Phishing-ul este o tactica folosita de hackeri pentru a convinge o victima sa dea click pe un link care duce catre un site aflat sub controlul hacker-ului unde victima isi introduce date sensibile sau personale (detalii despre cardul bancar, numele de utilizator, parola de acces, CNP, adresa, etc). Hackerii pot folosi aceste date in scop personal sau le pot vinde pe Dark Web pentru a face profit.
Emailul este principalul mijloc prin care atacatorii isi deruleaza campaniile de phishing si distribuie link-urile malitioase in mesaje precum: “Felicitari! Ai castigat marele premiu la tombola [insert retailer here]. Click aici pentru a-ti revendica premiul.” sau “Contul tau a fost blocat din cauza unei activitati suspecte. Apasa aici pentru a-ti reseta parola”. Cu toate ca atacatorii depun eforturi mari pentru a construi un email cat mai veridic, sunt cateva semne care le tradeaza intentia reala:
- exprimari dramatice pe teme ca cele de mai sus sau de genul “Ultima notificare”, “Doar astazi mai poti sa…” cu scopul de a crea urgenta si de a declansa un raspuns emotional bazat pe “lacomie” sau “frica”
- greseli gramaticale sau de scriere, desi uneori acestea sunt facute intentionat cu scopul de a trece de filtrele antispam
- adrese de email “ciudate” pentru sender care contin litere si numere aleatoare sau un domeniu fals de la care sunt trimise mesajele in numele unei organizatii mari.
- link-ul inclus in mesaj sau mai bine zis site-ul spre care duce. Destinatia reala poate fi diferita de denumirea URL-ului si pentru a o identifica se poate tine mouse-ul deasupra URL-ului. Atacatorii se bazeaza pe lipsa noastra de atentie pentru a nu observa lucruri ca “qoogle.com’ sau “facebo0k.com”. O mare atentie trebuie acordata si link-urilor prescurtate care ascund complet destinatia si la redirect-urile automate care duc de la un site mai putin dubios catre site-ul atacatorului.
In afara de email, link-urile de phishing mai pot fi distribuite prin mesajele de tip SMS/MMS, aplicatiile de mesagerie instanta (Twitter, WhatsApp, Messenger) si cele de socializare (Instagram, Facebook, LinkedIn, etc). Link-urile pot aparea in chat, in postarile prietenilor si pot veni chiar de la contacte necunoscute. Mesaje precum “Check out this video” sau “We value your opinion…” sunt des intalnite. Ca intotdeauna, este bine sa se verifice link-ul si, si mai bine, sa nu se dea click pe el daca nu este absoluta nevoie.
Indiferent de modul in care ajungem pe un website ar trebui sa verifcam unde suntem cu adevarat inainte de a introduce date sensibile. Ar trebui sa verificam numele din bara de adrese pentru a valida identitatea site-ului (sa nu aiba cifre in loc de litere sau liniute in locuri neasteptate gen “e-mag.ro” sau “pcg4rage.ro”). Ar trebui sa ne uitam si la certificatul digital al site-ului pentru a identifica proprietarul site-ului web si al domeniului. Daca facem cumparaturi online foarte des, inclusiv de la magazine mai putin cunoscute, este bine sa se foloseasca un card separat pe care se afla o suma mica de bani transferata chiar in momentul tranzactiei.
Pentru site-urile pe care le vizitam ar fi bine sa folosim parole unice, altfel riscam sa ne compromitem toate conturile daca unul dintre ele este spart de hackeri. “Password reuse” este o practica foarte intalnita pentru ca nu putem sa ne aducem aminte parola pentru fiecare site pe care ne-am facut un cont vreodata. In acest caz, se incurajeaza folosirea unui program de gestionare a parolelor. Un astfel de program poate crea parole unice si complexe pentru fiecare cont in parte, poate notifica utilizatorul daca o parola folosita a fost compromisa in urma unei brese de securitate sau daca este refolosita cu un alt cont si poate auto-completa credentialele de login.
Chiar daca atacatorul reueseste sa obtina credentialele de login, ei pot fi opriti prin setarea unui factor aditional de autentificare. Multe dintre serviciile populare pe care le folosim zilnic ofera posibilitatea activarii autentificarii prin MFA, iar unele dintre acestea chiar fac obligatorie aceasta autentificare suplimentare. Utilizatorii pot folosi aplicatii precum Google Authenticator, Microsoft Authenticator sau Cisco Duo pentru a primi o notificare Push sau un cod OTP, iar pentru cazurile in care este nevoie de extra securitate se pot folosi chei hardware ca YubiKey de la Yubico sau Titan Security de la Google.
Cel mai bun mod de a nu ne divulga informatiile secrete este sa nu “aterizam” pe un site fals care face phishing. Ar trebui sa verificam noi manual fiecare link in parte. Insa, cea mai buna protectie in acest caz este cea oferita de o solutie care filtreaza automat URL-urile malitiose, domeniile de pe care se trimit email-uri de phising si site-urile care hosteaza astfel de pagini web. Cisco ofera o solutie de protectie cloud-native numita Cisco Umbrella care este capabila de a identifica, bloca si raporta adresele IP, URL-urile si domeniile cunoscute ca surse de phishing folosind inteligenta cibernetica pusa la dispozitie de TALOS.
Prin urmarea sfaturilor de mai sus si prin folosirea uneltelor prezentate putem recunoaste si combate tentativele de phishing lansate de hackeri. Un pic de atentie nu strica niciodata si “think before you click” trebuie sa devina un obicei sanatos pe care sa il practica inainte de a apasa pe vreun URL primit in inbox, pe sms sau in chatul unei aplicatii.
Mihai Dumitrascu, Sr Systems Engineer
