Lažno predstavljanje (phishing)

Uvod v ribarjenje

Lažno predstavljanje je oblika socialnega inženiringa. Za razliko od drugih kibernetskih napadov, ki neposredno ciljajo na omrežja in vire, napadi socialnega inženiringa uporabljajo človeške napake, lažne zgodbe in taktike pritiska, da bi žrtve prepričali, da nehote škodujejo sebi ali svoji organizaciji. Pri tipičnem poskusu ribarjenja se storilec pretvarja, da je oseba, ki ji žrtev zaupa, na primer sodelavec, šef, avtoriteta ali predstavnik znane blagovne znamke. Storilec pošlje sporočilo, v katerem žrtvi naroča, naj plača račun, odpre priponko, klikne povezavo ali izvede drugo dejanje.

Razvoj in vpliv phishing napadov

Izraz phishing, ki je danes sinonim za kibernetski kriminal, izvira iz programa AOHell, ki ga je razvil najstnik iz Pensilvanije. Ta zgodnja zlonamerna programska oprema je bila usmerjena na AOL (America Online), priljubljeno spletno storitev v zgodnjih dneh interneta, in je uporabljala mehanizme za krajo podatkov o kreditnih karticah in razbijanje gesel, kar je povzročilo motnje v storitvah družbe AOL. Program AOHell je postavil temelje za avtomatizirano programsko opremo za ribarjenje in vplival na poznejše metode ribarjenja, vključno s tistimi, ki jih je uporabljala skupnost Warez – skupina, ki se ukvarja s hekanjem in izmenjavo piratske programske opreme.

Začetki ribarjenja

Skupnost Warez je zaslužna za prve organizirane napade na ribarjenje, ki so se začeli leta 1996. Namenjeni so bili uporabnikom AOL, saj so uporabili algoritem za generiranje naključnih številk kreditnih kartic. Ko so našli veljavno številko, so ustvarili prave račune AOL in tako prevarali druge uporabnike. Ta začetna shema ribarjenja se je razvila v bolj izpopolnjene taktike socialnega inženiringa, saj so se napadalci izdajali za uslužbence družbe AOL in zbirali občutljive informacije.

Po teh prvih prevarah se je taktika ribarjenja hitro prenesla na elektronsko pošto. Prva goljufiva e-poštna sporočila so se razlikovala od neprepričljivih shem, kot so tiste, ki so vključevale lažne nigerijske prince, do bolj zapletenih poskusov, kot je bil virus Mimail iz leta 2003. Virus Mimail se je razširil prek e-poštnega sporočila, ki se je predstavljalo kot sporočilo podjetja PayPal in je uporabnike pozivalo k posodobitvi podatkov o kreditnih karticah. Številni uporabniki, ki jih je prepričljiv logotip PayPal zavedel, so svoje poverilnice vnesli na zlonamerno spletno stran.

Grožnja, usmerjena v človeka

Goljufanje je še posebej nevarno, ker izkorišča človeško psihologijo in se ne zanaša na tehnološke ranljivosti. Napadalcem pogosto ni treba neposredno vdreti v sisteme ali prelisičiti orodij za kibernetsko varnost. Namesto tega prevarajo posameznike, ki imajo pooblaščen dostop do občutljivih informacij, in jih prisilijo, da nevede pomagajo pri napadu.

Izsiljevalci lažnih sporočil so lahko posamezni prevaranti in organizirane kriminalne združbe, ki lažno sporočanje uporabljajo za različne zlonamerne namene, vključno s krajo identitete, goljufijo s kreditnimi karticami, krajo denarja, izsiljevanjem, prevzemom računa in vohunjenjem. Cilji napadov z ribarjenjem so posamezniki, podjetja in vladne agencije. Pomemben primer je phishing napad na predsedniško kampanjo Hillary Clinton v ZDA leta 2016, ko so ruski hekerji s pomočjo lažnega elektronskega sporočila za ponastavitev gesla ukradli na tisoče elektronskih sporočil. Lažna e-poštna sporočila so prevarala celo informacijsko službo za pomoč uporabnikom kampanje.

Sodobne tehnike ribarjenja

Izsiljevanje (phishing) se je zelo razvilo, saj uporablja več načinov komunikacije in izpopolnjene tehnike za zavajanje tarč. Sodobni poskusi ribarjenja lahko zelo natančno posnemajo legitimna podjetja, zato jih je brez natančnega pregleda težko odkriti.

Nekatere sodobne tehnike ribarjenja vključujejo:

• Ribolovno ribarjenje: poteka prek družabnih medijev z uporabo lažnih naslovov URL, takojšnjih sporočil ali lažnih profilov za zbiranje občutljivih podatkov. Napadalci lahko profile v družabnih medijih izkoristijo tudi za iskanje osebnih podatkov, da bi izboljšali svojo manipulacijo.
• Kloniranje in podtikanje domen: Napadalci ustvarjajo e-poštna sporočila, ki so zelo podobna legitimnim, pri čemer uporabljajo natančne kopije sporočil ali ponarejajo imena domen, da so e-poštna sporočila videti pristna. Pogosto se izdajajo za velika in znana podjetja, da bi uporabnike prepričali v razkritje osebnih podatkov.
• Izsiljevanje: ta tehnika združuje ribarjenje in pošiljanje lažnih besedilnih sporočil za zbiranje podatkov, kot so številke kreditnih kartic ali gesla.
• Izsiljeno ribarjenje: Pri izsiljenem ribarjenju napadalci zbirajo podrobne informacije in pripravijo prilagojena e-poštna sporočila, za katera se zdi, da prihajajo iz zaupanja vrednih virov.
• Lov na kite: Ta vrsta ribarjenja je usmerjena na zaposlene na višjih položajih ali ugledne posameznike in pogosto vključuje prefinjeno družbeno manipulacijo in zbiranje obveščevalnih podatkov.
• Vishing: Vishing je kombinacija ribarjenja in VoIP (Voice over Internet Protocol) ter vključuje goljufive telefonske klice, katerih namen je pridobiti občutljive podatke.

Če povzamemo, se je ribarjenje razvilo od zgodnjih programov, kot je AOHell, do zapletenih shem, ki vključujejo različne načine komunikacije. Grožnja ostaja velika, saj izkorišča človeško psihologijo, zato morajo posamezniki in organizacije ostati pozorni in obveščeni o teh nenehno razvijajočih se taktikah.