Dziś wpis wyjątkowy, bowiem - bez zbędnych wstępów - oddaję łamy mojemu szefowi, dyrektorowi Bezpieczeństwa Systemów Teleinformatycznych Przemysławowi Dębie.
W ostatnich tygodniach w mediach można przeczytać sporo o kolejnych kampaniach phishingowych, regularnie kierowanych do polskich internautów, w sporej części podszywających się pod domenę @orange.pl. Skąd to się bierze?
Kluczowe pytanie, zadawane przez zgłaszających phishing, brzmi: Kto tak naprawdę wysłał mi tego maila? Czy to na pewno np. bok@orange.pl?
Zanim odpowiemy na to pytanie, warto sprawdzić dwie kwestie. Po pierwsze: czy dana firma w ogóle jest właścicielem domeny? Może mamy do czynienia z bezczelną podróbką, w stylu orangee.pl, orangje.pl, ornge.pl, lub czymś w tym stylu? Po drugie: czy firma rzeczywiście komunikuje się z klientami w taki sposób? Akurat w opisywanym przypadku z adresów w domenie orange.pl korzystają klienci naszych usług, zaś firma korzysta z domeny orange.com (a w przypadku wysyłki faktur – pl.orange.com).
A co z odpowiedzią na pytanie? Cóż, niestety zazwyczaj brzmi ona: „Nie wiadomo”. Przestępcy mają mnóstwo możliwości wysłania maili „zespoofowanych”, czyli podszywających się pod dowolny adres nadawcy. Prawdę poznać można dopiero po analizie ukrytych dla przeciętnego użytkownika treści, zawartych m.in. w nagłówkach wiadomości. Dokładnie tak! Możemy wysłać wiadomość w imieniu kogo tylko sobie życzycie, a co więcej – jeśli faktycznie adres, czy nazwisko nadawcy nie są Wam obce, ryzyko, że phishing będzie udany, są znacznie większe.
Dlaczego akurat Orange?
Tu odpowiedź jest akurat bardzo prosta. Przestępcy szukają najlepszych „żywicieli”: firm, które mają duże bazy klientów, kanały komunikacji elektronicznej są dla nich ważne biznesowo, a ich marki cieszą się zaufaniem. W sumie wychodzi na to, że dla Orange bycie „żywicielem” to... komplement. Ale mówiąc serio: właśnie dlatego najczęściej wykorzystywane w tej roli są telekomy i firmy logistyczne (np. kurierskie).
Co z tym robimy?
Niestety, „żywiciel” zazwyczaj może zrobić niewiele. Jedna z dużych polskich firm, robiąca za ulubieńca przestępców, ufundowała tzw. kampanię awarenessową i porozlepiała w swoich placówkach plakaty, w przystępny i zrozumiały sposób wyjaśniające ryzyka, związane z phishingiem. Dlaczego? Ano po to, by uświadomić swoich klientów tak bardzo, by przestępcom nie opłacało się już atakować tej konkretnej marki (czyli najpewniej inną – liczenie na to, że przestaną to robić, byłoby dużą naiwnością).
W Orange mamy znacznie większe możliwości – to przewaga bycia operatorem telekomunikacyjnym. Rozsyłane w tych wiadomościach złośliwe oprogramowanie po instalacji na komputerach ofiar zaczyna komunikować się ze swoim centrum dowodzenia (tzw. Command&Control, C&C), umieszczonym gdzieś na świecie, by pobierać polecenia od przestępcy, czy dodatkowe moduły. W każdej takiej kampanii nasz CERT przy użyciu CyberTarczy natychmiast blokuje tę komunikację i w efekcie mimo infekcji, użytkownik jest relatywnie bezpieczny. Relatywnie, bowiem po opuszczeniu sieci Orange ryzyko może wzrosnąć (odpowiadamy wyłącznie za blokady w naszej sieci). Psuje to biznes przestępcom, bowiem „konwersja” (to takie modne marketingowe określenie) infekcji w odniesieniu do rozesłanych maili okazuje się być niewielka. Całkiem możliwe zatem, że grupa przestępcza wkrótce znajdzie sobie lepszego żywiciela.
Jak może się chronić zwykły internauta?
Chronić się można trojako – najlepiej na wszystkie poniższe sposoby łącznie:
- Używać dobrego systemu ochrony komputerów. Oczywiście spytacie: „Jakiego?”, a tutaj oczywiście nie ma dobrej odpowiedzi. Po pierwsze: ze statystycznego punktu widzenia różne próbki złośliwego oprogramowania są różnie wykrywane przez różne silniki antywirusowe – nie ma idealnego. Po drugie – kampanie phishingowe przygotowywane są w taki sposób, by na początku żaden silnik antywirusowy nie wykrył złośliwej próbki. Po trzecie natomiast kampanie pisane są na konkretny rynek (w tym przypadku polski), trudno więc przypuszczać, że „nasza” próbka natychmiast będzie rozpoznawana przez silnik pisany dajmy na to na Antypodach. Tyle podpowiedzi ;)
- Używać internetu od operatora dbającego o bezpieczeństwo – ten aspekt skromnie pozostawmy bez komentarza
- Najważniejszy filar w przypadku phishingu – konto pocztowe u dobrego dostawcy, wyposażone w system antyspamowy i silniki antywirusowe, a przede wszystkim z zaimplementowanymi mechanizmami typu DKIM, czy DMARC. Nie wchodząc w szczegóły techniczne – implementacja tych mechanizmów po stronie nadawcy oraz odbiorcy wiadomości pozwala niemal całkowicie wykluczyć skuteczność takiego ataku.
No i na koniec – warto regularnie odwiedzać stronę cert.orange.pl i inne polskie strony zajmujące się tematyką bezpieczeństwa, a także obserwować nasz nowy kanał na Twitterze.
Piotr Domański 
Michał Rosiak 
Komentarze
Czemu? Dobrze machasz 😉 :p ???????
Odpowiedz