Phishing laiškų požymiai

Kai el. paštas tampa ginklu

Kiekvieną dieną pasaulyje išsiunčiama apie 3,4 milijardo phishing laiškų. Tai ne klaida – trys su puse milijardo. Ir nors daugelis iš mūsų galvoja, kad atpažintų sukčiavimo bandymą iš tolo, statistika byloja ką kita: net IT specialistai, dirbantys su technologijomis kasdien, kartais paspaudžia netinkamą nuorodą. Phishing – tai ne tik naivių senelių problema. Tai industrija, kuri kasmet generuoja milijardus dolerių nuostolių visame pasaulyje.

Problema ta, kad phishing laiškų kokybė per pastaruosius penkerius metus šoktelėjo dramatiškai. Anksčiau pakakdavo pamatyti kelis gramatikos klaidų ir suprasti, kad kažkas negerai. Dabar? Dabar turime reikalą su tobulai suformuluotais laiškais, tiksliai nukopijuotais logotipais ir tokiu personalizavimu, kuris gali tikrai suklaidinti. Ir čia atsiranda klausimas – kaip atpažinti phishing laišką 2024-aisiais, kai jie atrodo beveik neatskiriamai nuo tikrų?

Siuntėjo adresas – pirmoji gynybos linija

Pirmasis dalykas, kurį reikia patikrinti gavus bet kokį laišką, kuris prašo ką nors padaryti – spausti nuorodą, patvirtinti duomenis, prisijungti prie paskyros – yra siuntėjo el. pašto adresas. Ne vardas, kuris rodomas. Adresas.

Čia slypi vienas iš dažniausių triukų: el. pašto kliento rodomas vardas gali būti „PayPal Security Team”, bet tikrasis adresas gali būti kažkas panašaus į [email protected] arba net [email protected]. Atidžiai žiūrėkite į domeno dalį – tai, kas eina po @ ženklo.

Keletas konkrečių ženklų, į kuriuos reikia atkreipti dėmesį:

• Papildomi žodžiai domene – apple-support.com nėra tas pats kas apple.com. Oficialūs laiškai iš Apple ateina tik iš apple.com domeno.
• Skaičiai vietoj raidžių – payp4l.com, g00gle.com – klasika, bet vis dar veikia.
• Neįprasti domenų plėtiniai – jei bankas rašo iš .xyz arba .top domeno, tai jau turėtų sukelti rimtų abejonių.
• Ilgi, painūs domenai – secure-login-verification-microsoft-account.com tipo adresai yra aiški raudona vėliava.

Praktinis patarimas: jei naudojate Gmail, Outlook ar bet kurį kitą el. pašto klientą, visada išskleiskite pilną siuntėjo informaciją. Gmail’e tai daroma paspaudus mažą rodyklę šalia siuntėjo vardo. Outlook’e – dešiniu pelės mygtuku ant siuntėjo ir „View Source”. Tai užima 5 sekundes ir gali išgelbėti jūsų paskyrą.

Skubumas ir baimė – psichologinis ginklas

Phishing laiškų autoriai puikiai išmano žmogaus psichologiją. Tiksliau – jie žino, kad kai žmogus jaučia baimę arba skubą, jo kritinis mąstymas išsijungia. Todėl didžioji dalis phishing laiškų yra sukonstruoti taip, kad sukeltų vieną iš šių emocijų.

Tipiniai scenarijai atrodo taip:

• „Jūsų paskyra bus užblokuota per 24 valandas, jei nepatvirtinsite savo duomenų”
• „Pastebėjome įtartiną veiklą jūsų sąskaitoje – nedelsdami prisijunkite”
• „Jūsų mokėjimas nepavyko – atnaujinkite mokėjimo informaciją dabar”
• „Laimėjote prizą – pasiimkite per 48 valandas”

Šie laiškai veikia todėl, kad jie aktyvuoja tai, ką psichologai vadina „fight or flight” reakcija. Kai gauname žinutę apie galimą grėsmę savo banko sąskaitai, smegenys nori reaguoti greitai. Ir būtent tą akimirką, kai skubame spausti nuorodą, padarome klaidą.

Taisyklė čia paprasta ir universali: kuo labiau laiškas skubina veikti, tuo labiau reikia sulėtinti ir pagalvoti. Joks legitimus bankas, joks mokėjimų procesorius, jokia rimta kompanija neužblokuos jūsų paskyros per 24 valandas be jokio išankstinio įspėjimo. Jei gausite tokį laišką – atidarykite naršyklę, rankiniu būdu įveskite banko adresą ir prisijunkite tiesiogiai. Jei problema reali, ji bus matoma ir ten.

Nuorodos – kur jos iš tikrųjų veda

Nuorodos phishing laiškuose – tai tikriausiai pats svarbiausias elementas, į kurį reikia atkreipti dėmesį. Ir čia yra keletas techninių dalykų, kuriuos verta žinoti.

Pirma, yra skirtumas tarp to, kaip nuoroda atrodo, ir kur ji iš tikrųjų veda. Laiškas gali rodyti tekstą „www.paypal.com”, bet ta nuoroda gali vesti į visiškai kitą adresą. Kaip tai patikrinti? Kompiuteryje – tiesiog užveskite pelę ant nuorodos (nespausdami!) ir apačioje pamatysite tikrąjį adresą. Telefone – palaikykite pirštą ant nuorodos, kol pasirodys išskleidžiamas meniu su tikruoju URL.

Antra, atkreipkite dėmesį į URL struktūrą. Phishing puslapiai dažnai naudoja tokias schemas:

• Subdomenų triukas – paypal.com.evil-site.com. Čia tikrasis domenas yra evil-site.com, o paypal.com yra tik subdomenas, sukurtas apgauti.
• URL sutrumpintojai – bit.ly/xyz123 tipo nuorodos slepia tikrąjį adresą. Niekada nespauskite sutrumpintų nuorodų el. laiškuose, nebent absoliučiai pasitikite siuntėju.
• HTTPS negarantuoja saugumo – tai dažna klaida. Daugelis žmonių mano, kad jei matomas spynelės simbolis, puslapis saugus. Bet HTTPS reiškia tik tai, kad ryšys yra užšifruotas – ne tai, kad puslapis yra legitimaus šaltinio.

Praktinis įrankis: prieš atidarydami bet kokią abejotiną nuorodą, galite ją patikrinti per VirusTotal (virustotal.com) arba Google Safe Browsing. Tiesiog įklijuokite URL ir pamatysite, ar jis nėra pažymėtas kaip pavojingas.

Priedai – skaitmeninės bombos

El. pašto priedai yra vienas iš populiariausių būdų platinti kenkėjišką programinę įrangą. Ir čia reikia kalbėti atvirai: net jei laiškas atrodo visiškai normaliai, priedas gali būti mina.

Pavojingiausi priedų tipai:

• .exe, .bat, .cmd, .msi – tai vykdomieji failai. Jei gausite tokį priedą iš nežinomo siuntėjo, tiesiog ištrinkite laišką. Nėra jokios priežasties, kodėl jums reikėtų gauti vykdomąjį failą el. paštu.
• .zip, .rar, .7z – archyvai dažnai naudojami paslėpti kenkėjiškus failus, nes kai kurie el. pašto filtrai jų neskenina.
• Office dokumentai su makrokomandomis – .docm, .xlsm failai arba paprasti .docx/.xlsx failai, kurie prašo „įjungti makrokomandas”. Tai klasikinis vektorius. Niekada neįjunkite makrokomandų dokumente, kurio nesitikėjote gauti.
• .pdf failai – taip, net PDF gali būti pavojingas, jei jame yra kenkėjiška JavaScript kodo dalis arba nuorodos į phishing puslapius.

Bendra taisyklė: jei nesitikėjote gauti priedo ir laiškas prašo jį atidaryti – neatidaryti. Net jei siuntėjas atrodo pažįstamas. Kodėl? Nes phishing atakos dažnai naudoja kompromituotus kontaktus – tai reiškia, kad laiškas gali ateiti iš jūsų draugo ar kolegos paskyros, kuri buvo nulaužta.

Personalizuotas phishing – kai jie žino jūsų vardą

Spear phishing – tai tikslinė phishing ataka, nukreipta prieš konkretų asmenį ar organizaciją. Ir tai yra daug pavojingesnė nei masiniai laiškai, nes užpuolikai iš anksto surenka informaciją apie taikinį.

Kaip jie tai daro? LinkedIn, Facebook, Instagram, įmonių svetainės, duomenų nutekėjimai – visa tai yra informacijos šaltiniai. Jei jūsų LinkedIn profilyje parašyta, kad dirbate „Acme Corp” kaip finansų vadovas, ir jūsų el. pašto formatas yra [email protected], užpuolikas gali sukurti labai įtikinamą laišką, kuris:

• Kreipiasi į jus vardu
• Mini jūsų įmonę ir pareigas
• Imituoja jūsų vadovo ar IT skyriaus laišką
• Nurodo realius projektus ar sistemas, kurias naudoja jūsų įmonė

Tokio tipo atakos yra ypač pavojingos verslo aplinkoje. Vienas iš labiausiai paplitusių scenarijų – tai vadinamasis BEC (Business Email Compromise), kai užpuolikai apsimeta vadovais ir prašo finansų skyriaus atlikti skubų pavedimą. Šis sukčiavimo būdas kasmet pasaulyje sukelia milijardinių nuostolių.

Ką daryti? Jei gausite neįprastą prašymą iš vadovo ar kolegos – ypač susijusį su pinigais ar slaptais duomenimis – visada patvirtinkite kitu kanalu. Paskambinkite telefonu. Parašykite nauju laišku (ne atsakydami į gautą). Tai gali atrodyti kaip perteklinė atsargumas, bet tai standartinė saugumo praktika rimtose organizacijose.

Techniniai įrankiai, kurie padeda apsisaugoti

Žinoti požymius yra gerai, bet turėti technologinius apsaugos sluoksnius yra dar geriau. Čia kalbame apie konkrečius įrankius ir nustatymus, kuriuos galite įdiegti šiandien.

Dviejų faktorių autentifikacija (2FA) – tai tikriausiai svarbiausias dalykas, kurį galite padaryti. Net jei phishing ataka pavyksta ir užpuolikas gauna jūsų slaptažodį, be antro faktoriaus jis negalės prisijungti. Naudokite autentifikatoriaus programėlę (Google Authenticator, Authy, Microsoft Authenticator) – SMS žinutės yra mažiau saugios dėl SIM swapping atakų.

Slaptažodžių tvarkyklė – tokios kaip Bitwarden (nemokama ir atviro kodo), 1Password ar Dashlane. Kodėl tai padeda nuo phishing? Nes slaptažodžių tvarkyklė automatiškai užpildo duomenis tik tada, kai domenas tiksliai atitinka išsaugotą. Jei esate phishing puslapyje, kuris imituoja banką, tvarkyklė nepasiūlys užpildyti duomenų, nes domenas nesutampa.

El. pašto saugumo filtrai – jei naudojate Google Workspace ar Microsoft 365, įsitikinkite, kad įjungti visi saugumo filtrai. Asmeniniam naudojimui Gmail ir Outlook jau turi gana gerus filtrus, bet galite papildomai įdiegti naršyklės plėtinius kaip Netcraft Anti-Phishing arba Avast Online Security.

DMARC, DKIM, SPF tikrinimas – tai techniniai el. pašto autentifikavimo protokolai. Jums kaip galutiniam vartotojui nereikia jų konfigūruoti, bet verta žinoti, kad jei jūsų organizacija juos naudoja, tai žymiai sumažina galimybę, kad kas nors galės sėkmingai apsimesti jūsų įmonės el. paštu.

Kai jau paspaudėte – ką daryti

Gerai, nutiko blogiausia – paspaudėte nuorodą, įvedėte duomenis arba atidarėte priedą. Nesvarbu, kaip tai įvyko. Svarbu, ką daryti toliau, nes greiti veiksmai gali žymiai sumažinti žalą.

Jei įvedėte prisijungimo duomenis:

1. Nedelsdami pakeiskite slaptažodį – eikite tiesiai į oficialų puslapį (ranka įveskite adresą naršyklėje) ir pakeiskite slaptažodį.
2. Įjunkite 2FA, jei dar nebuvo įjungta.
3. Patikrinkite aktyvias sesijas – daugelis paslaugų (Gmail, Facebook, bankai) leidžia matyti, iš kur prisijungta. Atsijunkite nuo visų nepažįstamų sesijų.
4. Informuokite paslaugos teikėją – jei tai banko duomenys, skambinkite į banką nedelsiant.

Jei atidarėte priedą:

1. Atjunkite kompiuterį nuo interneto – tai gali sustabdyti kenkėjiškos programos komunikaciją su serveriu.
2. Paleiskite antivirusinę skenavimą – naudokite Malwarebytes arba Windows Defender.
3. Jei tai darbo kompiuteris – nedelsdami informuokite IT skyrių. Nesistenkite problemos spręsti patys.
4. Apsvarstykite pilną sistemos atkūrimą – jei kyla abejonių, kartais saugiausia yra iš naujo įdiegti operacinę sistemą.

Ir dar vienas svarbus dalykas – nepagailėkite laiko pranešti apie phishing bandymą. Gmail’e tai daroma per „Report phishing” funkciją. Outlook’e – per „Report” mygtuką. Lietuvoje apie sukčiavimą galima pranešti CERT-LT (cert.lt). Tai ne tik padeda jums, bet ir apsaugo kitus.

Skaitmeninis išgyvenimas šiuolaikiniame phishing pasaulyje

Phishing neišnyks. Greičiausiai tik taps sudėtingesnis – ypač dabar, kai dirbtinis intelektas leidžia generuoti tobulai parašytus, personalizuotus laiškus masiškai ir beveik be jokių išlaidų. Jau dabar matome deepfake balso ir vaizdo naudojimą sukčiavimo atakose. Tai reiškia, kad tradiciniai požymiai – gramatikos klaidos, keisti adresai, akivaizdūs logotipų falsifikatai – nebėra pakankamas filtras.

Bet štai kas nepasikeis: socialinė inžinerija visada remiasi tais pačiais psichologiniais mechanizmais. Skuba, baimė, smalsumas, godumas – tai universalūs žmogaus pažeidžiamumai, kuriuos phishing išnaudoja. Ir geriausias apsaugos mechanizmas prieš juos yra ne technologija, o įprotis sustoti ir pagalvoti.

Praktiškai tai reiškia: sukurkite sau taisyklę, kad bet koks laiškas, kuris prašo kažką padaryti skubiai, automatiškai gauna papildomą 60 sekundžių patikrinimą. Patikrinkite adresą. Užveskite pelę ant nuorodos. Pagalvokite, ar tikėjotės tokio laiško. Jei abejojate – eikite tiesiogiai į paslaugos puslapį per naršyklę, ne per laišką.

Technologijos gali padėti – 2FA, slaptažodžių tvarkyklės, el. pašto filtrai – bet jos nėra stebuklinga apsauga. Phishing atakos, kurios šiandien veikia, veikia ne todėl, kad technologijos nesugeba jų sustabdyti, o todėl, kad žmonės spaudžia nuorodas prieš pagalvodami. Ir tai yra kažkas, ką galite pakeisti šiandien, dabar, be jokių papildomų įrankių ar investicijų – tiesiog lėtindami savo reakciją tą akimirką, kai laiškas bando jus paskubinti.