Теме

Izgradnja kulture bezbednosti
Jake osnove:
Obezbeđivanje naloga i
uređaja
Bezbedna komunikacija
i skladištenje podataka
Bezbednost na
internetu
Zaštita fizičke
bezbednosti
Šta da radite kad
stvari krenu po zlu

Jake osnove: Obezbeđivanje naloga i uređaja

Fišing: Uobičajena pretnja za uređaje i naloge

Fišing (phishing) predstavlja najuobičajeniji i najdelotvorniji napad na organizacije širom sveta. Ovu tehniku korisite i najsofisticiranije državne vojne mašinerije i sitni prevaranti. Pecanje, jednostavno rečeno, je kad protivnik pokušava da vas prevari da podelite informacije koje se mogu koristiti protiv vas ili vaše organizacije. Mogu vas pecati preko mejlova, SMS-a (to se često naziva i smishing), aplikacija za slanje poruka poput WhatsApp-aporuka ili postova na društvenim mrežama ili telefonskih poziva (to se pak naziva vishing, što je kovanica sastavljena od engleskih reči za glasovni poziv i pecanje). Fišing poruke mogu pokušati da vas navedu da ukucate osetljive informacije (poput lozinki) na lažnoj internet stranici da bi dobili pristup nalogu, da vas pitaju da podelite lične podatke (poput broja kreditne kartice) putem poziva ili poruka, ili vas ubede da skinete malver (zlonamerni softver) koji može da zarazi vaš uređaj. Evo prostog netehničkog primera - svaki dan milioni ljudi dobijaju lažne automatske pozive koji im saopštavaju da je njihov bankovni račun napadnut ili da im je identitet ukraden - sve kako bi ih prevarili da odaju osetljive podatke.

Pecanje (phishing) i civilno društvo

Image of phishing email to Tibetan civil society

Sofisticirani, personalizovani fišing napadi su svakodnevno usmereni protiv grupa civilnog društva u celom svetu.

Jedan primer takvog napada je opisan u izveštaju organizacije Citizen Lab iz 2018. pod nazivom Spying on a Budget: Inside a Phishing Operation with Targets in the Tibetan Community (Jeftino špijuniranje: Unutar fišing operacije protiv članova tibetanske zajednice). Ovaj veoma jeftin i jednostavan - a opet neverovatno delotvoran - fišing napad  je bio usmeren protiv tibetanskih branitelja ljudskih prava i drugih aktivista.  Napad je počeo sa fišing mejlom (na levoj strani) sa standardne gmail adrese koja je sadržala samo link ka slici. Kad biste kliknuli na taj link, odveo bi vas na lažnu stranicu za prijavljivanje na gmail (u sredini) koja je upotreljena za krađu akreditiva naloga. Ukoliko bi žrtva unela svoje akreditive na lažnoj stranici, njihovi nalozi bi lako bili provaljeni. Nakon što bi žrtva unela svoje korisničko ime i lozinku na lažnom sajtu, bila bi preusmerena na sliku (na desnoj strani) koja pokazuje delegate na jednom tibetanskom sastanku. Slika je ubačena kako bi žrtve zavarala da su se stvarno prijavili na svoj pravi Google nalog i razvejale bilo kakve sumnje o stvarnoj zlonamernoj prirodi mejla.

Kako identifikujemo fišing (phishing)?

Može delovati da je nemoguće otkriti fišing, ali postoje neki jednostavni koraci koje svako u vašoj organizaciji može da preuzme kako biste se zaštitili od većine napada. Sledeći konkretni saveti za odbranu od fišinga su prilagođeni i preuzeti iz detaljnog vodiča o fišingu (phishing) koji je napisala Freedom of the Press Foundation (Fondacija za slobodu štampe) i koje treba da podlite sa ostalima u vašoj organizaciji (i drugim kontaktima) i integrišete u svoj bezbednosni plan:

Ponekad vas „od“ polje laže 

Budite svesni da „od“ polje u vašim mejlovima može da bude lažirano ili krivotvoreno kako bi vas prevarili. Uobičajena praksa „fišera“ je da naprave imejl adresu koja jako liči na onu legitimnu koju poznajete i od koje se sasvim malo razlikuje kako bi vas prevarili. Na primer, možda primite mejl od nekoga sa adrese „[email protected]“ umesto sa „[email protected]“. Primetite da reč google ima više dodatnih o slova. Možda takođe poznajete nekoga sa adresom  „[email protected]“, ali primite fišing mejl sa lažne adrese „[email protected]“ - koja se razlikuje samo po jednom slovu. Uvek obavezno dvaput proverite da vam je adresa sa koje je mejl stigao poznata pre nego što ga otvorite. Slično važi i za fišing preko aplikacija za pozive ili poruke. Ako dobijete poruku sa nepoznatog broja, dvaput razmislite pre nego što odgovorite na tu poruku ilil kliknete na nešto u njoj.

Čuvajte se priloga u mejlovima

Prilozi mogu da sadrže malvere i viruse, i obično se nalaze u fišing mejlovima. Najbolji način da izbegnete malver u prilozima jeste da ih nikad ne skidate. Po pravilu ne otvarajte odmah nijedan prilog, naročito ako je stigao od ljudi koje ne poznajete. Ukoliko je to moguće, pitajte osobu koja vam je poslala dokument da kopi-pejstuje tekst u mejl ili da podeli taj dokument sa vama preko platformi tipa Google Drive ili Microsoft OneDrive, koje imaju ugrađeno skeniranje svih dokumenata koje postavite (upload) na njih. Izgradite organizacionu kulturu gde se slanje priloga obeshrabruje.

Ako apsolutno morate da otvorite prilog, trebalo bi da to uradite u bezbednom okruženju (vidite odeljak sa naprednim lekcijama u nastavku teksta) gde potencijalni malver ne može da zarazi vaš uređaj.

Ako koristite Gmail i primite prilog u mejlu, umesto da ga skinete i otvorite na svom kompjuteru, prosto kliknite na fajl u prilogu i pročitajte ga u pretraživaču (browser). Ovaj korak vam dozvoljava da vidite tekst i sadržaj fajla a da ga ne skinete i samim tim mu ne omogućite da učita potencijalni malver na vaš kompjuter. Ovo je moguće za word dokumente, pdf-ove pa čak i prezentacije sa slajdovima. Ako morate da uređujete ili menjate dokument, razmislite da fajl otvorite u klaud programu kao što je Google Drive i konvertujete fajl u Google Doc ili Google Slides formate.

Ako koristite Outlook, možete na sličan način da imate uvid u priloge, a da ih ne skinete sa Outlook-ovog mrežnog klijenta. Ako morate da uređujete ili menjate prilog, razmislite da ga otvorite u OneDrive-u ako vam je to dostupno. Ako koristite Yahoo Mail, važi isti koncept. Ne skidajte priloge, već ih pregledajte u svom pretraživaču.

Bez obzira na to kakve alatke imate na raspolaganju, najbolji pristup je da prosto nikad ne skidate priloge od pošiljalaca koje ne poznajete ili kojima ne verujete. I bez obzira nas to koliko važno jedan prilog izgleda, nikad ne otvarajte nešto sa tipom fajla koji vam je nepoznat i koji nikad ne nameravate da koristite.

Odbrana od fišinga (phishing) za vašu organizaciju

Ako vaša organizacija koristi poslovni Microsoft 365 za imejl i druge aplikacije, vaš administrator domena bi trebalo da oformi politiku bezbednih priloga kako bi ste se zaštitili od opasnih priloga. Ako koristite poslovni Google Workspace (prethodno poznat kao GSuite), postoji slična delotvorna opcija koju bi vaš administrator trebalo da podesi pod nazivom Google Security Sandbox. Napredniji pojedinačni korisnici mogu da razmotre podešavanje sendboks programa kao što su DangerZone ili,za one sa pro ili poslovnom verzijom, Windows Sandbox.

Još jedna napredna opcija čije uvođenje možete razmotriti jeste bezbedna usluga za filtriranje sistema imena domena (DNS). Organizacije mogu koristiti ovu tehnologiju da spreče osoblje da slučajno pristupi zlonamernom sadržaju, obezbeđujući dodatni nivo zaštite od fišinga (phishing). Iako je ranije takva tehnologija zahtevala poseban tim internih IT stručnjaka, novi servisi kao što je Cloudflare Gateway obezbeduju takve funkcije za manje tehnološki sofisticirane organizacije bez potrebe za velikim sumama novca (tako je npr. Gateway, besplatan za do 50 korisnika). Dodatni besplatni instrumenti, uključujući i Quad9 iz paketa alatki Globalne sajber alijanse će vam blokirati pristup internet stranicama za koje se zna da sadrže viruse ili drugi malver i moguće ih je primeniti za manje od pet minuta.

Oprezno klikćite

Budite oprezni kad vidite linkove u mejlovima ili drugim porukama. Linkovi mogu biti zamaskirani tako da ne shvatite da ćete skinuti zlonamerne fajlove ili da će vas odvesti na lažne internet stranice koje vam mogu tražiti lozinke ili druge osetljive informacije. Kada radite na kompjuteru postoji jednostavan trik da se uverite da će vas link zaista odvesti tamo gde treba: stavite strelicu kursora na link pre nego što ga kliknete i u dnu pretraživača ćete videti njegovu stvarnu internet adresu (vidite donju sliku).

Outlook inbox photo

Na mobilnim uređajima je teže ovako proveravati linkove a da slučajno ne kliknete na njih, zato budite oprezni. Ali na većini pametnih telefona možete da proverite gde link vodi tako što ćete ga držati dugo pritisnut dok ne iskoči puna adresa.

Kod fišinga (phishing) preko SMS-a i aplikacija za slanje poruka, kao uobičajeni način za maskiranje prave adrese (URL-a) se koriste skraćeni linkovi. Ako vidite skraćeni link (kao što su na primer bit.ly ili tinyurl.com) umesto punog URL-a, nemojte ga kliknuti. Ukoliko je link važan kopirajte ga u program za proširenje URL-a, kao što je https://www.expandurl.net/, kako biste videli pravo odredište skraćenog URL-a. Štaviše, ne klikajte na linkove koji vode na internet sajtove koji su vam nepoznati. Ukoliko niste sigurni šta da radite, unesite u pretraživač ime internet sajta pod navodnicima (npr: „www.badwebsite.com“) da vidite da li je u pitanju legitimna stranica. Potencijalno sumnjive linkove takođe možete proveriti VirusTotal-ovim skenerom internet adresi. On nije 100% tačan, ali je dobra mera predostrožnosti.

Konačno, ako kliknete na bilo koji link u poruci i od vas se traži da se prijavite na neki nalog, nemojte to učiniti osim ako niste 100 posto sigurno da je imejl legitiman i da vas šalje na odgovarajući sajt. Mnogi pecaroški napadi daju linkove koji vas šalju na lažne stranice za prijavljivanje na Gmail, Facebook ili druge popularne sajtove. Nemojte da vas prevare. Uvek možete otvoriti novi prozor u pretraživaču ili sami otići direktno na sajt koji vam je poznat kao npr. Gmail.com, Facebook.com itd. ukoliko želite ili morate da se prijavite. Na taj način ćete takođe bezbedno stići do sadržaja - ako je uopšte bio legitiman.

Šta treba da radimo kad dobijemo fišing poruku?

Ako iko u vašoj organizaciji dobije prilog u mejlu, link ili sliku koje nije tražio, ili uopšte sumnjvu poruku ili poziv, važno je da to odmah prijave osobi koja je zadužena za IT bezbednost. Ako još uvek nemate takvu osobu, trebalo bi da je postavite u toku razvoja svog bezbednosnog plana. Osoblje takođe može da prijavi spem ili pecaroški mejl direktno Gmail-u ili Outlook-u.

Od suštinskog značaja je da isplanirate šta osoblje ili pojedinci treba da urade ako/kada prime potencijalnu pecarošku poruku. Pored toga, preporučujemo da usvojite ove dobre prakse po pitanju pecanja - da ne klikate na sumnjive linkove, izbegavate priloge i proveravate „od“ polje - te ove prakse podelite sa kolegama, najbolje preko konunikacionog kanala u širokoj upotrebi. To pokazuje da vam je stalo do ljudi sa kojima komunicirate i podstiče kulturu opreza i upoznatosti sa opasnostima fišinga u svim vašim mrežama. Vaša bezbednost zavisi od organizacija kojima verujete, i obrnuto. Bolje prakse štite sve.

Pored prenošenja gorenavedenih konkretnih saveta svim kolegama i volonterima, možete takođe da vežbate identifikovanje fišinga (phishing) uz pomoć Google-ovog pecaroškog kviza. Takođe toplo preporučujemo da organizujete redovne obuke iz oblasti pecanja (phishing) za osoblje kako biste proverili nivo svesti i postarali se da svi budu na oprezu. Takva obuka može biti deo redovnih sastanaka ili se organizovati malo nezvaničnije. Ono što je bitno jeste da nikom u organizaciji ne bude neprijatno da postavlja pitanja o fišingu, prijavi fišing (čak i kad misle da su možda pogrešili tako što su kliknuli link), kao i da svi budu osposobljeni da pomognu u odbrani vaše organizacije protiv ove veoma verovatne pretnje sa ozbiljnim efektima. 

Fišing (phishing)

  • Redovno obučavajte osoblje o tome šta je fišing, kako ga primetiti i kako se odbraniti od njega, uključujući fišing preko SMS-ova, aplikacija za slanje poruka, i telefonskih poziva, ne samo mejlova.
  • Često podsećajte osoblje na najbolje prakse kao što su:
    • Nemojte skidati nepoznate i potencijalno sumnjive priloge mejlova.
    • Proverite URL linka pre nego što kliknete. Ne klikajte na nepoznate i potencijalno sumnjive linkove.
    • Ne delite osetljive ili lične informacije preko mejla, SMS-a ili telefonskog poziva sa nepoznatim ili nepotvrđenim adresama ili ljudima.
  • Podstaknite prijavljivanje fišinga (phishing).
    • Upostavite mehanizam za prijavljivanje i odredite osobu kojoj se osoblje može obratiti u slučaju fišinga u okviru vaše organizacije.
    • Nagradite prijavljivanje i nemojte kažnjavati neuspeh.