==== ====
====== Gmail phishing ======
===== Sažetak =====
Phishing je kriminalna aktivnost u kojoj se meta kontaktira elektroničkom poštom, telefonom ili tekstualnom porukom na način da se napadač predstavi kao netko drugi. Osim phishinga putem elektroničke pošte i web stranica, postoji i //vishing // (glasovni phishing), //smishing// (SMS phishing) i nekoliko drugih phishing tehnika.
U ovom seminarskom radu naglasak će biti na phishing napadima putem elektroničke pošte, proći će se teme kao što su prepoznavanje phishing e-maila, neki tipični primjeri, forenzička analiza primljenog e-maila, metoda obrane od takve vrste napada te jedan konkretni primjer uspješnog i ozbiljnog phishing napada iz prakse.
Ključne riječi: phishing, e-mail, napad
===== Uvod =====
Phishing je zlonamjerna aktivnost kojom se, koristeći tehničke alate i socijalni inženjering, žrtvi želi ukrasti osjetljive osobne i financijske podatke. Riječ je o jednoj od najstarijih vrsta napada koji potiče iz 1990-ih godina, a ujedno predstavlja jednu od najraširenijih i najštetnijih metoda zbog povećanja njezine sofisticiranosti tijekom godina. Naziv doslovno znači pecanje, u analogiji s bacanjem udice (poruke elektroničke pošte) u nadi da će netko zagristi. Najčešće se očituje u porukama elektroničke pošte kojima se navodi korisnika da klikne na određeni link koji ga preusmjerava na stranice zloćudnog web poslužitelja koje oponašaju izgled stvarnih stranica.
Gotovo trećina napada u 2019. godini odnosila se na phishing, a najgora vijest od svih je što napadači postaju sve uspješniji zahvaljujući dobro pripremljenim predlošcima te korištenjem sve kvalitetnijih alata. Tajna uspješnosti phishing napada leži u ljudskoj prirodnoj znatiželji i činjenici da korisnici ne očekuju da im se dogodi išta loše tijekom svakodnevne rutine.
Neki oblici phishing napada:
* jednostavni zahtjev – pošiljatelj se lažno predstavi kao primjerice administrator nekog web servisa kojem su potrebni korisnikovi podaci koje on u odgovoru elektroničke pošte šalje
* lažni linkovi u e-mail porukama – lažni link u poruci elektroničke pošte koji vodi na zloćudnu web stranicu na kojoj se traži unos korisničkog imena i lozinke ili nekih drugih osjetljivih podataka
* lažna web sjedišta – klikom na link koji vodi na web poslužitelj koji prekrije svoj stvarni URL i predstavi se legitimnim obmanjuje se korisnika koji misli da je na legalnoj stranici te se od njega skupljaju podaci
* lažni prozor na legitimnim web sjedištima banaka – pojava „popup“ prozora na legitimnoj web stranici koji sadrži polja za unos povjerljivih informacija
* „tabnabbing“ – metoda koja se koristi prilikom nekoliko istovremeno otvorenih tabova od kojih se jedan od neaktivnih osvježi zloćudnim sadržajem koji imitira legitimnu web stranicu
Najuspješniji phishing napadi ciljaju samo jednu osobu i personalizirani su do te mjere da se uopće ne doimaju kao napad, nego nalikuju na običnu privatnu ili poslovnu interakciju. Postoje i masovniji napadi koji su generalizirani i obično lijeni, no svejedno vrlo učinkoviti. To su mailovi o propuštenim pošiljkama ili problemima s nedostavljenim mailom. Dnevno se šalju na tisuće različitih mail adresa, od čega nekih 0.5% korisnika nasjedne na prevaru. Na taj način moguće je skupiti i na tisuću novih žrtvi mjesečno. A s obzirom da veliki broj korisnika reciklira svoje lozinke, neprestano se povećava broj žrtava korištenjem već postojeće žrtve kao izvor napada.
===== Phishing kit =====
Phishing napadi najčešće naglašavaju hitnost situacije, izazivaju osjećaj straha, upozoravaju na ozbiljne posljedice, a vrlo često su pokrenuti zbog znatiželje žrtve.
Postoji takozvani phishing kit koji predstavlja komponentu phishing napada, a dizajniran je da oponaša legitimnu web stranicu s ciljem navođenja žrtve na dijeljenje podataka o prijavi ili ostale osjetljive podatke. Razvijen je kombinacijom HTML-a i PHP-a te je pohranjen na kompromitiranim web stranicama i obično zaživi svega 36 sati prije nego ga se otkrije i ukloni. Phishing kit funkcionira kao normalna web stranica s glavnom stranicom te poljem za login, s dodatkom skripte za krađu podataka. Nakon dohvaćanje različitih e-mail adresa, šalju se linkovi koji usmjeravaju na nove, lažne stranice.
===== Forenzička analiza e-maila =====
Najvažniji dio e-maila u pogledu njegove forenzičke analize jest zaglavlje koje sadrži znatnu količinu informacija. Analiza se provodi od dna prema vrhu jer se podaci u donjem dijelu zaglavlja odnose na pošiljatelja, a u gornjem na primatelja.
Neka osnovna polja zaglavlja:
* From → e-mail adresa (ponekad ime) autora e-maila
* To → e-mail adresa (ponekad ime) primatelja e-maila
* Cc → Carbon Copy, tj. adresa primatelja kopije e-maila
* Bcc → Blind Carbon Copy, tj. adresa primatelja tajne kopije e-maila
* Subject → sažetak teme
* Date → lokalno vrijeme i datum kad je e-mail poslan
* Reply-to → adresa na koju će se poslati odgovor na e-mail
* Message-ID → jedinstveni globalni identifikator poruke izgeneriran prilikom slanja
* References → identificira ostale dokumente povezane s porukom, poput drugog e-maila
* Received → praćena informacija generirana od strane poslužitelja koji su prethodno rukovali porukom, u obrnutom redoslijedu
Istraga incidenata i zločina vezanih uz elektroničku poštu uključuje različite tehnike poput: analize zaglavlja, istrage poslužitelja, istrage mrežnog uređaja, analize ugradbenih softvera, otisaka prstiju pošiljatelja, korištenje e-mail pratitelja, analize promjenjive memorije i analize privitaka.
===== Kako prepoznati phishing e-mail? =====
1. Legitimne tvrke neće nikada tražiti osjetljive podatke putem e-maila
{{ :racfor_wiki:email:primjer1.png?nolink&600x275 }}
* velike su šanse da se radi o prevari budući da većina tvrtki ne šalje e-mailove tražeći lozinke, brojeve kreditnih kartica ili ostale informacije za koje je potrebno obaviti login
* takav e-mail često započinje generičkim pozdravom te sadrži sumnjivi link u prilogu
2. Legitimne tvrtke obično oslovljavaju korisnika imenom
{{ :racfor_wiki:email:primjer2_1.jpg?nolink&853x696 |primjer2_1.jpg}}
{{ :racfor_wiki:email:primjer2_2.jpg?nolink&853x712 |primjer2_2.jpg}}
* phishing e-mailovi često koriste generičke pozdrave poput "Poštovani članu", "Poštovani korisničke računa" ili "Poštovani kupcu"
* no, ako legitimna tvrtka treba podatke korisnika računa, u e-mailu će koristiti oslovljavanje imenom te zahtijevati dodatni kontak telefonom
* neki hakeri izbjegavaju pozdrave, pogotovo kod reklamnih e-mailova
3. Legitimne tvrtke koriste valjanu e-mail domenu
{{ :racfor_wiki:email:primjer3.png?nolink&600x346 }}
* važno je pogledati i adresu e-maila, a ne samo ime pošiljatelja te u slučaju da se pojavljuju dodatni brojevi ili slova u domeni e-maila, radi se o lažnom e-mailu, npr. michelle@paypal.com i michelle@paypal23.com
* no, ovo nije najsigurnija metoda jer ponekad tvrtke doista koriste jedinstvene ili različite domene za slanje e-maila
* treba pripaziti i na logo koji se može razlikovati od pravog
{{ :racfor_wiki:email:costco-logo.jpg?nolink&200x58 |costco-logo.jpg}}
4. Legitimne tvrtke upoznate su s pravopisom i gramatikom
{{ :racfor_wiki:email:primjer4.png?nolink&600x455 }}
* možda banalan primjer, ali vjerojatno najlakši način prepoznavanja zloćudnog e-maila jest provjerom gramatike
* zapravo postoji svrha iza tih pogrešnih izraza, naime hakeri generalno nisu neupoznati s ispravnom gramatikom već namjerno ciljaju na manje obrazovanu publiku, a time i lakše mete
5. Legitimne tvrtke ne forsiraju svoju web stranicu
{{ :racfor_wiki:email:primjer5.png?nolink&600x415 }}
* ponekad su phishing e-mailovi u potpunosti kodirani kao link pa slučajnim klikom bilo gdje u poruci otvara se lažna web stranica ili se preuzme neželjeni sadržaj na računalo
6. Legitimne tvrtke ne šalju netražene privitke
{{ :racfor_wiki:email:primjer6.png?nolink&393x247 }}
* tvrtke ne šalju e-mail s privitkom već preusmjeravaju korisnika na njihovu službenu web stranicu gdje se mogu preuzeti odgovarajući dokumenti
* no, ovo nije pravilo i može se dogoditi da legitimne tvrtke koje imaju korisnikovu adresu e-maila doista šalju informacije u privitku e-maila te u tom slučaju treba obratiti posebnu pažnju na vrstu privitka (.exe, .zip)
7. Legitimne tvrtke koriste legitimne URL-ove
{{ :racfor_wiki:email:primjer7.png?nolink&600x589 }}
* ako opis linka tvrdi da će preusmjeriti korisnika na određenu adresu, ne mora značiti da će se to stvarno i dogoditi
* potrebno je dvaput provjeriti URL na način da se mišem prijeđe iznad linka i pročita koja je stvarna adresa, a dodatna sigurnost osigurana je ako veza počinje s https
===== Primjeri =====
1. zastrašivanje deaktivacijom
{{ :racfor_wiki:email:zastrasivanje_deaktivacijom.jpg?nolink&600x400 |zastrasivanje_deaktivacijom.jpg}}
* ovaj oblik mamca često uspijeva jer ništa ne plaši ljude više od obavijesti o deaktivaciji
* e-mail tvrdi da će račun biti deaktiviran u slučaju da se na priloženom linku ne unese korisničko ime i lozinka te poduzme potrebna akcija
2. slične web-stranice
{{ :racfor_wiki:email:slicne_web_stranice.jpg?nolink&600x400 |slicne_web_stranice.jpg}}
* postalo je sve teže pronaći razliku između stvarne i phishing web stranice; one lažne su vrlo precizne kopije te dio njihovog URL-a čini URL prave stranice
* malo boljim pogledom uočljivo je da lažna stranica ipak upućuje na neku drugu domenu
3. Nigerijska prevara
{{ :racfor_wiki:email:nigerijska_prevara.jpg?nolink&600x400 |nigerijska_prevara.jpg}}
* poznata i kao napredna prevara plaćanja, a ime je dobila po tome što su je nigerijski prevaranti pokušavali izvesti više nego ikoja druga država, barem po glavi stanovnika
* unatoč lošoj gramatici i smiješnom scenariji, koji su namjerno takvi, šalje se na milijune takvih mailova i dok ih određeni antivirusni programi blokiraju, nađe se poneki osjetljivi korisnik koji podlegne ovom napadu
4. direktan odlazak u zatvor
{{ :racfor_wiki:email:direktan_odlazak_u_zatvor.jpg?nolink&600x400 |direktan_odlazak_u_zatvor.jpg}}
* napadači često koriste žrtvinu grižnju savjest, čak i ako nešto za što se žrtva osjeća krivom nije ilegalno, svejedno ih se prevari misleći da su uhvaćeni
* ovakvi napadi koriste lažna FBI upozorenja zbog ilegalnog preuzimanja glazbe ili neplaćanja poreza
* ljudi ponekad plate unatoč tome što nisu ništa od navedenog radili, u nadi da će prijetnje i upozorenja prestati, ali to se ne dogodi
===== E-mail kojim je hakiran John Podesta =====
U ožujku 2016. godine John Podesta, predsjednik kampanje Hillary Clinton, primio je od "Google-a" mail u kojem je pisalo da treba hitno promijeniti svoju lozinku jer se netko u Ukrajini pokušao ulogirati u njegov račun.
{{ :racfor_wiki:email:podesta-phishing.png?nolink&620x664 }}John je ovaj mail proslijedio IT osoblju kako bi provjerili je li mail stvaran, budući da je izgledao vrlo uvjerljivo: sadržavao je oslovljavanje imenom te navodnu IP adresu s koje se pristupilo njegovom računu, no pošiljateljeva adresa bila je googlemail, a u tijelu poruke nalazio se i sumnjivi link za promjenu adrese. Osoblje mu je uzvratilo porukom da je mail legitiman te da treba hitno promijeniti svoju lozinku ali slijedeći službeni link, no iz nekog razloga tko god da je bio odgovoran za situaciju kliknuo je na kratki link u originalnom e-mailu te su napadači (ruska hakerska skupina Fancy Bear) uspješno pristupili Podestinim podacima za Gmail što im je omogućilo da hakiraju njegov račun i 60 tisuća pohranjenih mailova koje je u listopadu iste godine svakodnevno objavljivao WikiLeaks, točno prije predsjedničkih izbora.
{{ :racfor_wiki:email:legitimate-email.png?nolink&620x313 }}
===== Kako spriječiti phishing? =====
Najbolji način obrane od phishing napada jest naučiti se prepoznati sumnjive e-mailove, a to je najlakše proučavanjem stvarnih primjera napada, npr. na stranici: [[https://lts.lehigh.edu/phishing/examples|https://lts.lehigh.edu/phishing/examples]]
Ako postanete žrtva phishing napada:
- izmijenite zaporke za Vaše aplikacije i mrežne račune s drugog telefona ili računala
- skenirajte svoje računalo za viruse i zlonamjerni sadržaj
- pošaljite prijavu krađe policiji i zadržite kopiju
- pošaljite prijavu incidenta Vašoj organizaciji ili banci, APWG-u (reportphishing@apwg.org) te Nacionalnom CERT-u (incident@cert.hr)
===== Zaključak =====
Sve u svemu, phishing je vrlo opasna aktivnost na koju svi moraju obratiti pozornost jer se bilo kome može dogoditi da nasjedne na napad, a to može završiti vrlo skupo po osobu ili organizaciju. Stoga, treba biti oprezan, otvoriti oči na sve pa čak i minimalno sumnjive poruke, inače se može dogoditi da postanete sljedeća žrtva prevaranata.
===== Sources =====
[1] [[https://www.cert.hr/phishing/|CERT, Phishing]]
[2] [[https://www.csoonline.com/article/2117843/what-is-phishing-how-this-cyber-attack-works-and-how-to-prevent-it.html|Fruhlinger J., What is phishing? How this cyber attack works and how to prevent it, CSO, 2019]]
[3] [[https://www.securitymetrics.com/blog/7-ways-recognize-phishing-email|Ellis D., 7 Ways To Recognize A Phishing Email: Email Phishing Examples, Security Metrics]]
[4] [[https://www.csoonline.com/article/3290417/csos-guide-to-phishing-and-phishing-kits.html|Ragan S., What are phishing kits? Web components of phishing attacks explained, CSO, 2018]]
[5] [[https://www.csoonline.com/article/3235520/15-real-world-phishing-examples-and-how-to-recognize-them.html|Grimes R., 15 real-world phishing examples — and how to recognize them, CSO, 2017]]
[6] [[https://articles.forensicfocus.com/2019/02/15/email-forensics-investigation-techniques/|De Alwis C., Email Forensics: Investigation Techniques, Forensic Focus, 2019]]
[7] [[https://www.cbsnews.com/news/the-phishing-email-that-hacked-the-account-of-john-podesta/|Krawchenko K., The phishing email that hacked the account of John Podesta, CBS News, 2016]]