Službena elektronska pošta

Službena elektronska pošta je nepogrešljivo orodje za normalno poslovanje. Napadalci se tega zavedajo in zato spretno uporabljajo omenjeno orodje za širjenje zlonamerne kode, izvedbo različnih goljufij ali kraje podatkov za dostop do določenih spletnih storitev. Že omenjene tehnične zaščite niso vedno dovolj, da je organizacijsko okolje varno - marsikatera nevarna pošta še vodno pristane v našem elektronskem predalu. Tu je izjemno pomembna vloga uporabnika, ki s to elektronsko pošto upravlja. V kolikor smo uporabniki dovolj osveščeni, da določeno grožnjo prepoznamo, lahko incident preprečimo.

Kako prepoznati nevarna elektronska sporočila

V lažnih elektronskih naslovih je več elelmnetov, ki napadalce izdajajo, je pa tudi nekaj elementov, ki poskušajo naslovnika oziroma žrtev preslepiti, da ta verjame, da gre za legitimno sporočilo.

Napadalci poskušajo žrtve preslepiti tako, da:

• Ponaredijo elektronski naslov pošiljatelja (ang. »email spoofing«); Včasih izgleda, da smo si sami poslali elektronsko sporočilo ali da nam ga je poslal poslovni partner, sodelavec, tudi fotokopirni stroj iz sosednje sobe, itd. Napadalci pogosto ponarejajo elektronske naslove s čimer želijo naslovnike prepričati, da gre za legitimno elektronsko sporočilo.
• Vzbudijo občutek pomembnosti; S pomočjo socialnega inženiringa napadalci pogosto želijo vzbuditi občutek nujnosti ozrioma pomembnosti poslanega sporočila (dober primer so računi nemškega Telekoma ali lažne kazni za prehitro vožnjo, varnostni incidenti na določeni spletni storitvi, ki zahteva spremembo gesla, itd.), kar poveča verjetnost, da bo naslovnik napačno reagiral in se ujel v nastavljeno past.
• V imenu banke pošiljajo sporočila in povezavo za prijavo v spletno Banko; Pri bankah velja, da vam nikoli ne bodo poslale sporočila kjer vas bodo nagovarjala da kliknete na določeno povezavo in se na cilju kamor vas ta povezava odpelje tudi prijavite v vašo spletno banko. Banke pošiljajo le povezave do komercialnih vsebin, v primeru, da želijo vaše ukrepanje znotraj spletne aplikacije, pa vam bodo pustili prosto pot oziroma vam naročili, da se sami prijavite v spletno banko kakor najbolje znate, brez sugeriranja kako to narediti.
• Pripete datoteke v poročilu poimenujejo z vabljivimi imeni; včasih lahko pripeta datoteka vsebuje vaše ime ali priimek, ime podjetja kjer delate ali ime vašega poslovnega partnerja. Tiste bolj splošne so navadno poimenovane z imeni kot npr. naročilo, račun, obvestilo, itd. Največkrat v angleškem jeziku (npr. invoice, bill, purchase, message, itd.).
• Povezave v sporočilo poimenujejo z imeni uglednih storitev; Povezave imajo lahko včasih zavajajoča imena, ki naslovnika zavedejo, da nanje klikne. Pomembno je vedeti, da tekst, ki ga vidimo v sporočilu ni nujno tudi istoimenska povezava strežnika, kamor nas bo po kliku nanjo tudi odpeljalo.

Lažno elektronsko sporočilo lahko prepoznamo po naslednjih elementih:

• Slovnične napake v besedilu so zelo pogoste, saj večina napadalcev za potrebe prevoda uporablja storitev »Google Translate« ali podobna orodja, ki pa v slovenščino ne prevajajo najbolje.
• Elektronski naslov pošiljatelja je pogosto zavajajoč in vsebuje elementa prave domene legimnega ponudnika storitev (npr. ryanair.com je prava domena letalskega ponudnika, napadalec pa z namenom preslepitve uporabnika registrira domeno ryanairmail.com in s tem daje občutek, da gre res za letalskega ponudnika, čeprav sama domena ryanairmail.com ni v lastništvu letalskega ponudnika).
• Napadalec želi vzbuditi občutek nujnosti, da uporabnik klikne na določeno povezavo ali odpre priponko. Včasih postavijo tudi časovne omejitve, kjer navedejo določene sankcije, če naslovnik sporočila tega ne bo storil (npr. plačilo določene izmišljene kazni, če ne sledi še višja kazen in ostale posledice).
• Pomanjkanje logotipov oziroma stilsko pomanjkljivo sporočilo je dober znak, da vam sporočila ne pošilja legitimen ponudnik storitve.Namigovanje, da kliknite na določeno povezavo, se prijavite v storitev in vnesete npr. novo geslo ali posodobite vaše osebne podatke je varnostno sporno in ga nebi smeli nikoli upoštevati (spomnimo se primera elektronskega bančništva, tudi na sliki spodaj). Besedilo, ki ga vidimo v elektronskem sporočilu, namreč ni nujno povezava, kamor nas ob kliku nanjo tudi popelje. Namreč, besedilo, ki ga vidimo v elektronskem sporočilu, je to, kar pošiljatelj želi, da vidimo. Pri povezavi lahko namreč piše tudi »klikni tukaj« in nas prav tako odpelje na neko lokacijo na spletu. Končni cilj povezave lahko preverimo tako, da se s kazalnikom od miške postavimo na povezavo (vendar nanjo ne kliknemo!) in počakamo, da se pod miško (ali v spodnjem desnem ali levem kotu okna poštnega odjemalca, odvisno od programa, ki ga uporabljamo) prikaže oblaček oziroma zapis destinacije, kamor nas odpelje ob kliku na povezavo⁴ (glej primer na sliki spodaj, vir: SI-CERT – primer lažnega sporočila za banko).
• Priponke so v formatih, za katere je znano, da so lahko varnostno sporni (nekateri najpogostejši: .docm, .xlsm, .pdf, .zip, .exe). Dandanes velikokrat vsebujejo zlonamerno kodo imenovano »izsiljevalski virus«, žargonsko tudi »kriptovirus«, ki izhaja iz angleške besede »ransomeware«, ki lahko povzroči nemalo težav.

Primer št. 4:

Kaj se je zgodilo: V zadnjem času je več slovenskih podjetij dobilo elektronsko sporočilo z navideznim povpraševanjem o določenem produktu (vir: SI-CERT). Na prvi pogled se zdi, da je sporočilo prišlo od legitimnega pošiljatelja. Podrobnejši pregled pokaže, da je besedilo napisano v slabi slovenščini, kar je najverjetneje posledica Googlovega prevajalnika, ki zelo pogosto napačno sklanja slovenske besede. Opaziti je tudi priponko formata ».rar« z imenom »povpraševanje po izdelku.rar«, ki onemogoča pregled vsebine s protivirusnim programom. V priponki se skriva zlonamerna programska koda, ki deluje kot zajemalec tipkanja.

Posledice: Če uporabnik odpre priponko, se na računalnik naloži programska koda, ki beleži pritiske tipk na tipkovnici. Tovrstna zlonamerna koda pomeni hudo varnostno grožnjo, saj lahko napadalec pride do podatkov za dostop (uporabniška imena in gesla) do različnih delov sistema v organizaciji. Če se vam je tovrstni dogodek pripetil, računalnik nemudoma izklopite iz omrežja in pokličite vašo IT-službo ali SI-CERT.

Primer št. 5:

Kaj se je zgodilo: V slovenski organizaciji, ki je tudi proračunski porabnik, se je zgodil incident z lažnim elektronskim sporočilom, ki je napeljeval na izvedbo plačila v tujino. Računovodstvo organizacije je dobilo elektronsko sporočilo, ki je bilo videti, kot da ga je poslal njihov direktor, saj so napadalci ponaredili njegov elektronski naslov. V elektronskem sporočilu sta bila zapisana transakcijski račun in znesek, ki naj ga nakažejo nanj.

Posledice: Računovodstvo zavoda je opazilo tipkarske napake v besedilu sporočila in neobičajno obliko stavkov, ki navadno ne pridejo od direktorja. Pred izvedbo plačila so pri direktorju preverili, ali naj res izvedejo plačilo. Ugotovili so, da gre za poskus prevare, in plačilo zaustavili.

Primer št. 6:

Kaj se je zgodilo: Napadalci so v organizacijo poslali elektronsko sporočilo, ki je bilo varnostno obarvano. Zaposlenim v organizaciji je namreč sporočalo, da se je pojavila varnostna grožnja in da naj nemudoma spremenijo gesla za dostop do službene elektronske pošte, drugače bo njihov račun ogrožen. V sporočilu je bila pripeta tudi povezava do spletne strani, kjer naj to naredijo. Na omenjeni povezavi se je skrivala lažna spletna stran, ki je vestno beležila gesla za dostop do računov, saj so zaposleni pred nastavitvijo novega gesla morali vpisati tudi staro geslo, kot je običajno za takšen postopek.

Posledice: Napadalci so prišli do večine gesel za dostop do službene elektronske pošte. Sreča v nesreči je bila ta, da so zaposleni o tem obvestili svojo zunanjo IT-službo – povedali so, da so ravnali skladno z navodili in da so še naprej varni. IT-služba je prepoznala prevaro, saj če bi jim že kdo poslal takšno sporočilo, bi bili to oni. Zaposleni so čez nekaj minut zares spremenili gesla na svojih računih in zavarovali zaupno vsebino v službenih elektronskih predalih.

Kako prepoznati lažno spletno stran

V prejetih elektronskih sporočilih velikokrat dobimo povezavo do kakšne spletne strani, za katero nismo ravno sigurni kaj je oziroma kje se nahaja. Napadalci pogosto poskušajo s pomočjo lažnih spletnih strani ali legitimnih spletnih strani, v katere vdrejo in podtaknejo zlonamerno kodo, izvesti napad na daljavo. Najpogostejše lažne spletne strani so tiste, ki ponujajo določeno plačilno storitev, elektronsko bančništvo, dostop do elektronske pošte ali katere od spletnih aplikacij, kjer se nahaja veliko osebnih podatkov ali tudi morebitnih poslovnih skrivnosti.

Pomembno za uporabnike je, da so sposobni prepoznati tovrstne strani, saj lahko tako preprečijo morebiten napad.

Pri spletnih straneh, ki vsebujejo prijavni obrazec ali obrazec, ki zahteva posredovanje katerih od osebnih podatkov najprej preverimo če stran teče na varnem protokolu (https). Varen protokol je v sodobnejših brskalnikih označen s ključavnico pred domeno spletne strani (primer na sliki spodaj).

Oznaka https pomeni, da je komunikacija med uporabnikom (vami) in spletno stranjo šifrirana in da ji tretje osebe ne morejo prisluškovati. Spletne strani, ki imajo šifrirano povezavo dokazujejo tudi svojo avtentičnost, saj je ponarejanje skoraj nemogoče.

Kljub vsemu pa je vedno potrebno tudi preveriti domeno (pravilen zapis imena) na kateri spletna stran stoji, da se prepričamo za katero domeno je varnostni certifikat (primer www.google.si ali www.g00gle.si).

Šele ko smo prepričani, da smo na pravi spletni strani lahko v prijavni obrazec vpišemo uporabniško ime in geslo. Poleg tehničnih lastnosti lažne spletne strani, le-te lahko trpijo tudi za stilsko podhranjenostjo, saj navadno napadalci tovrstne strani naredijo zelo hitro in se ne posvečajo pozornostim, zato je na njen lahko precej tovrstnih napak. Povezave na takšni spletni strani navadno vodijo na tretje sumljive strežnike (spomnimo se kako preveriti legitimnost povezave iz primera pri elektronski pošti – trik enako deluje tudi pri brskanju na spletu).

V kolikor je spletna stran lažna oziroma je s certifikatom na njej nekaj narobe (tudi pri legitimnih straneh) bo brskalnik to javil in vam dal na voljo možnost, da nadaljujete naprej na stran na lastno pest. V kolikor se srečate s tovrstnim opozorilom in ne veste za kaj bi se lahko pojavil priporočamo, da ne nadaljujete na stran ampak zaprete okno brskalnika.