Upozornenie: nie som právnik ale povedal by som, že vydávať sa za falošnú persónu na internete bude asi trestné. Tento článok je určený hlavne na zvýšenie povedomia o internetových podvodoch.
Niekde na Deloitte som čítal, že 91% všetkých kyber-útokov začne phishingovým e-mailom. Nedávno sme videli, ako si 18-ročný hacker urobil “dobrý deň” z Uberu a zhruba v tom istom období sa partia iránskych útočníkov zamerala na výskumíkov v oblasti jadrovej bezpečnosti.
Na “scéne” je horuco.
Dnes by som vám chcel ukázať, ako si hackeri v kapucniach a tmavých izbách dokážu dokážu vygenerovať fiktívne osoby, ktorú môžu neskôr využiť na podobné phishingové útoky.
Sociálne inžinierstvo je kontroverznou témou. Na internete sa však deje každý deň a nie je ťažké nájsť prípady útokov s katastrofálnymi následkami. Na to, aby ste s phishingom mohli začať, netreba veľa. Nástroje, ktoré ukážem nižšie sú viac ako dosť pre vylákanie cenných údajov od nič netušiacej obete.
Prekukli by ste ich? Po prečítaní tohto článku možno áno.
1. Falošná persóna
Pred tým, než vôbec urobíme čokoľvek, potrebujeme meno, tvár a nejaké iné údaje, keby sa náhodou niekto pýtal.
Predstavte si nástroj, s ktorým si viete tieto údaje vygenerovať jedným klikom – VISA karta, krvá skupinoa, mesto narodenia, meno matky slobodna a dokonca aj aktuálnu polohu.
Niežeby ste tieto údaje nutne potrebovali, ale keby náhodou, aspoň ich budete mať hneď po ruke.
Nástroj Fake Name Generator využili podvodníci ešte tento rok počas obdobia podávania daňových priznaní. Pred seniormi a mladými ľuďmi sa vydávali za právnikov ochotných v rámci reklamy poskytnúť poradenstvo zadarmo. Výsledkom boli spreneverené čísla sociálneho poistenia (social security numbers).
Podvody so syntetickou identitou stáli americké banky a finančné inštitúcie v roku 2020 straty 20 miliárd USD v porovnaní s iba 6 miliardami USD v roku 2016…
Report portálu FiVerity
Skombinujme FNG spolu s generátorom tvári z predošlého článku a povedal by som, že si ktokoľvek vie vytvoriť jeden uveriteľný phishingový LinkedIn profil. Hodiť tam náhodnú výšku a vtipné bio je už iba čerešnička na torte.
2. Phishingová emailová adresa
Ďalším nutným krokom ku kredibilite je uveriteľná e-mailová adresa. Ruskí hackeri napríklad radi využívali @outlook.com doménu. Využívali ju natoľko, že Outlook kvôli tomu zaviedol tzv. “spam” button spolu s veľmi prísnymi kontrolami odchádzajúcich e-mailov.
Na čo všetko sa dá taká phishingová adresa využiť?
Predstavme si napríklad, že niekto s nekalými úmyslami vie, že sa vám páčia moje články (ďakujem) a vydávaním sa za mňa vás donúti kliknúť na link. Vy v domnienke, že ide o môj newsletter, naň spokojne kliknete a necháte si ukradnúť napr. cookies.
Ruku na srdce, koľko krát kontrolujete domény v mailoch?
Nielen to, sledovaním mojich sociálnych sietí by mohol jednoducho zistiť e-maily mojich kolegov, s ktorými si podobné odkazy zdielame často – kódy, memka, evetny… Takýchto ľudí by donútil kliknúť na link odomňa oveľa ľahšie.
3. Scenár, plán
Poslednou, ale zďaleka nie zanedbateľnou vecou je dobrý scenár. Mám kopu zadaní do školy, na ktorých by som asi mal robiť takže nemôžeme prejsť všetko. Nástrojov a taktík je však kopa.
Veľmi známou stratégiou je vydávanie sa za zamestnanca napríklad firmy Amazon. Útočník zdanlivo empaticky zavolá obeti a oznámi, že na jej účet bola omylom vyplatná privysoká suma za reklamáciu a že by radi dostali svoje peniaze naspäť. Nič netušiaca obeť, často v pokročilom veku povolí útočníkovi vzdialený prístup na svoj počítač, aby to v rámci “technickej podpory” vyriešil.
Útočníci si pre tento podvod sťahujú zoznamy ľudí z Dark Webu o ktorých sa vie, že niesu technicky zdatní, alebo boli podobným spôsobom oklamaní v minulosti.
Ak chcete tieto podvody vidieť v priamom prenose, youtuber ScammerPayback vo svojich videách zábavným a edukatívnym spôsobom “loví” takéto podvodnícke skupiny vydávaním sa za bezbrannú starú pani.
Phishingové podvody na Bazoši
Stalo sa vám niekedy, že ste niečo hodili na Bazoš a v priebehu niekoľkých hodín sa vám cez Whatsapp ozval záujemca s pokazenou slovenčinou?
O inzerovaný predmet mal veľký záujem no je v tom malý háčik: Žije v inom meste a najviac by mu vyhovovala platba kartou.
Do tohto bodu sa všetko zdá byť fajn. V momente, keď vám takýto “záujemca” pošle link, v ktorom VY musíte vyplniť SVOJE údaje o karte (vrátane CVV) by ste mali rýchlo zbystrieť: ide o podvod!
V takom prípade je najlepšie nešetriť humorom a poslať osobu na druhej strane “kade ľahšie”.
Záver
Podvodov je kopa, sledovať všetko čo sa deje, obzvlášť keď vám pomedzi prsty bežia chvíle, ktoré by ste venovali záživnejším témam je častokrát nepraktícké.
Na to, aby sme sa na interete pohybovali čo najbezpečnejšie potrebujeme zopár pravidiel:
1. Prebehnite si očami link, na ktorý chcete kliknúť. VÚB banka zažíva v poslednej dobe zvýšený počet phishingových útokov, kedy sú zákazníci z Google presmerovaný na falošný login page s cieľom ukradnúť vám prihlasovacie údaje.
2. Uistite sa, že človek, s ktorým komunikujete je naozaj ten, za koho sa vydáva.
3. Nikdy nevypĺňajte svoje prihlasovacie údaje do iných, ako prihlasovacích políčok. Zamestnci firiem ich nikdy nepotrebujú, nastavenie účtu alebo iné operácie vedia vždy vykonať cez svoj “admin panel”.
4. Nie, najskôr ste nevyhrali Iphone 13 Pro Max 256 GB.
5. Používajte iné heslo na každej stránke.
6. Žite vedome.
Za mňa to je na dnes všetko. Zabudol som na niečo? Dajte mi vedieť v komentári.