhý e-mail. Pokud výzvu k úhradě očekává a přijde mu jeden pravý a jeden podvodný, tak nemusí být ve střehu. Snadno naletí. Tento druh podvodu lze dělat zvláště pokud posíláte e-maily s výzvou v pravidelných intervalech všem.

Odkazy pro okamžitou platbu v e-mailu jsou pohodlné, ale pokud chcete mít jistotu, tak si stačí uložit v prohlížeči adresu s objednávkami ze zákaznické administrace.

Na této stránce najdete seznam výzev k úhradě i jejich stav. Prokliknete číslo výzvy a kliknete na provést platbu anebo uhradit ze zálohového účtu.

Další zvláštní formou je spear phishing. Zde se neútočí náhodně, ale cíleně. Útočník má znalosti o cílové organizaci anebo i jednotlivci, který e-mail obdrží a bude vyřizovat. Tyto často osobní informace bude chtít využít k zvýšení důvěryhodnosti, nátlaku atd. Cílem spear phishingu bývá hlavně vedení společnosti a pracovníci fakturačního oddělení. Těmto skupinám je třeba při školení věnovat zvláštní pozornost.

Nebezpečná příloha

Zde už se od klasického phishingu dostáváme trochu dál. Pokud zrovna botnet neprovádí nějaký útok, tak se snaží zvětšovat počet napadených strojů. K tomu se často používá rozesílání e-mailu s nebezpečnou přílohou, který do vašeho počítače dostane malware.

Technicky není nebezpečná samotná příloha, ale program, který jí otevře. Protože ten na základě informací v příloze může provést akci, která povede k infekci počítače. Je tak třeba aby programy, v kterých se přílohy budou otvírat, byly bezpečné, případně měly jen omezená práva.

Výrazně zvedne zabezpečení bezpečnostní balíček (antivir, firewall). Ten může automaticky detekovat hrozbu a buď ji eliminovat anebo pozastavit. Na každém počítači by tak neměl chybět. Musí však mít oprávnění vidět do komunikace a případně do ní zasahovat.

Jak mohou být jednotlivé přílohy nebezpečné:

ALZ, ARJ, RAR, TAR, ZIP – Jedná se o komprimovaný soubor, může obsahovat spustitelný soubor. Občas bývá zaheslovaný (heslo je v textu e-mailu), tím je také zašifrovaný a antivir v něm nemůže najít škodlivý kód.

BAT – Soubor s příkazy pro Windows, které má vykonat.

DOC, DOCX, XLS, XLSM, XLSX – Soubor kancelářského balíčku může obsahovat makra, která pomohou dostat do vašeho počítače malware. Spouštění maker by mělo být v kancelářském balíčku zakázané.

COM, EXE – Spustitelný soubor, který přímo může obsahovat malware.

HTML/HTM – Soubor webové stránky, může obsahovat JavaScript, který se pokusí zavolat nebezpečný kód.

JNLP – Obsahuje informaci pro stažení souboru JAR, což je program v Java.

PDF – Soubory PDF používáme denně. Většinou v nich jsou dokumenty, které si můžeme pohodlně přečíst na kterémkoliv počítači. Problém je, že mohou obsahovat nebezpečný kód (červa), který může propašovat do systému malware. Každé PDF by měl projít váš antivirus. Pokud otvíráte PDF v počítači, čtečka by měla mít vypnutá všechna rozšíření třetích stran a zákaz spouštění JavaScript. Samozřejmě chce to mít čtečku PDF vždy aktualizovanou. Extrémní pozor si dejte na PDF, které jsou zabalené v archivu (ZIP, RAR atd.) a šifrované.

Tento seznam není kompletní a slouží pouze pro ilustraci.

Jak se phishingu bránit

Základem je nikomu nevěřit a připravit se, že všechno může být podvod. Kyberpodvodníci každý den vymýšlí lepší a lepší metody, jak vás podvést. Některé jsou zcela nemyslitelné, takže vůči vám budou vždy o krok napřed. Neuškodí tak být přehnaně opatrný.

Bezpečnostní balíčky obsahující antivirus, firewall a další pomůcky mohou pomoct. Jednak přímo odhalí například nebezpečnou přílohu, a také mohou pracovat s blacklisty domén, URL, IP adres atd. Když už vám něco přijde, mohou to rovnou smazat anebo vám zabrání navštívit podvodnou stránku. To však funguje jen u známých a hromadně cílených hrozeb.

Pravidelně aktualizujte všechen používaný software. Nejen operační systém, ale i prohlížeče, e-mailového klienta, programy s kterými pracujete.

Všechno zneužitelné byste měli mít oddělené a používat bez nutnosti klikat na odkazy v e-mailu. Uložte si v prohlížeči do záložek internetové bankovnictví, naši zákaznickou administraci atd.

Kde to jde tak používejte dvoufaktorové ověření (OTP). Když už kyberpodvodníci získají přístupové údaje, tak bez druhého zařízení, na které přijde ověření jim to bude k ničemu.

Ne každý má přehled o kybernetických hrozbách současnosti. Pokud jste výjimkou, tak se podělte s ostatními. Uspořádejte ve firmě s kolegy školení. Ukažte jim příklady. Vyplatí se také posílat screenshoty s ukázkami.

Závěr

Důležité je ale v případě, že se stanete cílem phishingové kampaně, která zneužívá značku, to nahlásit. Nespoléhejte na to, že to udělá někdo jiný. Poslat screenshot anebo zdrojový kód je otázkou minutky a spoustu lidí tím můžete zachránit. Společnosti mají interní procesy, jak se s těmito hrozbami poprat. Od monitorování situace, zvýšeného dohledu, přes aktivní varování zákazníků až po zavedení mimořádných opatření.