Phishing je ključna beseda, ki je zaznamovala naše delo na SI-CERT tako v preteklem letu kot letos, saj obravnava phishing spletnih mest in phishing sporočil predstavlja kar eno tretjino vseh incidentov. Phishing napadi so se v primerjavi z letom 2020 povečali za skoraj 37 %. Čeprav gre za eno najstarejših vrst spletnih napadov, ki so tehnično precej enostavni, so še vedno relativno uspešni.
Zakaj je phishing tako trdovraten, kakšne trende vidimo na SI-CERT in kdo stoji za napadi?
Na vprašanja smo skušali odgovoriti v spletnem seminarju, ki smo ga izvedli 25. oktobra 2022 prek Zoom platforme. Dogodek je potekal pod okriljem širše kampanje v sklopu evropskega meseca kibervarnosti.
Izraženo zanimanje je preseglo naša pričakovanja, prav tako udeležba na samem seminarju, ki ga je praktično od začetka do konca spremljajo 177 udeležencev. Pozitivne povratne informacije ter aktivno in konstruktivno sodelovanje udeležencev so signal, da so tovrstni dogodki dobrodošli.
Spletni seminar je potekal v dveh sklopih; v prvem delu je strokovni sodelavec Tadej Hren izpostavil strmo rast phishing napadov v zadnjih letih, predstavil nekaj aktualnih primerov, ciljanih na slovenske uporabnike ter navedel konkretne primere zaščite.
Ribarjenje v kalnem – Phishing in SI-CERT from SI-CERT on Vimeo.
Kako prijaviti phishing napad SI-CERT-u?
Za omejevanje števila uporabnikov, ki nasedejo phishing prevari, je bistveno čim hitrejše označevanje phishing spletnih mest. Pri tem je ključno sodelovanje širše skupnosti, da pri prepoznavi phishing elektronskega sporočila, to čim prej sporočite na SI-CERT.
To storite tako, da nam na naslov cert@cert.si pošljete izvirnik elektronskega sporočila oz. sporočite URL naslov phishing spletnega mesta.
Podrobna navodila smo pripravili v članku Pošiljanje izvirnika elektronskega sporočila.
Izvajanje phishing preizkusov
V drugem delu seminarja je vodja SI-CERT Gorazd Božič pojasnil širši kontekst izvajanja phishing preizkusov, predvsem iz perspektive odzivnega centra in pojasnil, zakaj je pomembno obvestiti SI-CERT o izvedbi preizkusa. Pojasnili smo tudi naš vidik vrednotenja rezultatov phishing preizkusov in odprli vprašanje etičnosti izvajanja tovrstnih preizkusov. Opozorili smo na prevzem identitet drugih podjetij in državnih institucij, izpostavljanje posameznikov, ki ne opravijo preizkusa, način, kako je sam phishing sestavljen (domenski prostor, ime pošiljatelja itd.) in pomemben aspekt čustvenega odziva zaposlenih.
Ribarjenje v kalnem – Izvedba phishing preizkusov from SI-CERT on Vimeo.
Kako napovedati phishing preizkus SI-CERT-u?
Izvajalcem phishing testiranj svetujemo, da posamezne teste predhodno najavijo na SI-CERT na naslov cert@cert.si. Dovolj bo kakšen dan pred izvedbo testiranja.
Več pojasnil v našem članku Najave phishing testiranj
Diskusija in izkušnje iz prakse
Po predstavitvah je sledila debata z udeleženci, ki so delili lastne izkušnje iz različnih organizacij. Večina se strinja, da so tovrstni preizkusi učinkovit pristop k dvigu zavedanja o nevarnosti phishinga, da zaposlene zelo predrami in daje dober vpogled v stanje ozaveščenosti zaposlenih. Največ različnih mnenj je glede vnaprejšnje napovedi phishing preizkusa zaposlenim in glede razkrivanja posameznikov, ki so nasedli (pogosto je to zahteva vodstva do izvajalca).
Posamezni udeleženci so podali nekaj dragocenih izkušenj:
- phishing sporočilo je sestavljeno tako, da naslovi / cilja celotno organizacijo in ne posameznih zaposlenih
- phishing sporočilo nikoli ne izrablja lastnih zaposlenih v imenu Pošiljatelja – nikoli se ne izrablja kadrovske, finančne službe ipd., saj to močno krha zaupanje v organizaciji
- delež posameznikov, ki kliknejo na phishing povezavo nikoli ne bo 0 %, potrebno je predvideti postopke, kaj se zgodi, ko nekdo nasede in poiskati način, kako dodatno izobraziti povratnike
Uporabna gradiva in predstavljena literatura
- SANS, Phishing planning document, The SANS Security Awareness Planning Kit, 2022
- Phishing in Organizations: Findings from a Large-Scale and Long-Term Study, Daniele Lain, Kari Kostiainen, Srdjan Capkun, ETH Zurich, 2021
- phishdeck, Keeping phishing tests ethical, 2021
- Laura Bishop, Cardiff University PhD student, AirBus, Phishing simulations: let’s talk ethics, 2022
- American Bar Association, Online Use of Third Party Trademarks: Can Your Trademark Be Used without Your Permission?, 2016
- Preverjanje prepoznavanja ribarjenja podatkov – phishing sporočil, neobvezujoče mnenje, 2021
- US Office for Human Research Protections, The Belmont Report, 1979