Всички знаем, че не бива да кликаме по съмнителни линкове, защото това може да ни струва изключително скъпо…

Знаем ли наистина? Време е да проверим с поредния експеримент на Дигитални истории, и този път с впечатляващи партньори. Резултатът от него определено си струва да ни стресне. Да ни накара да се замислим. Да ни зареди със здравословната доза съмнение, която може в най-буквалния смисъл да ни спаси.

И ловец съм…

Как да не се изкуши човек – получаваш на имейла си писмо от голяма верига бензиностанции за специална отстъпка. Кликваш, спестяваш немалко от следващото зареждане… И ако това не беше експеримент, а истинска кибератака, всичко това можеше да продължи с това хакерът да получи достъп до личните ти данни, а защо не и до банковата ти сметка.

Phishing – от английски се изписва по различен начин, но произлиза от „риболов“. Това е името на една от най-популярните кибератаки през последните години, която залага не на технологични пропуски, а на може би най-слабото звено в цикъла на информацията – здравия разум.

Хакерите понякога правят виртуозни имейли, които почти не могат да бъдат различени от истинските, с които успяват да накарат жертвата да кликне на зловреден линк. А после да съжалява – в резултат от phishing се губят милиарди долари. Смята се, че миналата година по света са направени почти 900 милиона опита за такива атаки, над 90% от организациите са били подложени на тях.

Може би пък проблемът у нас не съществува? Дали българският онлайн потребител няма да се окаже достатъчно подготвен да различава фалшивите имейли без грешка и не би се подвел в подобен случай за нищо на света?

Вечерна проверка

„Доверявай се, но проверявай“, казваше мистър Рейгън, а, както знаете, в сайта Дигитални истории най-много обичам да проверявам. Докъде са стигнали и хората, и алгоритмите.

Този път не съм сам, правим експеримента съвместно с водеща българска компания в света на киберсигурността, за която подобен тип проверки са професия. Много често част от работата им е да тестват служителите на компании и институции – дали са склонни да се подведат по фалшив имейл, така че след това с обучения да бъде избегната истинската атака.

Показателно в случая е, че човекът, който прави есксперимента, няма опит като програмист и въпреки това ще създаде страница, която да прилича на тази на популярна верига бензиностанции. Опитът е особено показателен и за това, че днес технологиите позволяват значително по-лесно, без особена подготовка да бъде направена подобна кибератака.

Имате поща

Кого ще проверим? Целта не е да са например служителите на определена институция, нито пък конкретна, например демографска извадка. Решаваме да заложим на списък от случайно избрани имейли, които са попаднали в мрежата. Ограничаваме се до хора от България с публични адреси, без възрастово и полово ограничение.

И така, въпросът е простичък, но жизненоважен: колко лесно хората биха предоставили чувствителна информация, подмамени от атрактивна, но фалшива оферта?

Речено – сторено. С базов софтуер, с който създаваме фалшива уеб страница, която доста успешно имитира визуално официалния сайт на популярна верига бензиностанции.

Любопитен щрих – с помощта на съвременните технологии това е напълно възможно да се направи, без да бъде написан дори ред компютърен код. (И, да, в случая дори не е използван изкуствен интелект!)

„Съобщенията бяха формулирани така, че да създадат усещане за изгодна и спешна възможност, подтиквайки потребителите да кликнат на линк, който ги отвеждаше към нашата предварително подготвена фишинг страница. Там от тях се изискваше да въведат данни, за да получат своята „отстъпка“, разказва специалистът, който прави експеримента.

Разбира се, в духа на истинските фишинг атаки, беше избран имейл от домейн, който изключително близо да наподобява истинския.

Образ и подобие

Резултатите… честно казано ни впечатлиха. Използвахме имейли, за които не сме сигурни, че са активни, а въпреки това изумително висок процент от хората се подведоха!

Писмото ни стигна до 393 потребители. Цели 69 от тях (или 17,5%) последваха връзката. Очевидно съдържанието на имейла е било достатъчно убедително, а потребителите – достатъчно невнимателни.

Стигаме и до черешката. Цели 19 души (или 4,8%) безкритично са въвели личните си данни във фалшивата форма!

Струва ви се малко? Помислете пак.

Представете си, че сте истински хакер, изпратите фишинг имейл до хиляди потребители и почти 5% от тях се подведат дотам, че да въведат чувствителни данни? Не е трудно да отпуснем въображението си за какви по обем щети и последствия би ставало дума… Особено ако това са хора, използващи служебната си поща. Източването на нечия лична банкова сметка е кошмар и истинска житейска драма, но още по-мащабни биха станали проблемите, ако по този начин се компрометира сигурността на институция или голяма компания.

Имейлът, който изпратихме

Лоши момчета

19 откраднати акаунта.

Ако това не бяхме ние с колегите кибер специалисти, а истински хакери, най-вероятно вече щяхме да сме доста по-богати…

Целта ни обаче е дори по-важна. Повече от нас да си дадат сметка колко е крехка сигурността онлайн. Над 27% от хората, влезли на сайта, са въвели личните си данни. Ето колко ефективен може да бъде един добре изработен фишинг сайт.

А другата статистика води в коренно противоположна посока. Докладвани имейли: 0

Знаете, винаги можете да сигнализирате, ако получите поща, която очевидно цели да ви подведе. Не го направи нито един от собствениците на тези 393 виртуални пощенски кутии.

Мисля, че е време всички да се поуплашим…

„Данните показват една тревожна реалност: българските потребители са силно податливи на фишинг атаки, като комбинацията от примамлива оферта и убедително изпълнение води до висок процент на успеваемост за нападателите“, допълва кибер специалистът.

Клик към ада

И така: дали 69 души, кликнали на линка и 19, въвели чувствителни данни, е много или малко?

В света на киберсигурността дори един-единствен успешен пробив е твърде много.

Експериментът ясно показа, че има голяма, уязвима група от хора, които могат да бъдат подведени от добре изработен сценарий.

Нещо повече – някои от потребителите са правили многократни опити да въведат данните си в нашата фалшива платформа. Това показва колко убедителен може да бъде сценарият – хората са били толкова сигурни в офертата, че са настоявали да получат достъп, предоставяйки чувствителната си информация отново и отново.

Надежда всяка тука оставете

Всеки от тези 19 случая представлява огромен риск. „Компрометираните пароли и потребителски имена често се използват повторно за достъп до други услуги“, казва специалистът. „Личен имейл, профили в социални мрежи, понякога и онлайн банкиране. По този начин един инцидент може да изложи на риск цялостната дигитална идентичност, финансовата стабилност и личната репутация на потърпевшия.

Тази симулация на социално инженерство недвусмислено подчертава необходимостта от непрекъснато и целенасочено повишаване на киберхигиената. Тя трябва да се превърне в наша втора природа. Важно е за всички ни да изградим култура на бдителност, която да ни помага да се противопоставяме ефективно на непрестанно развиващите се онлайн заплахи.“

Резултатите от експеримента

Наистина, по-важно отвсякога е да бъдем бдителни. Ето как.

Внимание!

Преди да се разделим, ето най-важните елементи от „атаката“, които я направиха успешна. Именно тези, за които да внимавате така, че да избегнете истински проблем.

Дотогава внимавайте за:

1. Домейн двойник

Ключова стъпка беше закупуването на интернет домейн, който да наподобява този на реалната компания. Тази техника се нарича „typosquatting“ – регистрира се име, което съдържа умишлена правописна грешка или визуална прилика с оригинала (например „oilc0mpany.com“ вместо „oilcompany.bg“). По този начин дори потребител да погледне адресната лента на браузъра си, има голям шанс да не забележи малката разлика и да приеме сайта за легитимен.

2. Фалшива промоционална страница

Следващата стъпка беше да пресъздадем страница, която да изглежда като част от официалния сайт на веригата бензиностанции. Копирахме логото, цветовете, шрифтовете и цялостния дизайн, за да изградим усещане за автентичност. Добавихме форма, в която потребителите да въведат своята информация. Тъй като кампанията не целеше да съберем чувствителни данни (да, и останалите сме изтрили!), се ограничихме до четири полета: име, фамилия, телефонен номер и адрес.

3. Примамливият имейл

Самото фишинг съобщение беше сърцето на операцията. Изпратихме имейлите от специално създаден за целта пощенски сървър, за да увеличим шанса да не бъдат спрени от спам филтрите. Променихме подателя така, че да съвпада с реалният домейн на бензиностанциите. Съдържанието беше кратко, ясно и изключително примамливо:

Оферта:

„Възползвайте се от допълнителни 20 СТОТИНКИ“

Призив за действие:

Ясно видим бутон и линк с текст „АКТИВИРАЙ ОТСТЪПКАТА“.

Създаване на усещане за спешност:

За да накараме получателите да действат импулсивно, добавихме елемент на неотложност – фрази като „Не пропускайте тази възможност!“. Този психологически трик е изключително ефективен, защото намалява времето за критична мисъл.