Миналата седмица много българи получиха на електронната си поща писмо с призовка от КАТ. Това е поредната фишинг атака в онлайн пространството.
Какво е фишингът? Ловят ли се българските потребители на въдицата на киберпрестъпниците и защитени ли са достатъчно българските бизнес и институции от злонамерени посегателства?
Фишинг атаките доскоро бяха известни като имейли, които получаваме за нигерийски генерали и принцеси или неочаквани печалби. Електронната поща съдържа прикачен файл, чието отваряне активира зловреден софтуер, чрез който хакерът може напълно да превземе компютъра ви.
Фишингът се промяна с все по-прецизни съобщения, написани на правилен български и с голяма правдоподобност. Те стават се насочват към хора с власт, пари и влияние.
Това е така наречената „схема на компроментираната бизнес кореспонденция“, се посочва в доклада на Европол за киберзаплахите. Обикновено жертвата получава имейл или обаждане с прецизно съобщение, в което се демонстрира знание за организацията, иска спешно плащане, изтъкват се някакви конфиденциални причини и след инструкции от трето лице, служителят нарежда парите към чужда банка – обикновено извън границите на Европа.
Станислав Атанасов – специалист по киберсигурност, обяснява, че това е една вечна война за начина да защитим комуникацията си и за начина тя да бъде разбита.
„Това е нещо, което винаги ще се случва, докато има какво да бъде получено с незаконни средства – ще съществуват хора, които ще създават незаконните средства“, обяснява Станислав Атанасов.
“Над 90% от случаите, когато потребител е станал жертва, това е вследствие от негово неразумно поведение в интернет”, посочва Явор Колев – началник отдел „Киберпрестъпност” в ГДПОБ, както и национален координатор по киберсигурност.
Според Ясен Танев - експерт по киберсигурност, добрата стара практика за ловене на шарани, или "фишинг", започва да използва модерните средства.
„Използват се облачни сървъри за атака, използват се лесните начини за регистриране на имена за атака, които са домейн неймовете, използват се безплатни сертификати, за да могат фалшивите сайтове да изглеждат максимално истински”, обяснява Ясен Танев.
Според Ваня Палейкова – специалист по киберсигурност и защита на личните данни, фишингатаките са най-успешното порявление на дигиталната престъпност, защото използват най-слабото звено в дигиталната инфраструктура и това е човекът.
- Фишингът е причина за 90% от пробивите в бази данни
- Опитите за атаки чрез фишинг са се увеличили с 65% през последната година
- Всеки месец се създават около 1.5 млн фишинг сайтове (Webroot)
- 13 милиарда долара са щетите за миналата година от компрометирани бизнес имейли (FBI)
- 76% от бизнеса е бил изложен на фишинг атаки през последната година (Retruster)
В последната седмица поредна спам атака с фишинг от името на КАТ заля страната. Такава активност се забелязва от 4 години, но за първи път мнимият подател е МВР.
„В случая призовка от КАТ да се отвори файлът, да се зарази компютъра с троянски кон и той да стане подвластен на организираната престъпност. Всички пароли до социални мрежи, банкиране и други приложения стават известни на организираната престъпност и впоследствие тази информация се използва по най-различен начин за извършване на други престъпления”, обяснява Явор Колев.
В миналото при фишинг атаките се използваха фалшиви писма от НАП, а през последната година популярно е изнудването през имейл за 1400 долара, с мотив, че сте заснет какво правите докато сте гледали филми за възрастни.
„Какво е новото- наскоро се използва и телефонно обаждане от скрит номер на език в държавата, в която се извършва изнудването, че времето ви изтича и трябва да предадете пари по номер на БТК портфейл. Така че се усъвършенстват престъпниците в тази схема“, посочва още Явор Колев.
Експертът по киберсигурност и защита на данните Ваня Палейкова съветва никога да не бързате да реагирате на имейли, които ви карат да чувствате страх или срам и да превеждате пари веднага.
„Важно е да се знае, че институциите не пращат имейли. Когато получите имейл от институция, от която не очаквате, това е твърде съмнително и нещо важно. Адвокатите и ЧСИ никога не изпращат покани по имейла за плащания или други правни дейстивия, защото имейлът все още не е официален адрес. Това не е официална кореспонденция и тези професионалисти и професии имат интерес да имат доказателство, че са изпратили покана и затова го правят на хартия. КАТ, съдът и полицията – по същия начин”, казва Ваня Палейкова.
По думите й киберпрестъпниците използват човешките уязвимости и седемте дигитални смъртни гряха по Библията – алчността, суетата и срама. Когато сте жертва е най- вече срамно да си признаете, че сте постъпили глупаво и сте се поддали на някои нисък според вас инстинкт.
Според Станислав Атанасов – експерт по киберсигурност, когато човек се хване на кукичката, може да се случи всичко.
„Спокойно могат да наредят пари от нас и да заобиколят двуфакторната идентификация. Тя е слаба, защото бяха отишли с фалшиво пълномощно и бяха взели копие на симкартата и оттам получават смс от банката“, обяснява той.
Причината жертвите на фишинг атаки да не споделят, е да изглеждат глупаво. Според IT консултанта Тони Герасимов голяма роля има ниската дигитална грамотност и склонността да се ползват безплатни имейли, които не гарантират вашата сигурност.
„Рисковете за безплатните имейли са много, от най-различно естество. Първо, информацията се събира на сървъри, до които вие нямате достъп, вие не знаете какво правят с вашата информация”, отбелязва Тони Герасимов.
Според него информацията стои на някакъв хостинг, на някакви машини, които всеки от администраторите (защото все пак има някой администратор, който администрира) може да отиде и да ви сортира с вашия имейл, да извади данните за вас или вашия бизнес, или комуникация с партньори и прочие.
Основен риск също е, че антиспам защитата не е на добро ниво точно на тези услуги. В България масово се използва от общински, държавни учреждения и училища, въпреки че държавата е осигурила домейни за съответната институция и имейли в този домейн, които би следвало да са създадени и да отговаря на някакви критерии за сигурност.
У нас е възприето да се ползва винаги евтиното – дали ще са безплатни цифрови сертификати, дали ще е електронна поща, винаги гледаме да минем тънко, което в крайна сметка изиграва лоша шега за всички нас от гледна точка на всякаква сигурност, смята Тони Герасимов.
За да демонстрира възможностите за пробив, Станислав Атанасов ни показва в експеримент как може да създаде фалшив имейл на министъра на образованието с истинския домейн на институцията, със заповед. Важното в случая е прикачения файл с документа, който може да е зловреден.
„Най-елементарният начин, по който това може да бъде направено: имам собствен домейн, който съм си подписал и съм си вдигнал пощата, мога да си създам профил и да се представя пред други пощенски сървъри....
Идеята е, че мога да се представя за абсолютно всеки, да се представя за Вълчев от МОН. В интерфейса си имам идентитис – личности, за които се представям. Оттук си създавам нова идентификация, пиша на г-н Вълчев и съм взел имейла от сайта на МОН, за да заобиколя защитите за спам, слагам собствения си имейл за отговор“, обяснява експертът по киберсигурност Станислав Атанасов.
Според него в повечето случаи хората ще го отворят. Всеки файл с елемент на интереактивност - ПДФ или докс, може да съдържа зловреден код, който не е задължително да бъде прихванат от антивирусната ни програма. По този начин можем да заразим всеки, смята Атанасов.
bTV съвестно предупреди Министерството на образованието и науката за проблема в сървърите като увери, че не са изпращани писма от фалшивия имейл адрес на министъра. От Министерството на образованието увериха, че непрекъснато подобряват информационната си сигурност.
От МОН отговориха, че управляват една от най-големите и сложни IT инфраструктури в страната, в която има различни по вид, възраст, обсег на достъп и ниво на сигурност, информационни системи.
Някои от действията на МОН по повод подобряването на сигурността, които са вече внедрени или се изпълняват, за да удовлетворят препоръките на стандарта ISO/IEC 27001:2013 и в съответствие с изискванията на Наредба за минималните изисквания за мрежова и информационна сигурност са :
- Извършва се постоянно (в режим 24/7) наблюдение на всички хардуерни и комуникационни устройства и целият трафик на данни, за да се гарантира защитата и сигурността на информационните активи на министерството.
- Предприети са действия за обновяване на използваните от министерството защитни стени с такива от последно поколение, които позволяват адекватна защита срещу съвременните заплахи.
- Извършен е одит на информационните системи, като са предприети действия към спиране на най-уязвимите от тях.
- Извършват се регулярни тестове за уязвимости на публичните ИТ услуги на министерството чрез използването на специализиран софтуер. Тестове за уязвимости се извършват и преди пускането в експлоатация на всяка нова информационна система.
- Изградена е централизирана система за антивирусна защита за работните станции и сървърната инфраструктура.
- Изградена е система за контрол на достъпа и видеонаблюдение във всички критични за ИТ инфраструктурата зони.
В резултат на анализ на безжичната свързаност на министерството, са предприети действия за нейното реорганизиране и оптимизиране с цел предотвратяване на възможни инциденти.
Относно констатирания от Вас проблем, свързан с изпращането на електронни съобщения между вътрешни адресати на министерството, след постъпване на сигнала, веднага е направена проверка от техническия екип, отговорен за поддръжката на услугата, като е установен конфигурационен проблем на сървъра, поддържащ услугата. Проблемът е отстранен веднага след постъпилия сигнал. Също така в плановете за развитие на IT услугите на министерството са залегнали мерки за цялостно обновяване на пощенската услуга, което ще доведе до допълнително повишаване на нивото на сигурност на услугата.
Средно по 500 долара годишно отделя малкия бизнес за мерки, които да подобрят киберзащитата. В САЩ 60% от потребителите имат познат, станал жертва на хакерска атака. 30% от съобщенията, съдържащи фишинг са отворени от целевите потребители.
Кои са хората у нас, готови да повярват на социалното инженерство във фишинг мейлите?
Според Ваня Палейкова – експерт по сигурност на личните данни, ако направим един анализ на изпращаните фишинг имейли в България, се очертава образът на най- масовата жертва.
„Това е мъж между 30 и 50 години, със собствен бизнес или добре платена работа семеен, леко безотговорен, шофьор. Обича да гледа филми за възрастни и има кредит или лизинг. Според хакерите това е най-лесната жертва в България“, посочва тя.
През миналата година по данни на ГДБОП 120 български компании са станали жертви на този тип престъпна дейност. За спирането на тази международна организирана престъпност ГДБОП работи с партньори от Европол и Интерпол. Понякога в схемата има български мулета – титуляри на банкови сметки за изпиране на парите от киберизмами.
„Тези мулета се набират чрез сайтове за работа, като се предлага да станат посредници или в някакъв тип търговска дейност, на сайтове на компании от различни държави по света. Те се съгласяват срещу определен малък процент да участват в тази дейност, като в някои случаи не са наясно, че участват в престъпна дейност", посочва схемата Явор Колев, началник „Киберпрестъпност” в ГДБОП.
По думите му други мулета се избират с нисък социален статус и криминални прояви, които не се притесняват от възбуждане на наказателно производство спрямо тях.
„Целта има е да придобият някакъв финансов ресурс, макар и малък... Те са брънка от веригата и обикновено ги привеждат на организатора или чрез банкови сметки, в които има интернет банкиране, ги превеждат в други държави, отново на сметка на мулета. Така парите отиват в банкови сметки в Китай, Хонконг и целта е да преминат през няколко банкови сметки да се затрудни разследването”, казва още Явор Колев.
Колкото по-рано бъде сигнализирано за наредената сума, толкова по- голям е шансът парите да се върнат на жертвата.
„Имахме случай с преведени пари от банкова сметка в Испания, и във взаимодействие с нашите банкови институции успяхме да блокираме превода. Чрез получаване на суифт от банката в Испания, направихме така, че парите да бъдат върнати до няколко дни. Преди две години възстановихме 3 милиона евро от корейска компания, източени съвместно с банковите институции в България и извън територията на страната. Имахме случай с 9 милиона, които успяхме да възстановим на швейцарска банка. Успяваме да ги възстановим, ако научим за неправомерната транзакция веднага, след като бъде осъществена”, казва още Явор Колев.
В доклада на Европол за кибер заплахите се посочва, че в операция за 3 месеца в сътрудничество с 300 банки в 30 държави са идентифицирани 1500 мулета за пране на пари и 140 организатори. Операцията е приключила със 168 ареста. Идентифицирани са 26 300 транзакции между мулетата и са предотврани загуби за 36 милиона евро.
Според Ясен Танев обаче, ако приемем, че това е просто форма на автоматизация, трябва да вземем предвид и намесата на изкуствения интелект и machine learning.
По думите му те издигат изкуството на фишинг престъплението в социално инженерство на следващо ниво, като роботите или компютрите анализират и учат за слабостите на хората сами и след това може би създават и автоматичен код.
Тенденцията е във фишинга за социалното инженерство е да се използва технологиите, свързани с произвеждането на така наречения DEEP FAKE или компютърно генерирани образи и гласови данни, които могат освен за фалшиви новини и дезинформация да се използват за киберизмами.
„Така че технологиите от киното, телевизията и шоу индустрията вече са достъпни за кибер престъпниците. Може да получите обаждане, от което познат за вас глас да ви накара да направите действие или това ще е видео чат и от другата страна да седи човек, който познавате, но това да не е човек, а компютърно генериран образ“, предупреждава Ясен Танев.
Според него това е една по-модерна версия на добре познатата схема за изхвърляне на хиляди левове през балконите на базата на телефонно обаждане. Сега просто можете да го проведете по електронен път на базата на телефонно обаждане или скайп чат, смята експертът.
Според Ясен Танев трябва да имаме маркери, които гарантират цифровата идентичност и това са електронните подписи или електронно подписаните съобщения и сертификатите, за които се изисква физическо потвърждение на идентичността на субекта.
Първо и задължително трябва да имаме верификация на субекта от другата страна. И най-добре е физическият контакт, който означава наистина да потвърдите физически един с друг, че трябва да извършите това действие, към което сте подтикнати, посочва Танев.
Според него другото, което е много важно да се знае, е че трябва да има повече от един фактор на идентификация. Двуфакторната идентификация е задължителна, а вече има и трифакторна идентификация.
Най-важна в случая е превенцията
„Важно е да има регламент на държавно ниво, който да бъде спазван и държавната администрация да бъде накарана насила тя да го спазва. Затова имаме минималните изисквания за мрежова и информационна сигурност“, отбелязва Ясен Танев.
След пробива в базата данни на НАП, след който информацията за данъкоплатците в държавата вече не е тайна, таргетирането на жертви за киберизмами ще става все по-лесно, смятат експертите.
Превенцията е свързана с обучението в киберхигиена на потребителите, категорични са от МВР.
Какво трябва да знае един потребител?
„Да не посещава сайтове, които може да бъде сваляна музика, филми и софтуер, защото това е един от начините, по които се заразяват компютрите. Да не се отварят писма от неясен източник с прикачен файл, защото основно така се заразява компютърната система. Трябва да се използват сложни пароли, които периодически да променяме и те да бъдат различни за всяко едно приложение”, съветва Явор Колев.
Изводът е, че измамниците в интернет ще стават все по-изобретателни и грижата за опазване на личната ни информация във виртуалния свят трябва да съответства на грижите, които полагаме за другите аспекти от живота си във физическия свят.