Phishing jako hrozba dneška: O velké peníze se dá přijít aniž byste sami udělali chybu

Internet není a nikdy nebyl zcela bezpečným místem. Lze na něm přijít o velké finanční obnosy během pár chvil. A v bezpečí není nikdo z nás. Ale nebojte, nechceme jen strašit. Na konkrétním příkladu vám ukážeme, jak rizika eliminovat a na co si dát pozor.

V posledních letech se v internetovém prostředí rozmáhají internetové útoky, při kterých útočník získá lstí vaše osobní údaje a díky nim se dostane k vašemu majetku. Takovému druhu útoků se říká phishing. Věřte, že toto slovíčko v budoucnu ještě uslyšíte.

K phishingovým útokům dochází už roky, dlouho se o nich ale příliš nemluvilo. Za poslední rok ale takových útoků výrazně přibylo a situaci nedávno umocnil i rusko-ukrajinský konflikt. Hackerských útoků je tak v poslední době možná nejvíc za celou historii internetu. A pokud si říkáte, že vám se to stát nemůže, pak byste měli zbystřit.

Příběh, který vám nyní popíšeme, se skutečně stal a na jeho konci byl náš klient chudší o dva miliony korun. V dnešní době nic neobvyklého. Přitom útočník k tomuto útoku nepotřeboval superpočítač, technologie z budoucnosti ani nadlidské schopnosti. Celé je to vlastně jednoduché.

Představte si, že spolu obchodují dvě společnosti. Útočník podvodným e-mailem vybízejícím ke změně hesla získá přístup k e-mailové schránce manažera v dodavatelské společnosti. Pak sleduje jeho komunikaci a vyčkává.

Po pár týdnech dospěje do konečné fáze jeden z projektů, na kterých dodavatelská společnost pracovala několik měsíců. Je na čase si za odvedenou práci vyfakturovat odměnu. Mezitím však útočník zjistil, jak ve firmě fungují procesy v podobných případech a zakoupil si internetovou doménu podobnou té firemní. Jako příklad můžeme uvést domény vymysleno.cz a vynnysleno.cz. Náhrady dvou „n” namísto jednoho „m” si v hektickém pracovním vytížení všimne málokdo a mnohdy e-mailový klient navíc zobrazuje pouze jméno a nikoliv celou adresu.

Účetní dodavatelské firmy vytvoří fakturu na 2 miliony korun a jako vždy ji pošle interně e-mailem manažerovi s napíchnutou schránkou. Útočník nelení a během chvilky na ní změní číslo účtu na svoje. Manažer vzápětí odešle fakturu do odběratelské firmy, do kopie zároveň přidá účetní oddělení i vedení dodavatelské firmy.

V odběratelské firmě by mohlo jiné číslo účtu na faktuře vzbudit nedůvěru a vést k možnému ověřování. Proto útočník několik málo minut po odeslání faktury posílá z manažerovy schránky ještě druhý e-mail, ve kterém odběratele ujišťuje, že jiné číslo účtu je v pořádku. Pro důvěryhodnost e-mailu přidává opět na kopii i účetní oddělení a vedení firmy, tentokrát však s falešnou doménou „vynnyšleno” místo „vymyšleno”. V odběratelské firmě tak jde faktura bez jakýchkoliv pochybností k proplacení a útočník má vyhráno.

Že se dodavatelská společnost stala obětí phishingového útoku se zjistilo až po uplynutí doby splatnosti faktury, tedy po měsíci. Dodavatel se připomněl o své peníze a ukázalo se, že ty odešly jinam.

„Spravujeme síť odběratelské firmy, a tak jsme vyvinuli maximální úsilí, abychom situaci rozklíčovali a na základě bezpečnostních protokolů a logů prokázali. Na základě tohoto prokázání a skutečností ve smlouvách, šla škoda za firmou dodavatele. Navíc se podařilo větší část finančního obnosu díky bankám zablokovat a zajistit i po měsíci od útoku,” popisuje Tomáš Souček, jednatel společnosti DIX, která se specializuje na správu počítačových sítí, serverů, aplikací a jejich zabezpečení.

Z důvodu, že byla upravená faktura odeslána z reálné e-mailové schránky dodavatele, nedošlo k rozpoznání na straně IT systémů odběratele. K selhání v tomto případě došlo na straně dodavatelské firmy. Ta mohla své zaměstnance více proškolit na rizika phishingových útoků, lépe nastavit antispamový systém a také přísněji nastavit IT bezpečnostní politiku v podobě nutnosti častější změny hesla. Ne vždy však je chyba jen na straně dodavatelské firmy, záleží na tom, jak je postavená smlouva mezi odběratelem a dodavatelem.

Z výše popsaného tak vyplývá, že někdy ani nemusíte udělat nic špatně, přesto peníze odešlete útočníkovi na falešný účet. Stačí, že situaci podcení druhá strana. Jak tomu zabránit? Odborníci z IT společnosti DIX doporučují ověřovat klíčové informace i jinak než e-mailem, tedy třeba telefonicky. Jsou ale i další možnosti: „V dnešní době je zasílání faktur obyčejným e-mailem nahrávka hackerům. Pořiďte si elektronický podpis nebo jiný bezpečnější předávací kanál. Dále si nastavte dobře procesy schvalování a úhrad faktur, případně kontrolní mechanismy. V neposlední řadě si najděte dobrého správce sítě, který dohlíží na bezpečnost vaší sítě.” radí Tomáš Souček

Současná doba bezpečnosti v IT příliš nenahrává, a tak není od věci být obezřetnější. Tohle pravidlo by mělo platit pro všechny. „Rozrostlo se mnoho případů kompromitací a bezpečnostních chyb různých systémů a softwarů. Do této doby jsme si však mysleli, že heslo jednoho obyčejného uživatele není zase tak důležité. Sofistikované a cílené útoky nás ale přesvědčují o opaku,” jednatel Tomáš Souček z DIXu.