Sofisticirana prijevara u kojoj je Saša Cvetojević ostao bez 3800 eura zbog uplate na krivi IBAN poslužila je kao povod za razgovor s Infigo IS-ovim stručnjakom za računalnu sigurnost Bojanom Ždrnjom.
Više o navedenoj prijevari može se pronaći ovdje, a Ždrnju smo upitali kako se sve može manipulirati mailovima, kako se zaštititi od prijevara sličnih nedavnoj te kako znati da je neki mail autentičan, odnosno poslan s prave email adrese.
Postoje slučajevi različite sofisticiranosti. U jednostavnijem slučaju napadač dođe do sadržaja nekih mailova koje koristi za izradu takvih phishing ili scam mailova. Oni se onda šalju lažiraju i šalju žrtvi. Ovisno o tome kako su podešeni mail serveri to može biti lakše ili teže. No, čak i u slučaju da je sve idealno podešeno postoji alternativa - napadač može zakupiti domenu koja sliči onome što želi lažirati i to iskoristiti.
U sofisticiranijim slučajevima - a vjerojatno je i ovo bio takav slučaj, napadači zapravo dođu do pristupa mailboxu - pogađanjem passworda žrtve, hakiranjem ili na neki drugi način - i onda čitaju mail kroz dulji period. Kad vide da je nešto interesantno ubacuju se u sami thread i mijenjaju mailove. Kako imaju pristup mailboxu, bilo žrtve koja će platiti novce ili od osobe ili tvrtke s kojima imaju korespondenciju, lako mogu vidjeti stil pisanja, signature u mailu pa često čak i ugovore i slično te to iskoristiti za izradu vrlo uvjerljivih mailova kojima često traže plaćanje na drugi račun - oko čega treba biti vrlo sumnjičav i uvijek provjeriti. Mi u Infigo IS-u ovakve stvari znamo provjeravati u našim penetracijskim testovima.
Kako se zaštititi protiv ovakvih situacija?
Sama zaštita maila je zapravo dosta nezgodna - mail i SMTP protokol koji se koristi je oduvijek problematični što se toga tiče. Kao prvo, SMTP poslužitelji svake firme trebali bi biti tako konfigurirani da ne dozvoljavaju primanje maila koji se predstavlja kao da stiže od njih. Da bi se spriječilo lažiranje od neke treće strane (npr. netko lažira slanje maila u moje ime) potrebno je dobro postaviti Sender Policy Framework (SPF) zapise, kao i koristiti DKIM i DMARC mehanizme - no sve ove metode zaštite zapravo pokušavaju donekle ograničiti slanje lažiranih mailova i nisu stopostotna zaštita. Uostalom, napadač uvijek može registrirati domenu koja je slična onoj koju napada.
Svakako je potrebno maksimalno zaštititi pristup mailu. Tu preporučujem, ako je ikako moguće, uvođenje dvofaktorske autentikacije (2FA) te redovitu provjeru spajanja na mailbox - primjerice slanjem logova u SIEM i analizom od kuda se spajaju korisnici, koliko je to moguće.
Za korisnike - lažirane mailove je na žalost najčešće teško detektirati. To se može vidjeti pregledom zaglavlja, što je tehnički izazovno za prosječnog korisnika. Često napadači naprave gramatičke i slične greške pa to može malo pomoći, ali naravno to isto ništa ne garantira.
Bolja zaštita uključila bi još digitalne potpise, što isto tehnički predstavlja problem, s obzirom da su relativno kompleksni Konačno bih dodatno preporučio oprez te, u slučaju da je nešto sumnjivo, a pogotovo kada se rade plaćanja, uvijek provjeru nekim drugim kanalom - telefonom, SMS-om, messengerima i slično. Manja je šansa da napadač nadgleda i može modificirati dva kanala.
ZSIS je izdao solidan dokument o zaštiti maila (PDF), no to će pomoći samo administratorima i tehnički vrlo dobro educiranim ljudima i ne rješava stvari stopostotno jer uvijek mogu registrirati sličnu domenu