Sadržaj

Gmail phishing

Sažetak

Phishing je kriminalna aktivnost u kojoj se meta kontaktira elektroničkom poštom, telefonom ili tekstualnom porukom na način da se napadač predstavi kao netko drugi. Osim phishinga putem elektroničke pošte i web stranica, postoji i vishing (glasovni phishing), smishing (SMS phishing) i nekoliko drugih phishing tehnika.

U ovom seminarskom radu naglasak će biti na phishing napadima putem elektroničke pošte, proći će se teme kao što su prepoznavanje phishing e-maila, neki tipični primjeri, forenzička analiza primljenog e-maila, metoda obrane od takve vrste napada te jedan konkretni primjer uspješnog i ozbiljnog phishing napada iz prakse.

Ključne riječi: phishing, e-mail, napad

Uvod

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Phishing je zlonamjerna aktivnost kojom se, koristeći tehničke alate i socijalni inženjering, žrtvi želi ukrasti osjetljive osobne i financijske podatke. Riječ je o jednoj od najstarijih vrsta napada koji potiče iz 1990-ih godina, a ujedno predstavlja jednu od najraširenijih i najštetnijih metoda zbog povećanja njezine sofisticiranosti tijekom godina. Naziv doslovno znači pecanje, u analogiji s bacanjem udice (poruke elektroničke pošte) u nadi da će netko zagristi. Najčešće se očituje u porukama elektroničke pošte kojima se navodi korisnika da klikne na određeni link koji ga preusmjerava na stranice zloćudnog web poslužitelja koje oponašaju izgled stvarnih stranica.</font>

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Gotovo trećina napada u 2019. godini odnosila se na phishing, a najgora vijest od svih je što napadači postaju sve uspješniji zahvaljujući dobro pripremljenim predlošcima te korištenjem sve kvalitetnijih alata. Tajna uspješnosti phishing napada leži u ljudskoj prirodnoj znatiželji i činjenici da korisnici ne očekuju da im se dogodi išta loše tijekom svakodnevne rutine.</font>

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Neki oblici phishing napada:</font>

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Najuspješniji phishing napadi ciljaju samo jednu osobu i personalizirani su do te mjere da se uopće ne doimaju kao napad, nego nalikuju na običnu privatnu ili poslovnu interakciju. Postoje i masovniji napadi koji su generalizirani i obično lijeni, no svejedno vrlo učinkoviti. To su mailovi o propuštenim pošiljkama ili problemima s nedostavljenim mailom. Dnevno se šalju na tisuće različitih mail adresa, od čega nekih 0.5% korisnika nasjedne na prevaru. Na taj način moguće je skupiti i na tisuću novih žrtvi mjesečno. A s obzirom da veliki broj korisnika reciklira svoje lozinke, neprestano se povećava broj žrtava korištenjem već postojeće žrtve kao izvor napada.</font>

Phishing kit

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Phishing napadi najčešće naglašavaju hitnost situacije, izazivaju osjećaj straha, upozoravaju na ozbiljne posljedice, a vrlo često su pokrenuti zbog znatiželje žrtve.</font>

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Postoji takozvani phishing kit koji predstavlja komponentu phishing napada, a dizajniran je da oponaša legitimnu web stranicu s ciljem navođenja žrtve na dijeljenje podataka o prijavi ili ostale osjetljive podatke. Razvijen je kombinacijom HTML-a i PHP-a te je pohranjen na kompromitiranim web stranicama i obično zaživi svega 36 sati prije nego ga se otkrije i ukloni. Phishing kit funkcionira kao normalna web stranica s glavnom stranicom te poljem za login, s dodatkom skripte za krađu podataka. Nakon dohvaćanje različitih e-mail adresa, šalju se linkovi koji usmjeravaju na nove, lažne stranice.</font>

Forenzička analiza e-maila

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Najvažniji dio e-maila u pogledu njegove forenzičke analize jest zaglavlje koje sadrži znatnu količinu informacija. Analiza se provodi od dna prema vrhu jer se podaci u donjem dijelu zaglavlja odnose na pošiljatelja, a u gornjem na primatelja.</font>

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Neka osnovna polja zaglavlja:</font>

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Istraga incidenata i zločina vezanih uz elektroničku poštu uključuje različite tehnike poput: analize zaglavlja, istrage poslužitelja, istrage mrežnog uređaja, analize ugradbenih softvera, otisaka prstiju pošiljatelja, korištenje e-mail pratitelja, analize promjenjive memorije i analize privitaka.</font>

Kako prepoznati phishing e-mail?

1. Legitimne tvrke neće nikada tražiti osjetljive podatke putem e-maila

2. Legitimne tvrtke obično oslovljavaju korisnika imenom

primjer2_1.jpg

primjer2_2.jpg

3. Legitimne tvrtke koriste valjanu e-mail domenu

costco-logo.jpg

4. Legitimne tvrtke upoznate su s pravopisom i gramatikom

5. Legitimne tvrtke ne forsiraju svoju web stranicu

6. Legitimne tvrtke ne šalju netražene privitke

7. Legitimne tvrtke koriste legitimne URL-ove

Primjeri

1. zastrašivanje deaktivacijom

zastrasivanje_deaktivacijom.jpg

2. slične web-stranice

slicne_web_stranice.jpg

3. Nigerijska prevara

nigerijska_prevara.jpg

4. direktan odlazak u zatvor

direktan_odlazak_u_zatvor.jpg

E-mail kojim je hakiran John Podesta

U ožujku 2016. godine John Podesta, predsjednik kampanje Hillary Clinton, primio je od “Google-a” mail u kojem je pisalo da treba hitno promijeniti svoju lozinku jer se netko u Ukrajini pokušao ulogirati u njegov račun.

John je ovaj mail proslijedio IT osoblju kako bi provjerili je li mail stvaran, budući da je izgledao vrlo uvjerljivo: sadržavao je oslovljavanje imenom te navodnu IP adresu s koje se pristupilo njegovom računu, no pošiljateljeva adresa bila je googlemail, a u tijelu poruke nalazio se i sumnjivi link za promjenu adrese. Osoblje mu je uzvratilo porukom da je mail legitiman te da treba hitno promijeniti svoju lozinku ali slijedeći službeni link, no iz nekog razloga tko god da je bio odgovoran za situaciju kliknuo je na kratki link u originalnom e-mailu te su napadači (ruska hakerska skupina Fancy Bear) uspješno pristupili Podestinim podacima za Gmail što im je omogućilo da hakiraju njegov račun i 60 tisuća pohranjenih mailova koje je u listopadu iste godine svakodnevno objavljivao WikiLeaks, točno prije predsjedničkih izbora.

Kako spriječiti phishing?

Najbolji način obrane od phishing napada jest naučiti se prepoznati sumnjive e-mailove, a to je najlakše proučavanjem stvarnih primjera napada, npr. na stranici: https://lts.lehigh.edu/phishing/examples

Ako postanete žrtva phishing napada:

  1. izmijenite zaporke za Vaše aplikacije i mrežne račune s drugog telefona ili računala
  2. skenirajte svoje računalo za viruse i zlonamjerni sadržaj
  3. pošaljite prijavu krađe policiji i zadržite kopiju
  4. pošaljite prijavu incidenta Vašoj organizaciji ili banci, APWG-u (reportphishing@apwg.org) te Nacionalnom CERT-u (incident@cert.hr)

Zaključak

Sve u svemu, phishing je vrlo opasna aktivnost na koju svi moraju obratiti pozornost jer se bilo kome može dogoditi da nasjedne na napad, a to može završiti vrlo skupo po osobu ili organizaciju. Stoga, treba biti oprezan, otvoriti oči na sve pa čak i minimalno sumnjive poruke, inače se može dogoditi da postanete sljedeća žrtva prevaranata.

Sources

[1] CERT, Phishing

[2] Fruhlinger J., What is phishing? How this cyber attack works and how to prevent it, CSO, 2019

[3] Ellis D., 7 Ways To Recognize A Phishing Email: Email Phishing Examples, Security Metrics

[4] Ragan S., What are phishing kits? Web components of phishing attacks explained, CSO, 2018

[5] Grimes R., 15 real-world phishing examples — and how to recognize them, CSO, 2017

[6] De Alwis C., Email Forensics: Investigation Techniques, Forensic Focus, 2019

[7] Krawchenko K., The phishing email that hacked the account of John Podesta, CBS News, 2016