Phishing, phescuit, phăcălit

Phishing vine de la fishing (pescuit), evident, dar de ce cu ph? Pentru că este o referire la hackingul originar de telefoane, din anii ’60, când niște băieți ingenioși au început să manipuleze tonurile telefonice pentru a reruta (și a nu plăti) apeluri de lungă distanță. Ei făceau “phone freaking”, adică zăpăceau telefoanele, apoi acțiunea a început să fie scrisă intenționat greșit, la șmechereală, și descrisă drept “phreaking”, adică phone freaking.

Phishing descrie destul de bine filosofia generală a acestui gen de atacuri informatice. Practic, răufăcătorii cibernetici pescuiesc – sau, mă rog, phescuiesc – în oceanul Internetului folosind momeli care, exact ca-n viața pescarului amator sau profesionist, încearcă să imite cât mai bine realitatea.

Pe baltă se dă “la linguriță”, ceea ce imită un peștișor cam bleg, pe râuri se dă “la muscă”, cu un smoc de puf și fire care seamnă cu o insectă căzută-n apă și, evident, oriunde-i apă cu pești poți încerca să agăți ceva cu o momeală artificială din silicon care e copia unu la unu a corespondentului din viața reală: râme, viermișori, boabe de porumb etc (a nu se înțelege că acestea sunt singurele metode, lista e enorm mai lungă).

Pe net, hackerii folosesc emailuri care mimează proveniența din surse legitime (bănci, site-uri de comerț on-line, servicii cu abonament plătit etc), sau construiesc site-uri fantomă care le imită pe cele reale, sau pretind că sunt o persoană legitimă din cercul profesional al victimei. Așa cum pescarul urmărește să determine peștele să muște momeala, așa și un atac phishing urmărește întotdeauna să determine o acțiune din partea victimei: un click pe un link anume, cu executarea unor programe malware pe computerul respectiv, introducerea unor credențiale într-o pagină falsă, oferirea de date bancare etc.

Asemănările continuă. Așa cum există diferite tipuri de pescuit (la plută/lansetă/țaparină etc), și phishingul are diverse versiuni. Spear phishing, de exemplu, țintește obiective sau persoane anume (spear = suliță), acestea fiind vizate în mod special de acțiuni cibernetice ostile. Whaling este atunci când atacul urmărește ținte de mare valoare sau semnificație (whale = balenă).

Domeniul evoluează mereu. Am scris acum câteva luni despre un atac deepfake voice care a determinat un CEO britanic să vireze aproape un sfert de milion de dolari într-un cont fals. A fost un atac complex, un spearphishing+whaling camuflat într-un soi de cântec de sirenă (vocea falsificată a șefului), un atac care e, realmente, foarte greu de identificat în condiții normale.

Pentru că pe asta se bazează întreaga filosofie a phishingului: pe neatenția utilizatorului, pentru care e doar o altă zi obișnuită la job atunci când vine acel mail cu un avertisment oarecare, ce include un link albăstrui ca toate celelalte pe care dăm mereu click, sau care conține un atașament din acelea din care tot primim și deschidem în mod aproape reflex… doar că de data asta linkul, atașamentul, site-ul sunt momeli care maschează cârligul. Ai mușcat, te-au agățat, mai scapă acum, dacă poți.

Phishingul pare a fi o afacere incredibil de păgubitoare. În octombrie anul trecut, FBI a anunțat că între 2016-2019 pierderile raportate oficial ca urmare a peste 160.000 de atacuri phishing se ridică la uluitoarea sumă de 26 de miliarde (!!) de dolari la nivel global.

Iar situația s-a agravat odată cu declanșarea pandemiei, când sute de milioane de oameni au început să lucreze mai mult de acasă și să-și facă mai multe cumpărături on-line. “Lucratul de acasă îi face pe oameni să petreacă mai mult timp online, citind știri, făcând cumpărături sau parcurgând mailuri. Fie că folosesc laptopul companiei sau un dispozitiv personal, mai mult timp petrecut online înseamnă o expunere mai mare la fraude, atacuri de tip phishing și malware. Toate acestea încearcă să exploateze curiozitatea și nevoile noastre de bază, cum ar fi nevoia de a cumpăra produse medicale, de igienă personală sau alte tipuri de produse”, scrie echipa Bitdefender pe blogul companiei.

Precum omologii lor din lumea concretă, și infractorii cibernetici sunt foarte adaptabili și conectați la actualitate. Astfel, de la declanșarea pandemiei, unele atacuri phishing s-au camuflat în oferte de informații medicale importante din partea OMS, în solicitări de donații pentru cauze sociale sau pentru sprijinirea cercetărilor pentru un nou vaccin. În mod particular, în timpul stării de urgență românii au fost ținta a cel puțin 6 tentative diferite de recoltare a datelor personale prin falsificarea unor site-uri care pretindeau că oferă completarea declarației pe proprie răspundere – Bitdefender le-a marcat pe toate ca phishing.

Nu mai departe de marțea aceasta, CERT-RO (adică instituția oficială din România care monitorizează 1i răspunde amenințărilor informatice, aflată în subordinea prim-ministrului) a avertizat asupra unui atac phishing care țintea utilizatorii Facebook și se propaga chiar pe Facebook, imitând o pagină legitimă prin care se cereau datele de logare ale victimelor.

Iar cu o săptămână în urmă, Bitdefender a transmis o alertă referitoare la o campanie phishing care viza internetul românesc, în care erau folosite mailuri înșelătoare trimise în numele unor organizații precum Poșta Română, Banca Transilvania, DHL, Balcan Express Curier sau GLS.

Cum te aperi? Ca-n orice risc de infecție virală: cu prudență, că-i mai ușor să previi decât să tratezi, și cu medicamente specifice, adică folosind programe specializate de securitate cibernetică.

1. Prevenția presupune atenție și controlarea reflexului de a da click pe orice link sau atașament primești, mai ales când cel care-ți trimite mesajul îți cere în mod expres să faci asta. Dacă mai adaugă și avertismente că-ți vei pierde accesul la nu știu ce serviciu în cazul în care nu acționezi imediat, e și mai probabil să fie o momeală.

Iată câteva elemente care trădează un mail de phishing (trimis, aparent, de Facebook). Sunt semnalate cu roșu câteva detalii pe care-i musai să le verificăm, de fapt, întotdeauna, pentru orice mail primim:

a. Adresa de mail a expeditorului este dubioasă și nu pare să aibă vreo legătură cu Facebook;
b. Linkul pe care se cere să dăm click se verifică prin “hovering” – adică folosim cursorul mouse-ului pentru a trece pe deasupra textului, fără click, ca să vedem unde trimite linkul real. Linkul acesta, “go to Facebook”, clar nu duce într-un domeniu Facebook;
c. Facebook știe foarte bine cine sunt, deci e straniu că-mi trimite un mail fără să mi se adreseze cu numele cu care sunt înregistrat pe platformă.

Iată alt exemplu, prin care atacatorul solicită datele de PayPal pretextând, nu-i a1a, că e o problemă ce trebuie rezolvată imediat (și e și ușor, cum altfel, trebuie doar să dăm click pe un link):

a. Adresa expeditorului n-are legătură cu compania PayPal, chiar dacă pare destul de asemănătoare (companiile legitime/serioase au adrese simple și evidente, nu folosesc liniuțe, cifre etc);
b. PayPal ți se adresează întodeauna cu numele tău, nu trimite mailuri anonimilor, iar dacă ai cont PayPal știi asta deja;
c. Gramatica este deficitară (aproape întotdeauna, de altfel, tentativele de phishing par redactate de analfabeți, mă întreb cum se face că nu găsesc și ei pe cineva să le facă un cap limpede pe text înainte să-l trimită);
d. Evident, un hovering peste link cu mouse-ul arată că duce într-un domeniu dubios.

2. Oricât de atenți am fi, la un moment dat tot o să luăm ceva urât de pe net – e ca-n viață, oricât te-ai feri, tot mai faci câte o viroză din când în când.

Protecția cea mai bună e o suită de securitate cibernetică cu reputație și niveluri suprapuse de apărare. Eu folosesc de ani de zile Bitdefender Total Security și sunt realmente foarte mulțumit, am confortul psihologic că sunt apărat de un paznic mereu atent și super eficace în detectarea și anihilarea oricăror amenințări informatice. O soluție foarte bună pentru situația în care același computer e folosit de mai mulți membri ai familiei, care au comportamente diferite pe net (pe ce site-uri umblă copiii? Bitdefender Total Security 2020 are module de inteligență artificială care recunosc interacțiunile suspecte ale străinilor cu copiii care utilizează calculatorul respectiv).

Dacă ați ajuns până aici cu cititul, iată și recompensa: o perioadă de testare gratuită de trei ori mai lungă decât cea obișnuită pentru Bitdefender Total Security 2020, adică gratis 90 de zile în loc de numai 30.

Oferta poate fi accesată cu un click pe acest link – și acum știm că nu dăm click când ne cere autorul înainte să facem un hover scurt cu mouse-ul peste link, ca să vedem cum arată domeniul unde ne trimite. În acest caz, observăm că e vorba despre ceva care începe, legitim, cu https, adică o comunicație securizată, și continuă cu www.bitdefender.ro, deci e ok – și iată că ai mai învățat ceva util azi, ca să nu te lași phăcălit.

5 comentarii Adaugă comentariu

  1. Sint lucrător în domeniu, adică lucrez pe calculator de vreo 20 și ceva de ani și am un nivel de experiență și suspiciune care nu mă lasă să dau click înainte de a verifica, si mă feresc cu succes. Recent aproape am cazut într-o capcană, mă cheamă șeful și îmi arată un mail din ăsta, îmi părea ciudat dar nu găseam chichița cu care să îl conving pe șeful că nu pierde nicio oportunitate dacă șterge mailul ăla. Până când am observat mai atent că de fapt mailul respectiv (deschis cu outlook) avea un atașament care nu era atașament, era o imagine linkuită care arăta ca un atașament. Nici nu mai conta mesajul, din moment ce te pretezi la trucuri din astea… e clar că cel care a trimis mesajul voia doar să te facă să dai click.

    Thumb up 0
  2. Buna ziua Vlad,
    In material ai dat exemple de ‘pescuit’ cu unelte interzise (de ‘braconaj’, cu alte cuvinte).
    Sunt metode de phishing mult mai ‘fine’. Cred ca stim cu totii acele mail-uri in care ti se spune sa le trimiti la alte 3, 5, 7 sau 10 persoane… De regula au in spate o optiune ascunsa de trimitere inclusiv la initiatorul mesajului. Iar scopul este aflarea cat mai multor adrese valide de mail, de cele mai multe ori in scopuri comerciale dar… cum crezi ca au aflat trolii rusi adresa de mail a colaboratoarei lui Hillary Clinton acum 4 ani, in plina campanie electorala?

    Thumb up 0
  3. “Gramatica este deficitară (aproape întotdeauna, de altfel, tentativele de phishing par redactate de analfabeți, mă întreb cum se face că nu găsesc și ei pe cineva să le facă un cap limpede pe text înainte să-l trimită)”
    Chestia asta este facuta asa in mod special si are rol de filtru, mai ales acolo unde phishigul impune interactiunea ulterioara intre atacator si victima:
    De exemplu:
    “Datale dumnevoastra de pe cardul BCR au fost accesate. Va rugam sa sunati la umarul 07xxxxxx pentru remedierea situatiei. Echipa eMag.”
    Un email cu o afttel de formulare vadit ambugua si fara sens ar pune in defensiva pe majoritatea dintre noi. Cei care observa (si) o greseala de ortografie in text isi vor da seama mai apoi de faptul ca sunt pacaliti sa-si dea singuri toate informatiile atacatotului la telefon iar atacatorul pierde pur si simplu timp cu acestia in loc sa-i caute pe cei mai vulnerabili.

    Thumb up 1

Adaugă un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.
Acest blog folosește serviciul Gravatar pentru afișarea pozei de profil a comentatorilor. Pentru setarea unui avatar, accesați acest link.