Varnost na internetu: vdor hekerjev v elektronsko pošto

V svetu so že nekaj let razširjeni ciljani vdori in zlorabe elektronske komunikacije, njihove posledice spoznava tudi slovensko podjetniško okolje. Samo v zadnjem času smo na SI-CERT prejeli več prijav zlorab elektronske komunikacije med slovenskimi podjetji in njihovimi poslovnimi partnerji iz tujine. Ne gre za pravilo, a izpostavljena so predvsem podjetja, ki poslujejo s tujino v velikih zneskih, napadalci pa podatke o podjetjih lahko pridobijo iz javno dostopnih evidenc.

Napadalci vdirajo v e-poštne sisteme podjetij, od koder lahko spremljajo njihovo elektronsko komunikacijo s strankami. Ko pridobijo dovolj pomembnih informacij o poslovnih procesih, lahko v ključnem trenutku aktivno posežejo v komunikacijo in kupcu pošljejo lažno sporočilo o spremembi transakcijskega računa. Tako preusmerijo plačevanje računov in drugih stroškov na svoje lažne bančne račune. Do trenutka, ko podjetja ugotovijo, da je nekaj narobe, lahko hitro nastane velika škoda, od nekaj 1000 do več 10.000 evrov.

Kako se vdor zgodi?

Cilj hekerjev je pridobiti vpogled v komunikacijo podjetja, to pa lahko naredijo na različne načine. Lahko vdrejo v nadzorno ploščo pri ponudniku poštnih storitev ter preusmerijo pošiljanje pošte na svoj e-naslov, od koder neopaženo spremljajo komunikacijo podjetja. Lahko celo okužijo računalnik enega od zaposlenih ali pa se do gesla za dostop do e-pošte dokopljejo s ciljanim phishing napadom. Običajni phishing napadi so razposlani na veliko število naslovov in poštni strežniki jih bolj kot neuspešno filtrirajo v vsiljeno pošto. Ciljani napadi pa so izvedeni veliko bolj sofisticirano: napadalec izbrani žrtvi pošlje personalizirano sporočilo, ki se izogne poštnim filtrom in obenem deluje bolj verodostojno, zato je takšen napad tudi ‘uspešnejši’.

V običajnih phishing sporočilih iz različnih razlogov zahtevajo, da se ponovno vpišete v vaš poštni predal. Če ne, ne boste mogli več dostopati do vaše pošte. Čeprav so vsi razlogi izmišljeni in niso mogoči niti teoretično, je že grožnja dovolj, da nekateri uporabniki svoje uporabniško geslo in ime vpišejo v lažno phishing stran. V primeru ciljanih napadov pa je napadalčevo sporočilo napisano za točno določenega naslovnika. Ker se vsebina sporočila dejansko navezuje na njegove aktivnosti je veliko bolj verjetno, da bo naslovnik takšnemu sporočilu tudi nasedel.

Ko napadalci pridobijo dostop do e-pošte podjetja, nastavijo posredovanje pošte na svoj e-naslov, ki so ga za ta namen ustvarili pri enem od brezplačnih ponudnikov (gmail, yahoo, hotmail). Brezplačnega ponudnika so izbrali premišljeno in s tem zakrili svoje sledi. Nekaj časa nato spremljajo celotno komunikacijo, da ugotovijo kako poteka poslovanje, plačevanje, najdejo največje stranke. V ključnem trenutku, na primer pred plačilom nekega večjega računa, aktivno posežejo v komunikacijo. Pri enem od brezplačnih ponudnikov registrirajo elektronski naslov z imenom in priimkom zaposlenega v podjetju in žrtvi v njegovem imenu pošljejo podatke o spremenjenem TRR-računu za nakazilo (na primer janez.novak@podjetje.si nenadoma postane janez.novak@gmail.com ). Denarna nakazila tako preusmerijo na svoje TRR-račune, na njihove elektronske račune se preusmeri tudi komunikacija s stranko. Ker uporabniki običajno nismo pozorni na elektronski naslov sogovornika, žrtev redko opazi spremembo.

Za primer vzemimo Janeza Novaka. Do zdaj vam je pisal z e-naslova janez.novak@podjetje.si, potem pa se naslov spremeni v janez.novak@gmail.com. Ste dovolj pozorni, da bi ta sprememba vzbudila sum?

Kot razlog za spremembo bančnega računa navedejo različne izgovore, od tega, da imajo težave s svojo banko, da bo plačilo hitreje izvedeno, če plačajo na račun v bližnji državi, da raje nakažite na račun njihovega lokalnega zastopnika ipd. V vseh obravnavanih primerih je šlo za bančne račune fizičnih oseb v lasti tako imenovanih denarnih mul, ki nakazan znesek takoj dvignejo in po neki drugi denarni poti, ponavadi z nakazilom prek sistema Western Union, nakažejo naprej goljufom. Tako se sled za denarjem zelo hitro izgubi.

Namig

Za pomoč pri dvigovanju in prenakazovanju denarnih sredstev sumljivega izvora kriminalci uporabijo denarne mule, v svojo mrežo jih zvabijo z različnimi zvijačami, da pogosto še same ne vedo, s čim imajo opravka. Se spomnite oglasov za dobro plačano delo od doma; nekaj v slogu ‘Kako slovenska mama samohranilka zasluži 20.000 evrov z delom od doma? Preveri tukaj!’ Tipično so v angleškem jeziku, nanje pa naletimo med brskanjem po kakšni pogrošni spletni strani. Ti oglasi so lep primer prikritega oglaševanja dela denarne mule – sicer bogato plačanega, a z visokim rizikom – veliko jih odkrijejo, pogosto morajo zaradi vpletenosti v kaznivo dejanje svoj del kazni odsedeti.

Svetujemo

• Če poslujete s tujino, bodite še posebno pozorni na morebitna nenadna odstopanja od utečenih praks. Vsako spremembo občutljivih podatkov, sploh tistih za nakazilo denarja, preverite na različne načine, tudi prek telefona, faksa, skypa ipd.
• Preverjajte e-naslove vaših partnerjev. Nekateri programi za e-pošto kot pošiljatelja prikažejo zgolj ime in priimek, ki pa si ju lahko vsakdo nastavi po svoje. Če pa se z miško postavimo na ime, se nam prikaže tudi e-naslov. Je ta morda spremenjen? Se namesto naslova ime.priimek@podjetje.com nenadoma pojavi ime.priimek@gmail.com? To je že lahko znak za preplah.
• V nastavitvah vašega e-računa redno preverjajte, ali se vaša e-pošta preusmerja na kakšen neznan e-naslov. V gmailu to preverite v nastavitvah pod zavihkoma »Filtri« in »Posredovanje«, če uporabljate e-pošto drugega ponudnika se pri njem pozanimajte, kje najdete to nastavitev (preverite posredovanje in filtre).

Se vaša e-pošta preusmerja na neznan naslov?

• Če vam vaš ponudnik e-pošte omogoča dostop do vpogleda, iz katerih IP-naslovov je bilo dostopano do vašega predala, redno preverjajte te podatke. Na podlagi IP-naslova lahko ugotovimo, kateremu ponudniku dostopa pripada, v nekaterih primerih pa tudi približno lokacijo. V primeru kazenskega pregona se na podlagi IP-naslova ter točnega časa prijave lahko pridobi tudi podatke o uporabniku tega IP-naslova.
• Ne zanemarjajte morebitna obvestila o sumljivem dogajanju v e-računu, ki vam jih pošilja vaš ponudnik. Vsako tako obvestilo je treba analizirati in ugotoviti vzroke, zakaj se je to zgodilo (pri tem morate paziti, da prepoznate lažna, phishing sporočila, za katera se sicer zdi, kot da vam jih je poslal vaš ponudnik).
• Eden najpogostejših načinov kraje gesel so phishing sporočila, ko svoje geslo in uporabniško ime napadalcem posredujemo kar sami. Razširjeni pa so tudi »trojanci«, ki prestrezajo shranjena in vpisana gesla. Trojanci se na računalnik naselijo, ko odpremo okuženo priponko v elektronski pošti ali pa iz spleta prenašamo sumljive vsebine. Je mogoče, da ste v preteklosti naredili katero od teh napak?
• Kakšna je politika gesel v vašem podjetju? Uporabljajte kompleksna gesla in nikoli naj istega gesla ne uporablja več uporabnikov. Posebno skrbno ravnajte z geslom za dostop do nadzorne plošče za e-pošto vašega podjetja. Posledica kraje enega gesla je lahko zloraba prav vseh e-predalov. Za dostop do nadzorne plošče zato uporabljajte dvofaktorsko avtentikacijo, če vam vaš ponudnik to omogoča.