Útok zvaný „phishing“! Ako ho rozoznať a ako sa mu efektívne ubrániť?
Administrátori a správcovia informačných systémov od Vás nikdy nežiadajú prihlasovacie údaje alebo ich overenie prostredníctvom kliknutia na externý alebo interný odkaz, ktorý Vám zašlú cez e-mail. Každá takáto elektronická pošta je tzv. “phishing” a jej cieľom je kompromitovať Váš počítač alebo mobilné zariadenie.
Phishing – je získanie citlivých informácií, alebo prihlasovacích údajov alebo kliknutie na link. Útočníci sú veľmi sofistikovaní (naliehavosť – potrebujem to rýchlo, inak..., (najčastejšie) posielajú phishing v piatok o 14-15 keď končí pracovná doba a pod.)
Ako rozoznať phishing a čo robiť ak sa stanete „obeťou“ phishingu vám poradíme v nasledujúcich bodoch tohto článku:
- Na takúto poštu nereagujte, to aj v prípade, že email “vyzerá”, že bol doručený od interného zamestnanca alebo zmluvného partnera. Overte si zdroj. Prípadne nahláste incident na helpdesk.
- Phishing mail s odkazom na web – link môže vyzerať „nevinne“ napr. www.google.com <http://www.google.com/> vs www.googIe.com <http://www.googie.com/> (druhý prípad je podvod - googie s veľkým „I“), ak tam link nemá čo robiť, je to podozrivé, neklikám, overím s druhou stranou alebo na podpore IT. Ak prejdete kurzorom myši nad odkaz a počkáte sekundu (ale nekliknete), zobrazí sa vám celý link kam budete presmerovaní. Takto si viete overiť odkaz ktorý je skrytý pod textom ako názov linku.
- Neotvárajte prílohy z nedôveryhodných zdrojov. Žiadosti a sťažnosti majú stanovený oficiálny postup vybavovania a určené oficiálne kontaktné adresy.
- Nevkladajte alebo nepripájajte neznáme prenosné médiá (CD, DVD, USB kľúče alebo disky) do Vášho pracovného počítača.
- Spojenie s danou internetovou stránkou sa považuje za bezpečné, ak je realizované bezpečným protokolom (v internetovom prehliadači máte hore v adrese odkazu zobrazený zelený alebo sivý zámok v odkaze). Bezpečný protokol si viete u stránky vynútiť zadaním internetového odkazu, kde na začiatku odkazu zadáte https://(napríklad bankové spojenie).
- Ak si stránka od Vás žiada osobné údaje alebo iné citlivé informácie, je potrebné použiť zabezpečený protokol s overeným certifikátom (zelený alebo sivý zámok v odkaze). Internetový prehliadač obvykle upozorňuje na neplatný certifikát internetovej stránky. Toto varovanie v žiadnom prípade nepodceňujte. V prípade tzv. podvrhu certifikátu je totiž možné informácie, ktoré pošlete alebo zadáte jednoducho odchytiť a zneužiť. Prihlasovacie údaje sú citlivý údaj.
- Nepoužívajte súkromné počítače na prácu so súbormi, ktoré potom distribuujete v pracovnom prostredí. Tieto môžu byť kompromitované škodlivým kódom (za istých podmienok stačí, ak na tomto počítači niekto pred Vami otvoril nevhodný odkaz na stránke Facebook alebo napríklad len dieťa hralo na tejto stránke nejakú hru).
- Neposielajte citlivé informácie alebo osobné údaje e-mailom v nezabezpečenej podobe. Teda v prípade, že potrebujete poslať takýto súbor, tento najprv zabezpečte heslom (napr. každý MS Word, Excel súbor jednoducho zabezpečíte heslom cez vlastnosti súboru - zabezpečenie súboru heslom). Heslo si s druhou stranou dohodnite prostredníctvom iného bezpečného kanálu - napríklad telefonicky, prostredníctvom SMS alebo osobne. V prípade intenzívnej, častej alebo pravidelnej výmeny takýchto informácií je možné heslo s druhou stranou dohodnúť na určité kratšie obdobie - podľa citlivosti týchto údajov.
- V prípade pripojenia do pracovného prostredia sa používa VPN pripojenie alebo iné schválené spojenie zabezpečené šifrovaním. Spojenie je v tomto prípade (napríklad odborne nainštalovaná a nastavená aplikácia na pripojenie VPN alebo iné odborne nastavené šifrované vzdialené pripojenie) považované za zabezpečené. Na takéto spojenie používajte len schválené počítače alebo mobilné zariadenia. Toto zariadenie sa v tomto prípade stáva súčasťou pracovného prostredia vo vnútri siete Úradu (jej definovanej časti). Používanie verejných wi-fi sietí (napríklad kaviarne, hotely, letiská) na pripojenie do internetu alebo pracovného prostredia sa nepovažuje za zabezpečené. Výnimkou je použitie vyššie uvedeného VPN tunela. Doba, na ktorú je pripojenie VPN vytvorené, musí byť minimalizovaná na minimálnu nevyhnutnú mieru. Teda VPN alebo iné šifrované spojenie do internej siete úradu musí byť vytvorené len na dobu nevyhnutnú na vykonanie potrebných pracovných úkonov.
- Rozposielanie reťazových emailov a zúčastňovanie sa e-mailových reťazových diskusií (prepošlite tento email...) slúži útočníkom najmä na získanie “funkčných” e-mailových adries, ktoré potom budú použité ako cieľ ďalšieho útoku (napríklad vyššie uvedený phishing alebo ako príjemca spamu). Reagovanie na neznámy e-mail ľubovoľnou odpoveďou alebo otvorenie odkazu slúži útočníkovi na to isté.
- Prihlasovacie údaje sú považované za citlivé informácie. Tieto nie je možné zdieľať s inými osobami alebo zamestnancami. Prihlasovacie meno a heslo (pripadne ďalšie overovacie prvky ako PIN, špeciálne USB tokeny, generátory jednorazových hesiel alebo tzv. grid karty) do aplikácií, informačných systémov, databáz, e-mailov alebo iných prostredí je potrebné chrániť primeraným spôsobom (napr. heslá a PIN kódy nepísať na papieriky, nezdieľať prihlasovacie údaje s kolegami a podobne) V prípade ich akejkoľvek kompromitácie je potrebné toto hlásiť ako bezpečnostný incident a prihlasovacie informácie okamžite zmeniť. Zdieľanie týchto informácií, napríklad s kolegom za účelom “zjednodušenia” práce, je považované za kompromitáciu.
- Nastavenie zobrazovania e-mailov na tzv. plain text. V tomto prípade aj pri otvorení e-mailu Váš e-mailový klient nenačíta obrázky zo vzdialených serverov - tým napríklad “neoverí” funkčnosť schránky na účely spamu, ale tiež zvyšuje bezpečnosť oným spôsobom. “Neviditeľné obrázky” - napríklad aj veľkosti 1x1 pixel (zobrazovací bod) môžu byť pri načítaní zo vzdialeného servera potenciálnym nebezpečenstvom (napríklad zneužitie nejakej chyby emailového klienta, v ktorom sa email zobrazuje).
- Pravidelné mazanie histórie internetových prehliadačov a internetových súborov cookies vo všetkých pracovných zariadeniach, notebookoch, vrátane tabletov a mobilných telefónov.
- Dodržiavanie správnej politiky hesiel - pravidelná zmena hesiel, neopakovanie hesiel v rámci ich histórie, komplexnosť hesiel, rozmanitosť hesiel pre jednotlivé používateľské účty a zariadenia. Vyhnúť sa heslám obsahujúcim základné postupnosti (abcd..1234...), názvy inštitúcie, v ktorej pracujete, Vaše mená, priezviská, používateľské mená, mená rodinných príslušníkov, zvierat a podobne. Nepoužívajte rovnaké heslá (aj keď sú považované za "silné") do rôznych informačných systémov. V prípade kompromitácie napríklad e-shopu, budú útočníci automaticky skúšať získané prihlasovacie údaje v ďalších systémoch.